Закон об информации персонального характера
(вторая попытка)

Спустя два года, проект этого закона, регламентирующего и узаконивающего сбор, хранение и передачу конфиденциальной информации о человеке, вновь, вполне ожиданно, внесен в Государственную Думу. Он, вослед законопроектам "О документах, удостоверяющих личность гражданина РФ" и "О государственном регистре населения РФ", является необходимой и неотъемлемой составляющей, обеспечивающей правовое оправдание тоталитаризма "Сети", которая, судя по всему, уже в 2004 году должна опуститься на Россию, как, впрочем, на весь мир.


http://www.akdi.ru/gd/proekt/092878GD.SHTM
Интернет-сервер "АКДИ Экономика и жизнь"
akdi@akdi.ru

ФЕДЕРАЛЬНЫЙ ЗАКОН РФ

"ОБ ИНФОРМАЦИИ ПЕРСОНАЛЬНОГО ХАРАКТЕРА"

Официальные публикации:
Дата первой публикации полного текста:
Дата вступления в силу:
Внесен депутатами Государственной Думы: Ветровым К.В., Шубиным А.В., Финько О.А., Коваленко П.И., Лебедевым И.В., Мартыновым Б.А., Клинцевичем Ц.А., Кравцом А.А.


ТЕКСТ, ВНЕСЕННЫЙ В ГОСУДАРСТВЕННУЮ ДУМУ

РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ИНФОРМАЦИИ ПЕРСОНАЛЬНОГО ХАРАКТЕРА

     Настоящий Федеральный закон устанавливает порядок работы с персональными данными в соответствии с общепризнанными принципами и нормами международного права, международными договорами, участником которых является Российская Федерация, Конституцией Российской Федерации, законами Российской Федерации в целях защиты основных прав и свобод человека и гражданина применительно к работе с информацией персонального характера.

ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ Статья 1. Цели настоящего Федерального закона

     Целями настоящего Федерального закона являются: регулирование отношений по защите прав и свобод личности при использовании информации персонального характера и по защите этой информации; определение условий законности работы с информацией персонального характера; установление порядка формирования массивов информации персонального характера федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления, а также юридическими лицами, определяемыми Правительством Российской Федерации; определение прав и обязанностей субъектов информации персонального характера и держателей (обладателей) массивов такой информации; установление форм государственного регулирования и порядка работы с информацией персонального характера, а также условий обеспечения ее сохранности.

Статья 2. Сфера действия настоящего Федерального закона

     Действие норм настоящего Федерального закона распространяется на федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также юридических лиц, определяемых Правительством Российской Федерации, участвующих в работе с информацией персонального характера.
     Настоящим Федеральным законом регулируются отношения, возникающие при работе с информацией персонального характера независимо от применяемых средств обработки этой информации.

Статья 3. Термины и определения

     Для целей настоящего Федерального закона применяются следующие основные термины и определения:
     Информация персонального характера (персональные данные) - зафиксированная на материальном носителе информация о конкретном человеке, отождествленная с конкретным человеком или которая может быть отождествлена с конкретным человеком, позволяющая идентифицировать этого человека прямо или косвенно, в частности посредством ссылки на идентификационный номер или на один или несколько факторов, специфичных для его физической, психологической, ментальной, экономической, культурной или социальной идентичности.
     К персональным данным относятся: биографические и опознавательные данные, личные характеристики, сведения о семейном положении, социальном положении, образовании, навыках, профессии, служебном положении, финансовом положении, состоянии здоровья и прочее.
     Перечень персональных данных - список категорий данных об одном субъекте, собираемых держателем (обладателем) массива персональных данных.
     Массив персональных данных - упорядоченная и организованная совокупность персональных данных неопределенного числа субъектов персональных данных, независимо от вида материального носителя информации и используемых средств их обработки (архивы, картотеки, электронные базы данных и т. п.).
     Режим конфиденциальности персональных данных - нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных.
     Субъект персональных данных (субъект) - человек, к которому относятся соответствующие персональные данные.
     Держатель (обладатель) массива персональных данных (держатель (обладатель)) - федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также юридические лица, определяемые Правительством Российской Федерации, осуществляющие работу с массивами персональных данных на законных основаниях.
     Получатель персональных данных (получатель) - юридическое лицо, орган государственной власти или местного самоуправления, которому раскрываются персональные данные.
     Сбор персональных данных - документально оформленная процедура получения на законных основаниях персональных данных держателем (обладателем) массива персональных данных от субъектов этих данных либо из других источников в соответствии с действующим законодательством.
     Согласие субъекта персональных данных - свободно данное конкретное и сознательное указание о своей воле, в том числе письменно подтвержденное, которым субъект данных оповещает о своем согласии на проведение работы с его персональными данными.
     Передача персональных данных - предоставление держателем (обладателем) персональных данных третьим лицам в соответствии с настоящим Федеральным законом и международными договорами.
     Трансграничная передача персональных данных - передача держателем (обладателем) персональных данных держателям, находящимся под юрисдикцией других государств.
     Актуализация персональных данных - оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными действующим законодательством.
     Блокирование персональных данных - временное прекращение передачи, уточнения, использования и уничтожения персональных данных.
     Уничтожение (стирание или разрушение) персональных данных - действия держателя (обладателя) персональных данных, по приведению этих данных в состояние, не позволяющие восстановить их содержание.
     Обезличивание персональных данных - изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.

Статья 4. Основные принципы работы с персональными данными

     1. Персональные данные должны быть получены и обработаны добросовестным и законным образом.
     2. Персональные данные должны собираться для точно определенных объявленных и законных целей, не использоваться в противоречии с этими целями и в дальнейшем не обрабатываться каким-либо образом, несовместимым с данными целями.
     3. Персональные данные должны соответствовать целям, для которых они собираются и обрабатываются, и не быть избыточными в отношении этих целей.
     4. Персональные данные должны быть точными и в случае необходимости обновляться.
     5. Персональные данные должны храниться не дольше, чем этого требуют цели, для которых они накапливались, и подлежат уничтожению по достижении целей или минованию надобности в них.
     Для персональных данных, сохраняемых более длительные сроки в исторических или иных целях, должны быть установлены необходимые гарантии обеспечения их защиты.
     6. Не допускается объединение массивов персональных данных, собранных держателями (обладателями) в разных целях, для автоматизированной обработки информации.

ГЛАВА 2. УСЛОВИЯ ЗАКОННОСТИ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

      Статья 5. Правовые основания осуществления работы с персональными данными


     Работа с персональными данными может осуществляться держателем (обладателем) массива персональных данных только в случаях:
     если субъект персональных данных недвусмысленно дал свое согласие на ее проведение;
     если она необходима для выполнения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органами местного самоуправления своей компетенции, установленной действующим законодательством;
     если она нужна для достижения законных интересов держателей (обладателей) или третьей стороны, которой раскрыты персональные данные, имеющей лицензию на проведение работ с персональными данными, когда реализация этих интересов не препятствует осуществлению прав и свобод субъектов персональных данных применительно к обработке персональных данных;
     когда она необходима для защиты жизненных интересов субъекта персональных данных; когда она необходима для исполнения договора, в котором субъект персональных данных является стороной, или для принятия требуемых мер до заключения договора по просьбе субъекта;
     если она необходима для осуществления задач правоохранительных органов на законных основаниях.

Статья 6. Правовой режим персональных данных

     1. Персональные данные, находящиеся в ведении держателя (обладателя), относятся к конфиденциальной информации, кроме случаев, определенных настоящим Федеральным законом.
     2. Держатель (обладатель) персональных данных обязан обеспечивать охрану персональных данных во избежание несанкционированного доступа к ним, их блокирования или передачи, а равно их случайного или несанкционированного уничтожения, изменения или утраты.
     3. Режим конфиденциальности персональных данных снимается в случаях: обезличивания персональных данных;
     по желанию субъекта персональных данных; по истечении семидесятипятилетнего срока хранения персональных данных, если иное не предусмотрено требованиями субъекта персональных данных или действующим законодательством.
     4. Правовой режим персональных данных, полученных в результате деятельности правоохранительных органов, устанавливается в соответствии с действующим законодательством.
     5. Для некоторых категорий персональных данных лиц, занимающих высшие государственные должности, и кандидатов на эти должности в соответствующие периоды, в частности в период предвыборной компании, может устанавливаться специальный правовой режим их персональных данных, обеспечивающий открытость персональных данных, имеющих общественную значимость.
     6. По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (библиографические справочники, телефонные книги, адресные книги, частные объявления, массивы данных для осуществления прямого маркетинга и т. д.).
     7. С момента смерти субъекта персональных данных правовой режим персональных данных подлежит замене на режим архивного хранения или иной правовой режим, предусмотренный действующим законодательством.
     8. Защита персональных данных умершего лица может осуществляться другими лицами, в том числе наследниками, в порядке, предусмотренном действующим законодательством о защите чести, достоинства и деловой репутации, защите личной и семейной тайн.

Статья 7. Общедоступные массивы персональных данных

     1. В целях информационного обеспечения общества могут создаваться общедоступные массивы персональных данных (справочники, телефонные книги, адресные книги и т. п.).
     2. В общедоступные массивы персональных данных с письменного согласия субъекта могут включаться следующие персональные данные: фамилия, имя, отчество, год и место рождения, адрес местожительства, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом и/или полученные из открытых источников, других общедоступных массивов персональных данных, если эти источники сформированы с согласия субъекта персональных данных.
     3. В случае, если персональные данные получены держателем (обладателем) общедоступного массива персональных данных из открытых источников либо иных общедоступных массивов персональных данных, держатель (обладатель) общедоступного массива информирует субъекта о содержании его персональных данных, об источниках получения и цели использования.
     4. Персональные данные конкретного субъекта безотлагательно исключаются держателем (обладателем) персональных данных из общедоступного массива персональных данных на основании распоряжения этого субъекта или решения правоохранительного органа.
     5. Режим конфиденциальности для общедоступных массивов персональных данных не устанавливается.

Статья 8. Специальные категории персональных данных

     1. Сбор, накопление, хранение и использование персональных данных, раскрывающих расовое или этническое происхождение, национальную принадлежность, политические взгляды, религиозные или философские убеждения, а также касающихся состояния здоровья и сексуальных наклонностей, исключительно в целях выявления этих факторов, не допускаются.
     2. Часть 1 настоящей статьи не применяется в случаях: если субъект персональных данных дал свое явное согласие на сообщение и обработку таких данных;
     если обработка необходима для защиты жизненно важных интересов субъекта данных, иного лица или соответствующей группы лиц;
     если обработка осуществляется с надлежащими гарантиями специальной некоммерческой организацией в ходе ее законной деятельности в политических, философских или религиозных целях и относится исключительно к членам соответствующей организации или лицам, имеющим регулярный контакт с нею в связи с ее целями, и при условии, что данные не раскрываются третьей стороне без согласия субъектов данных;
     если обработка касается данных, которые явно сделаны общедоступными субъектом данных, или она необходима для осуществления действий в связи с судебными исками;
     если обработка данных требуется в целях превентивной медицины, медицинского диагноза, а также, если данные необходимы лицу, профессионально занимающемуся медицинской либо иной соответствующей деятельностью и обязанному согласно действующему законодательству сохранять профессиональную тайну.

ГЛАВА 3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ Статья 9. Предоставление персональных данных

     1. Субъект персональных данных самостоятельно решает вопрос о предоставлении комулибо любых своих персональных данных за исключением случаев, предусмотренных статьей 18 настоящего Федерального закона. Персональные данные предоставляются субъектом лично либо через доверенное лицо.
     2. В целях реализации своих прав и свобод субъект предоставляет данные в объеме, определяемом законодательством, а также сведения об их изменениях в соответствующие федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, имеющих право на работу с персональными данными в пределах их компетенции.
     3. Перед предоставлением своих персональных данных субъект должен быть ознакомлен держателем (обладателем) массива персональных данных с перечнем собираемых данных, основаниями и целями их сбора и использования, с возможной передачей персональных данных третьей стороне, а также информирован об ином возможном использовании персональных данных.

Статья 10. Доступ субъекта к своим персональным данным

     1. Субъект персональных данных имеет право знать о наличии у держателя (обладателя) относящихся к субъекту персональных данных и иметь к ним доступ. Право на доступ может быть ограничено только в случаях, предусмотренных статьей 16 настоящего Федерального закона.
     2. Информирование граждан о наличии персональных данных у держателей (обладателей) массивов данных осуществляется на основе общедоступного Реестра держателей (обладателей) массивов персональных данных, публикуемого в средствах массовой информации в соответствии с порядком, установленным в ст.32 настоящего федерального закона.
     3. Информация о наличии и содержании персональных данных субъекта должна быть выдана ему держателем (обладателем) массива персональных данных в общедоступной документированной форме, четко и ясно выраженная и не должна содержать персональных данных, относящихся к другим субъектам.
     4. Предоставление персональных данных их субъекту по инициативе субъекта производится на основании письменного запроса субъекта и документа, удостоверяющего его личность, за плату, не превышающую затраты на поиск и выдачу информации. Информация о наличии персональных данных и сами персональные данные предоставляются субъекту данных в срок, не превышающий недели с момента подачи заявления.
     5. Субъект персональных данных имеет право знакомиться с документами, содержащими сведения персонального характера о нем.

Статья 11. Внесение субъектом изменений в свои персональные данные

     При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя (обладателя) этих данных внесения изменений в свои персональные данные. Изменения в персональные данные вносятся в порядке, установленном статьей 27 настоящего Федерального закона.

Статья 12. Блокирование и снятие блокирования персональных данных

     В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя (обладателя) заблокировать эти данные. Блокирование и снятие блокирования персональных данных осуществляется в соответствии со статьей 20 настоящего Федерального закона.

Статья 13. Обжалование неправомерных действий в отношении персональных данных

     Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обжаловать эти действия в общем порядке, установленном действующим законодательством, либо обратиться с жалобой в уполномоченный орган государственной власти по персональным данным.

Статья 14. Порядок обращения в уполномоченный орган государственной власти по персональным данным

     Обращение (жалоба, заявление, предложение) должно быть подано в письменной форме и должно содержать фамилию, имя, отчество и адрес субъекта персональных данных, наименование и адрес держателя (обладателя) массива персональных данных, чьи действия обжалуются, изложение существа действий или решений, нарушивших, по мнению субъекта, его права.

Статья 15. Возмещение убытков и (или) компенсация морального вреда

     В случае установления неправомерности действий держателя (обладателя) массива персональных данных при работе с персональными данными, субъект данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
     В случае передачи одних и тех же персональных данных от одного держателя (обладателя) к другому и невозможности определения конкретного виновника нанесения ущерба, ответственность несет каждый держатель (обладатель) этих данных.

Статья 16. Ограничение прав субъекта на предоставление и получение своих персональных данных

     Ограничение прав субъекта на проедоставление и получение своих персональных данных возможно в отношении:
     1) Права предоставления субъектом своих персональных данных держателям (обладателям) массивов персональных данных - для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, - в пределах, установленных Законом Российской Федерации "О государственной тайне".
     2) Права доступа субъекта к своим персональным данным, внесения изменений в свои персональные данные, блокирования своих персональных данных:
     а) для персональных данных, полученных в результате оперативно-розыскной деятельности, за исключением случаев, когда эта деятельность проводится с нарушением действующего законодательства;
     б) для персональных данных субъектов, задержанных по подозрению в совершении преступления, либо которым предъявлено обвинение по уголовному делу, либо к которым применена мера пресечения до предъявления обвинения, в органах, проводящих указанные действия;
     в) для иных персональных данных в случаях, предусмотренных действующим законодательством.

ГЛАВА 4. ПРАВА И ОБЯЗАННОСТИ ДЕРЖАТЕЛЯ (ОБЛАДАТЕЛЯ) ПО РАБОТЕ С МАССИВАМИ ПЕРСОНАЛЬНЫХ ДАННЫХ

      Статья 17. Держатели (обладатели) массивов персональных данных

     1. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления имеют право выступать в качестве держателей (обладателей) массивов персональных данных и на работу с персональными данными в соответствии со своей компетенцией, установленной действующим законодательством.
     2. Юридические лица имеют право на работу с персональными данными на основании решения Правительства Российской Федерации.

Статья 18. Обязанности держателя (обладателя) массива персональных данных

     1. Держатель (обладатель) массива персональных данных обязан: получать персональные данные непосредственно от субъекта персональных данных, его доверенных лиц или из других законных источников; обеспечивать режим конфиденциальности персональных данных в предусмотренных законодательством Российской Федерации и настоящим Федеральным законом случаях; определять и документально оформлять порядок работы служащих организационной структуры, осуществляющих работу с персональными данными массива, а также лиц, несущих юридическую ответственность за соблюдение режима конфиденциальности и сохранности персональных данных; обеспечивать сохранность и достоверность персональных данных, а также установленный в нормативном порядке режим доступа к ним; сообщать субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставлять сами персональные данные в недельный срок после поступления от него запроса, за исключением случаев, предусмотренных статьей 16 настоящего Федерального закона;
     в случае отказа в предоставлении субъекту по его требованию информации о наличии персональных данных о нем, а также самих персональных данных, выдавать письменный мотивированный ответ, содержащий ссылку на соответствующий пункт статьи 16 настоящего Федерального закона, в срок, не превышающий двух недель с момента обращения субъекта;
     в двухнедельный срок представлять по запросам уполномоченного органа государственной власти по персональным данным или по правам человека информацию, необходимую для исполнения их полномочий.
     2. Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по обеспечению конфиденциальности этих персональных данных. Такие обязательства остаются в силе и после окончания работы этих лиц с персональными данными в течение срока сохранения режима конфиденциальности согласно статье 6 настоящего Федерального закона.

      Статья 19. Обязанности держателей (обладателей) персональных данных по составлению перечней персональных данных


     1. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, или уполномоченные ими структуры - держатели (обладатели), осуществляющие работу с персональными данными в пределах компетенции, установленной действующим законодательством, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и руководствуются ими.
     2. Указанные перечни согласовываются с уполномоченным органом государственной власти по персональным данным, регистрируются в этом органе и публикуются в Реестре держателей (обладателей) массивов персональных данных, ежегодно издаваемом этим органом государственной власти. Данные перечни устанавливают объем сведений, используемых федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, органов местного самоуправления для реализации своей компетенции.
     3. Уполномоченный орган государственной власти по персональным данным назначается из действующих органов государственной власти Правительством Российской Федерации.
     4. Порядок регистрации перечней персональных данных определяется Правительством Российской Федерации.
     5. Держатели (обладатели) массивов персональных данных, осуществляющие работу с персональными данными по решению Правительства Российской Федерации, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и согласовывают их с уполномоченным органом государственной власти.
     6. Перечни персональных данных должны соответствовать целям сбора этих данных. Расширение установленных перечней для реализации целей иного характера не допускается.

Статья 20. Обязанности держателя (обладателя) массива персональных данных по блокированию, снятию блокирования и уничтожению персональных данных

     1. В случае выявления субъектом персональных данных недостоверности персональных данных или неправомерности действий с ними держателя (обладателя) массива персональных данных субъект может подать заявление держателю (обладателю) массива этих данных или обратиться к уполномоченному органу государственной власти по персональным данным. Держатель (обладатель) обязан принять к производству заявление субъекта и заблокировать его персональные данные с момента его получения на период проверки заявления.
     2. В случае подтверждения недостоверности персональных данных держатель (обладатель) массива данных обязан на основании документов, представленных субъектом, исправить их и снять блокирование.
     3. В случае установления неправомерности сбора персональных данных держатель (обладатель) обязан уничтожить соответствующие данные в срок, не превышающий трех дней с момента такого установления, и документально уведомить об этом субъекта персональных данных.
     4. В случае взаимного признания правомерности действий с персональными данными или их достоверности держатель (обладатель) массива персональных данных обязан безотлагательно снять их блокирование.
     5. В случае несогласия держателя (обладателя) массива персональных данных с заявлением субъекта персональных данных, рассмотрение конфликтных ситуаций осуществляется уполномоченным органом государственной власти по персональным данным или в административном либо судебном порядке.
     При получении решения уполномоченного органа государственной власти по персональным данным, ответственного за ведение Регистра населения Российской Федерации, держатель (обладатель) обязан рассмотреть его, принять соответствующие меры и в месячный срок в письменной форме сообщить об этом указанному органу.

Статья 21. Обязанности органов государственной власти и органов местного самоуправления при взаимном обмене персональными данными

     1. Органы государственной власти и органы местного самоуправления могут в своей деятельности использовать персональные данные, находящиеся у других государственных держателей (обладателей) персональных данных.
     Перечни используемых данных регистрируются в Уполномоченном органе государственной власти по персональным данным.
     2. Формирование сводных массивов персональных данных, полученных органами государственной власти или органами местного самоуправления от различных государственных держателей (обладателей) персональных данных не допускается.
     3. Контроль за использованием персональных данных, полученных органами государственной власти и органами местного самоуправления от других государственных держателей (обладателей) персональных данных, осуществляется Уполномоченным государственным органом по персональным данным в порядке, установленном Правительством Российской Федерации.

Статья 22. Организация государственного справочного обслуживания персональными данными

     1. С целью организации справочного обслуживания физических и юридических лиц персональными данными Уполномоченный орган государственной власти ведет регистр первичного учета физических лиц, на основе данных первичного учета, хранящихся у государственных держателей (обладателей) персональных данных, полученных ими на законных основаниях.
     2. Уполномоченный орган государственной власти по персональным данным организует справочное обслуживание физических и юридических лиц, органов государственной власти и органов местного самоуправления на основе данных регистра первичного учета персональных данных.
     3. Порядок ведения регистра первичного учета персональных данных и организации справочного обслуживания определяется Правительством Российской Федерации.

Статья 23. Передача персональных данных

     1. Держатель (обладатель) массива персональных данных вправе передавать эти данные другому держателю (обладателю) без согласия субъекта персональных данных в случаях: если цели использования персональных данных получателем этих данных находятся в сфере целей первоначального сбора данных; крайней необходимости для защиты жизненно важных интересов субъекта персональных данных;
     по запросу федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, если запрашиваемый перечень персональных данных соответствует полномочиям запрашивающего органа;
     на основании закона.
     2. Передача персональных данных по просьбе субъекта данных либо третьей стороны, которой передаются данные, может иметь место для заключения и/или исполнения договора, в котором субъект данных является стороной, либо для принятия необходимых мер до заключения договора по просьбе субъекта персональных данных.
     3. Подтверждение согласия субъекта персональных данных на передачу его персональных данных третьей стороне для использования в целях, не соответствующих целям первоначального сбора, не требуется только в том случае, если оно было получено в процессе сбора этих данных. Держатель (обладатель) массива персональных данных обязан информировать субъекта персональных данных об осуществленной передаче его персональных данных третьей стороне в любой форме в недельный срок.
     4. Передача персональных данных держателем (обладателем) массива персональных данных получателю осуществляется в минимальном объеме, необходимом для решения задач получателя. Передача производится во исполнение договора, заключаемого между держателем (обладателем) персональных данных и получателем, в котором
     документально фиксируются:
     получатель информации;
     основания для передачи персональных данных;
     цель передачи;
     состав и объем передаваемых данных;
     сроки использования персональных данных (в пределах, установленных для обладателя (держателя), условия актуализации и обеспечения сохранности персональных данных
     5. При передаче персональных данных на получателя данных возлагается обязанность соблюдения режима конфиденциальности этих данных.
     6. Персональные данные, собранные на средства государственного бюджета, передаются в органы государственной власти и организации бюджетной сферы бесплатно.

Статья 24. Трансграничная передача персональных данных

     1. При трансграничной передаче персональных данных российский держатель (обладатель) массива персональных данных, передающий данные, исходит из наличия существующего соглашения между сторонами, согласно которому получающая сторона обеспечивает адекватный российскому уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных.
     2. Российская Федерация обеспечивает законные меры охраны находящихся на ес территории или передаваемых через ес территорию персональных данных, исключающие их искажение и несанкционированное использование.
     3. Передача персональных данных российскими держателями (обладателями) массивов персональных данных в страны, не обеспечивающие адекватный российскому защиты прав и свобод субъектов персональных данных уровень охраны персональных данных, может иметь место при условии:
     явно выраженного согласия субъекта персональных данных на эту передачу; необходимости передачи персональных данных для заключения и/или исполнения контракта между субъектом и держателем (обладателем) массива персональных данных либо между держателем (обладателем) и третьей стороной в интересах субъекта персональных данных;
     если передача необходима для защиты жизненно важных интересов субъекта персональных данных;
     если персональные данные содержатся в общедоступном массиве персональных данных. 4. При передаче персональных данных по глобальной информационной сети (Интернет и т. п.) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, в том числе
     конфиденциальности.

Статья 25. Обезличивание персональных данных

     Для проведения статистических, социологических, исторических, медицинских и других научных и практических исследований держатель (обладатель) массива персональных данных осуществляет обезличивание используемых данных, придавая им форму анонимных сведений. При этом режим конфиденциальности, установленный для персональных данных, снимается.
     Обезличивание должно исключать возможность идентификации субъекта персональных данных.

Статья 26. Хранение персональных данных

     1. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора или чем это предусмотрено лицензией. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено действующим законодательством.
     По истечении срока хранения, достижении целей сбора персональных данных, истечении срока действия лицензии, они подлежат уничтожению в течение двух недель. Уничтожение подтверждается актом.
     2. В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения установленных целей их сбора или истечения срока действия лицензии, держатель (обладатель) массива персональных данных обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных.
     3. Определенные персональные данные (личные дела, метрические книги и др.) после минования практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа либо иной статус, предусмотренный действующим законодательством.

Статья 27. Актуализация персональных данных

     1. Держатель (обладатель) массива персональных данных вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных:
     в случаях, предусмотренных законом;
     по собственной инициативе;
     по инициативе субъекта персональных данных, персональные данные которого подлежат изменению, в соответствии со статьей 11 настоящего Федерального закона.
     2. Внесение изменений в персональные данные по требованию субъекта этих данных производится не позднее месячного срока с момента подачи им заявления. Внесение изменений по инициативе держателя (обладателя) осуществляется в соответствии с внутренними правилами.

ГЛАВА 5. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ РАБОТЫ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ Статья 28. Формы государственного регулирования работы с персональными данными

     Государство осуществляет регулирование работы с персональными данными в следующих формах:
     лицензирование работы с персональными данными;
     учет и регистрация массивов персональных данных и их держателей (обладателей); сертификация информационных систем и информационных технологий, предназначенных для обработки персональных данных;
     заключение межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных.

Статья 29. Лицензирование работы с персональными данными

     1. Лицензия на проведение работы с персональными данными выдается уполномоченным органом государственной власти по персональным данным юридическим лицам, определяемым Правительством Российской Федерации.
     В лицензии указываются:
     цели сбора и использования персональных данных, режимы и сроки их хранения; категории или группы субъектов персональных данных;
     перечень персональных данных;
     источники сбора персональных данных;
     порядок информирования субъектов о сборе и возможной передаче их персональных данных;
     меры по обеспечению сохранности и конфиденциальности персональных данных; лицо, непосредственно ответственное за работу с персональными данными; требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, средства защиты информационных систем, информационных технологий и персональных данных.
     2. Информационные продукты, содержащие персональные данные, а также информация, предоставляемая субъекту персональных данных в соответствии с требованиями статьи 10, должны содержать указание (ссылку) на выданную лицензию.
     Уполномоченным органам государственной власти по персональным данным хранятся сведения о держателях (обладателях) массивов персональных данных, которые получили лицензию.

Статья 30. Отзыв лицензии

     Лицензия подлежит отзыву уполномоченным органом, выдавшим лицензию, в случаях: нарушения условий лицензии;
     подачи держателем (обладателем) массива персональных данных заявления о прекращении лицензируемой деятельности; ликвидации и реорганизации в установленном действующим законодательством порядке
     юридического лица - держателя (обладателя) массива персональных данных; по представлению органа по сертификации информационных систем, информационных технологий, предназначенных для обработки персональных данных;
     по решению суда.

Статья 31. Регистрация массивов и держателей (обладателей) персональных данных

     1. Массивы персональных данных и держатели (обладатели) этих массивов подлежат обязательной регистрации в уполномоченном органе государственной власти по персональным данным.
     При регистрации фиксируются:
     наименование массива персональных данных;
     наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс, адрес сервера в телекоммуникационной сети);
     цели и способы сбора и использования персональных данных, режимы и сроки их хранения;
     перечень собираемых персональных данных;
     категории или группы субъектов персональных данных; источники сбора персональных данных;
     порядок информирования субъектов о сборе и возможной передаче их персональных данных;
     меры по обеспечению сохранности и конфиденциальности персональных данных;
     лицо, непосредственно ответственное за работу с персональными данными;
     требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, а также средства защиты информационных систем и персональных данных.
     2. Массивы персональных данных, содержащие сведения, отнесенные к государственной тайне на основании Закона Российской Федерации "О государственной тайне", не регистрируются.
     3. Уполномоченный орган государственной власти по персональным данным осуществляет учет массивов персональных данных и держателей (обладателей) этих данных, включая и держателей массивов персональных данных, осуществляющих работу с персональными данными по лицензии.
     Указанный орган ежегодно публикует Реестр держателей персональных данных для всеобщего сведения в средствах массовой информации.
     Объединенный федеральный Реестр публикуется в общероссийских средствах массовой информации тиражом не менее 100 тысяч экземпляров.

ГЛАВА 6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

      Статья 32. О вступлении настоящего Федерального закона в силу

     Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Статья 33. О приведении правовых актов в соответствие с настоящим Федеральным законом

     Предложить Президенту Российской Федерации и поручить Правительству Российской Федерации привести свои правовые акты в соответствие с настоящим Федеральным законом.

Президент Российской
Федерации


ПОЯСНИТЕЛЬНАЯ ЗАПИСКА К ПРОЕКТУ ФЕДЕРАЛЬНОГО ЗАКОНА "ОБ ИНФОРМАЦИИ ПЕРСОНАЛЬНОГО ХАРАКТЕРА"

     1. Обоснование необходимости принятия федерального закона "Об информации персонального характера"
     Правовое регулирование работы с персональными данными на основе общепринятых международных норм и принципов в соответствии с Конституцией Российской Федерации и законами Российской Федерации необходимо для обеспечения прав и свобод личности, связанных со сбором, обработкой и использованием персональных данных в условиях, когда широкомасштабное применение средств вычислительной техники для этих целей позволяет сделать личную жизнь граждан "прозрачной" для государственных органов.
     Закон призван способствовать утверждению в обществе уважения к личности, ее достоинству на основе создания и соблюдения правовых норм, направленных на защиту прав и интересов человека и гражданина, в частности, права на неприкосновенность частной жизни.
     Столь же важным значением закона является создание правовых условий для решения государственных задач в области управления ресурсами с целью решения социальных проблем предоставления услуг на основе сбалансированного и социально справедливого разделения государственных средств, а также реализации функций осуществления государственных учетов, необходимых для работы налоговых служб, правоохранительных органов. Выполнение этих задач связано с оперированием большим объемом персональных данных на основании формирования и использования массивов этих данных, что в условиях создаваемого правового государства должно осуществляться строго в рамках законности.
     Вступление России в Европейское сообщество во многом обусловлено принятием федерального закона "Об информации персонального характера", поскольку более чем в 20 странах мира существуют подобные законы и вопросы взаимодействия европейских стран в области работы с персональными данными требуют унифицированного решения. Зарубежный опыт насчитывает свыше 25 лет в решении проблемы защиты информации персонального характера. В настоящее время развивается новый этап совершенствования правового регулирования проблемы персональных данных на основе принятия Директивы Европейского Парламента и Совета Европы 95/46/ЕС от 24 октября 1995 г. "О защите личности в отношении обработки персональных данных и свободном обращении этих данных". Директива утверждена как обязательная для стран Европейского Сообщества (ст.32) и существует установка, что не позднее трех лет после ее принятия всеми странами должны быть приняты необходимые для выполнения данной Директивы юридические, организационные и административные меры.
     Основными целями, определяющими необходимость принятия федерального закона "Об информации персонального характера", являются:
     обеспечение правовой защиты граждан в условиях бурного роста баз персональных данных, создаваемых в последнее десятилетие на основе новейших информационных технологий;
     создание правовой основы для максимально адекватной защиты персональной информации от усиливающегося к ней интереса со стороны криминальных структур; выполнение международных обязательств России по формированию правового регулирования трансграничной передачи персональных данных в рамках международных соглашений;
     совершенствование организационно-правового обеспечения деятельности физических и юридических лиц, органов государственной власти, органов местного самоуправления по формированию и использованию массивов персональных данных на основе законодательного закрепления прав, обязанностей и ответственности держателей (обладателей) этих массивов;
     открытие внутреннего информационного рынка России для деятельности негосударственных коммерческих структур, в частности для развития прямого маркетинга в области работы с персональными данными.
     В настоящее время в России нормы, касающиеся регулирования проблем, связанных с информацией персонального характера, содержатся в нескольких федеральных законах. Правовая основа работы с персональными данными определена в Конституции Российской Федерации (ст.ст. 22, 23 и ст. 29 п.4). В статьях 22 и 23 содержатся нормы, провозглашающие основные права личности, касающиеся частной жизни. В них закреплено право на неприкосновенность частной жизни, личную и семейную тайны.
     Запрещается сбор, хранение, использование и распространение информации о частной жизни лица без его согласия. На органы государственной власти возлагается обязанность обеспечить каждому возможность ознакомления с документами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. В Федеральном законе "Об информации, информатизации и защите информации" дано определение термина "персональные данные" и заложены основные принципы правового регулирования деятельности, связанной с персональными данными. В частности, статьей 11 этого Закона такие данные отнесены к конфиденциальной информации, вводится ответственность за нарушение их конфиденциальности, а также обязательность лицензирования для негосударственных организаций и частных лиц деятельности, связанной с обработкой и предоставлением персональных данных. Но эти нормы носят общий характер и подлежат дальнейшему развитию и конкретизации (например, вопросы защиты персональных данных, порядок лицензирования деятельности с персональными данными и др.).
     Вопросы правового регулирования работы с персональными данными затронуты в Основах законодательства Российской Федерации "Об Архивном фонде Российской Федерации и архивах" (ст.20), Федеральном законе "Об оперативно-розыскной деятельности" (ст.ст. 3, 5, 9, 10, 12, 21), законах Российской Федерации "О государственной тайне" (ст.5), "О средствах массовой информации" (ст.ст.41, 43, 46, 51, 57), "О федеральных органах налоговой полиции" (ст.10), "О налоговых органах Российской Федерации" (ст.ст. 7, 11), "О милиции", законодательстве о выборах.
     В Гражданском кодексе РФ статья 152 защищает честь, достоинство и деловую репутацию гражданина.
     В Уголовном кодексе РФ в статье 137 устанавливается уголовная ответственность "за незаконное собирание или распространения сведений о частной жизни лица, составляющих его личную или семейную тайну", но применительно ко всем случаям нарушения конфиденциальности персональных данных (в том числе и средствами массовой информации) этого явно недостаточно.
     Таким образом в стране объективно сложилась настоятельная необходимость развития правовой основы в сфере работы с персональными данными.
     Федеральный закон "Об информации персонального характера" должен дать правовую основу для развития нормативной правовой базы для формирования, использования и защиты массивов персональных данных в стране.
     2. Общая характеристика и основные положения законопроекта
     Законопроект содержит шесть глав (общие положения; условия законности работы с персональными данными; права субъекта персональных данных; права и обязанности держателя (обладателя) по работе с массивами персональных данных; государственное регулирование работы с персональными данными; заключительные положения), тридцать четыре статьи.
     В основу разработки проекта федерального закона "Об информации персонального характера" положены общепринятые международные принципы работы с этими данными, согласно которым персональные данные должны:
     быть помечены и обработаны добросовестным и законным образом;
     собираться для точно определенных, объявленных и законных целей;
     быть адекватными целям, для которых они собирались, и не избыточными в отношении этих целей; быть точными и в случае необходимости обновляться;
     храниться не дольше, чем этого требуют цели их сбора, и уничтожаться по достижении целей или минованию надобности в них.
     Не допускается объединение массивов персональных данных, собранных держателями (обладателями) в принципиально разных целях.
     В соответствии с названной выше Директивой Европейского Парламента и применительно к условиям нашей страны в проекте сформулированы правовые основания осуществления работы с персональными данными.
     Этими основаниями исчерпываются случаи законного сбора, обработки и использования персональных данных.
     Установление исчерпывающего типового перечня в таких случаях диктуется необходимостью обеспечить эффективную защиту прав личности в отношении персональных данных на основе выделения следующих основных приоритетов законопроекта, актуальных сегодня для нашего общества:
     а) защита персональных данных лиц от несанкционированного доступа к ним со стороны криминальных структур, других граждан, представителей государственных органов и служб, не имеющих на то соответствующих полномочий, путем регулирования порядка доступа субъектов персональных данных к своим данным;
     б) обеспечение сохранности, целостности и достоверности данных на основе: установления режима конфиденциальности соответствующих персональных данных; регламентации обязанностей, прав и ответственности держателей (обладателей) массивов персональных данных по работе с этими данными;
     в) обеспечение в условиях развития рыночных отношений в стране возможностей для работы с персональными данными держателей (обладателей) или третьих лиц, которым раскрыты персональные данные, имеющих лицензию на проведение работ с этими данными, в частности, на основе прямого маркетинга.
     В особую категорию выделяются персональные данные, получаемые в результате деятельности субъектов Федерального закона "Об оперативно-розыскной деятельности".
     Координацию работ по формированию массивов персональных данных законопроект поручает вести Уполномоченному органу государственной власти, определяемому Правительством РФ из числа органов исполнительной власти.
     Этот орган обязан вести реестр массивов персональных данных, формируемых в органах государственной власти и органах местного самоуправления и исключить неоправданное дублирование в перечне этих данных.
     Реализация закона не потребует расходов, покрываемых за счет государственного бюджета.
     Работы по формированию и использованию массивов персональных данных в органах государственной власти и органах местного самоуправления по мере внедрения норм закона будут освобождаться от неоправданного дублирования за счет использования Реестра персональных данных.
     Получаемая экономия бюджетных средств будет компенсировать затраты на ведение указанного Реестра в Уполномоченном органе государственной власти.