‘едеральный закон от 27 июл€ 2006 г. N 152-‘« (ред. от 25.07.2011) "ќ персональных данных"

—сылка скопирована в буфер обмена

Ќедействующа€ редакци€. јктуальна€ верси€ здесь.


–ќ——»…— јя ‘≈ƒ≈–ј÷»я
‘≈ƒ≈–јЋ№Ќџ… «ј ќЌ
от 27 июл€ 2006 г. N 152-‘«
ќ ѕ≈–—ќЌјЋ№Ќџ’ ƒјЌЌџ’

ѕрин€т √осударственной ƒумой
8 июл€ 2006 года
ќдобрен —оветом ‘едерации
14 июл€ 2006 года

√лава 1. ќЅў»≈ ѕќЋќ∆≈Ќ»я

—тать€ 1. —фера действи€ насто€щего ‘едерального закона

1. Ќасто€щим ‘едеральным законом регулируютс€ отношени€, св€занные с обработкой персональных данных, осуществл€емой федеральными органами государственной власти, органами государственной власти субъектов –оссийской ‘едерации, иными государственными органами (далее - государственные органы), органами местного самоуправлени€, не вход€щими в систему органов местного самоуправлени€ муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использовани€ таких средств, если обработка персональных данных без использовани€ таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

2. ƒействие насто€щего ‘едерального закона не распростран€етс€ на отношени€, возникающие при:

1) обработке персональных данных физическими лицами исключительно дл€ личных и семейных нужд, если при этом не нарушаютс€ права субъектов персональных данных;

2) организации хранени€, комплектовани€, учета и использовани€ содержащих персональные данные документов јрхивного фонда –оссийской ‘едерации и других архивных документов в соответствии с законодательством об архивном деле в –оссийской ‘едерации;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если така€ обработка осуществл€етс€ в соответствии с законодательством –оссийской ‘едерации в св€зи с де€тельностью физического лица в качестве индивидуального предпринимател€;

4) обработке персональных данных, отнесенных в установленном пор€дке к сведени€м, составл€ющим государственную тайну.

—тать€ 2. ÷ель насто€щего ‘едерального закона

÷елью насто€щего ‘едерального закона €вл€етс€ обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

—тать€ 3. ќсновные пон€ти€, используемые в насто€щем ‘едеральном законе

¬ цел€х насто€щего ‘едерального закона используютс€ следующие основные пон€ти€:

1) персональные данные - люба€ информаци€, относ€ща€с€ к определенному или определ€емому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамили€, им€, отчество, год, мес€ц, дата и место рождени€, адрес, семейное, социальное, имущественное положение, образование, професси€, доходы, друга€ информаци€;

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществл€ющие обработку персональных данных, а также определ€ющие цели и содержание обработки персональных данных;

3) обработка персональных данных - действи€ (операции) с персональными данными, включа€ сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных - действи€, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сет€х или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных - действи€ (операции) с персональными данными, совершаемые оператором в цел€х прин€ти€ решений или совершени€ иных действий, порождающих юридические последстви€ в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных - временное прекращение сбора, систематизации, накоплени€, использовани€, распространени€ персональных данных, в том числе их передачи;

7) уничтожение персональных данных - действи€, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаютс€ материальные носители персональных данных;

8) обезличивание персональных данных - действи€, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационна€ система персональных данных - информационна€ система, представл€юща€ собой совокупность персональных данных, содержащихс€ в базе данных, а также информационных технологий и технических средств, позвол€ющих осуществл€ть обработку таких персональных данных с использованием средств автоматизации или без использовани€ таких средств;

10) конфиденциальность персональных данных - об€зательное дл€ соблюдени€ оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространени€ без согласи€ субъекта персональных данных или наличи€ иного законного основани€;

11) трансгранична€ передача персональных данных - передача персональных данных оператором через √осударственную границу –оссийской ‘едерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласи€ субъекта персональных данных или на которые в соответствии с федеральными законами не распростран€етс€ требование соблюдени€ конфиденциальности.

—тать€ 4. «аконодательство –оссийской ‘едерации в области персональных данных

1. «аконодательство –оссийской ‘едерации в области персональных данных основываетс€ на  онституции –оссийской ‘едерации и международных договорах –оссийской ‘едерации и состоит из насто€щего ‘едерального закона и других определ€ющих случаи и особенности обработки персональных данных федеральных законов.

2. Ќа основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимс€ обработки персональных данных. Ќормативные правовые акты по отдельным вопросам, касающимс€ обработки персональных данных, не могут содержать положени€, ограничивающие права субъектов персональных данных. ”казанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведени€, доступ к которым ограничен федеральными законами.

3. ќсобенности обработки персональных данных, осуществл€емой без использовани€ средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами –оссийской ‘едерации с учетом положений насто€щего ‘едерального закона.

4. ≈сли международным договором –оссийской ‘едерации установлены иные правила, чем те, которые предусмотрены насто€щим ‘едеральным законом, примен€ютс€ правила международного договора.

√лава 2. ѕ–»Ќ÷»ѕџ » ”—Ћќ¬»я ќЅ–јЅќ“ » ѕ≈–—ќЌјЋ№Ќџ’ ƒјЌЌџ’

—тать€ 5. ѕринципы обработки персональных данных

1. ќбработка персональных данных должна осуществл€тьс€ на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответстви€ целей обработки персональных данных цел€м, заранее определенным и за€вленным при сборе персональных данных, а также полномочи€м оператора;

3) соответстви€ объема и характера обрабатываемых персональных данных, способов обработки персональных данных цел€м обработки персональных данных;

4) достоверности персональных данных, их достаточности дл€ целей обработки, недопустимости обработки персональных данных, избыточных по отношению к цел€м, за€вленным при сборе персональных данных;

5) недопустимости объединени€ созданных дл€ несовместимых между собой целей баз данных информационных систем персональных данных.

2. ’ранение персональных данных должно осуществл€тьс€ в форме, позвол€ющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

—тать€ 6. ”слови€ обработки персональных данных

1. ќбработка персональных данных может осуществл€тьс€ оператором с согласи€ субъектов персональных данных, за исключением случаев, предусмотренных частью 2 насто€щей статьи.

2. —огласи€ субъекта персональных данных, предусмотренного частью 1 насто€щей статьи, не требуетс€ в следующих случа€х:

1) обработка персональных данных осуществл€етс€ на основании федерального закона, устанавливающего ее цель, услови€ получени€ персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определ€ющего полномочи€ оператора;

2) обработка персональных данных осуществл€етс€ в цел€х исполнени€ договора, одной из сторон которого €вл€етс€ субъект персональных данных;

3) обработка персональных данных осуществл€етс€ дл€ статистических или иных научных целей при условии об€зательного обезличивани€ персональных данных;

4) обработка персональных данных необходима дл€ защиты жизни, здоровь€ или иных жизненно важных интересов субъекта персональных данных, если получение согласи€ субъекта персональных данных невозможно;

5) обработка персональных данных необходима дл€ доставки почтовых отправлений организаци€ми почтовой св€зи, дл€ осуществлени€ операторами электросв€зи расчетов с пользовател€ми услуг св€зи за оказанные услуги св€зи, а также дл€ рассмотрени€ претензий пользователей услугами св€зи;

6) обработка персональных данных осуществл€етс€ в цел€х профессиональной де€тельности журналиста либо в цел€х научной, литературной или иной творческой де€тельности при условии, что при этом не нарушаютс€ права и свободы субъекта персональных данных;

7) осуществл€етс€ обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

3. ќсобенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаютс€ соответственно стать€ми 10 и 11 насто€щего ‘едерального закона.

4. ¬ случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора €вл€етс€ об€занность обеспечени€ указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

—тать€ 7.  онфиденциальность персональных данных

1. ќператорами и третьими лицами, получающими доступ к персональным данным, должна обеспечиватьс€ конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 насто€щей статьи.

2. ќбеспечени€ конфиденциальности персональных данных не требуетс€:

1) в случае обезличивани€ персональных данных;

2) в отношении общедоступных персональных данных.

—тать€ 8. ќбщедоступные источники персональных данных

1. ¬ цел€х информационного обеспечени€ могут создаватьс€ общедоступные источники персональных данных (в том числе справочники, адресные книги). ¬ общедоступные источники персональных данных с письменного согласи€ субъекта персональных данных могут включатьс€ его фамили€, им€, отчество, год и место рождени€, адрес, абонентский номер, сведени€ о профессии и иные персональные данные, предоставленные субъектом персональных данных.

2. —ведени€ о субъекте персональных данных могут быть в любое врем€ исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

—тать€ 9. —огласие субъекта персональных данных на обработку своих персональных данных

1. —убъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 насто€щей статьи. —огласие на обработку персональных данных может быть отозвано субъектом персональных данных.

2. Ќасто€щим ‘едеральным законом и другими федеральными законами предусматриваютс€ случаи об€зательного предоставлени€ субъектом персональных данных своих персональных данных в цел€х защиты основ конституционного стро€, нравственности, здоровь€, прав и законных интересов других лиц, обеспечени€ обороны страны и безопасности государства.

3. ќб€занность предоставить доказательство получени€ согласи€ субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных об€занность доказывани€ того, что обрабатываемые персональные данные €вл€ютс€ общедоступными, возлагаетс€ на оператора.

4. ¬ случа€х, предусмотренных насто€щим ‘едеральным законом, обработка персональных данных осуществл€етс€ только с согласи€ в письменной форме субъекта персональных данных. ѕисьменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себ€:

1) фамилию, им€, отчество, адрес субъекта персональных данных, номер основного документа, удостовер€ющего его личность, сведени€ о дате выдачи указанного документа и выдавшем его органе;

2) наименование (фамилию, им€, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3) цель обработки персональных данных;

4) перечень персональных данных, на обработку которых даетс€ согласие субъекта персональных данных;

5) перечень действий с персональными данными, на совершение которых даетс€ согласие, общее описание используемых оператором способов обработки персональных данных;

6) срок, в течение которого действует согласие, а также пор€док его отзыва.

5. ƒл€ обработки персональных данных, содержащихс€ в согласии в письменной форме субъекта на обработку его персональных данных, дополнительного согласи€ не требуетс€.

6. ¬ случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.

7. ¬ случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

—тать€ 10. —пециальные категории персональных данных

1. ќбработка специальных категорий персональных данных, касающихс€ расовой, национальной принадлежности, политических взгл€дов, религиозных или философских убеждений, состо€ни€ здоровь€, интимной жизни, не допускаетс€, за исключением случаев, предусмотренных частью 2 насто€щей статьи.

2. ќбработка указанных в части 1 насто€щей статьи специальных категорий персональных данных допускаетс€ в случа€х, если:

1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

2) персональные данные €вл€ютс€ общедоступными;

3) персональные данные относ€тс€ к состо€нию здоровь€ субъекта персональных данных и их обработка необходима дл€ защиты его жизни, здоровь€ или иных жизненно важных интересов либо жизни, здоровь€ или иных жизненно важных интересов других лиц, и получение согласи€ субъекта персональных данных невозможно;

4) обработка персональных данных осуществл€етс€ в медико-профилактических цел€х, в цел€х установлени€ медицинского диагноза, оказани€ медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществл€етс€ лицом, профессионально занимающимс€ медицинской де€тельностью и об€занным в соответствии с законодательством –оссийской ‘едерации сохран€ть врачебную тайну;

5) обработка персональных данных членов (участников) общественного объединени€ или религиозной организации осуществл€етс€ соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством –оссийской ‘едерации, дл€ достижени€ законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распростран€тьс€ без согласи€ в письменной форме субъектов персональных данных;

6) обработка персональных данных необходима в св€зи с осуществлением правосуди€;

7) обработка персональных данных осуществл€етс€ в соответствии с законодательством –оссийской ‘едерации о безопасности, об оперативно-розыскной де€тельности, а также в соответствии с уголовно-исполнительным законодательством –оссийской ‘едерации.

3. ќбработка персональных данных о судимости может осуществл€тьс€ государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством –оссийской ‘едерации, а также иными лицами в случа€х и в пор€дке, которые определ€ютс€ в соответствии с федеральными законами.

4. ќбработка специальных категорий персональных данных, осуществл€вша€с€ в случа€х, предусмотренных част€ми 2 и 3 насто€щей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществл€лась обработка.

—тать€ 11. Ѕиометрические персональные данные

1. —ведени€, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатыватьс€ только при наличии согласи€ в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 насто€щей статьи.

2. ќбработка биометрических персональных данных может осуществл€тьс€ без согласи€ субъекта персональных данных в св€зи с осуществлением правосуди€, а также в случа€х, предусмотренных законодательством –оссийской ‘едерации о безопасности, законодательством –оссийской ‘едерации об оперативно-розыскной де€тельности, законодательством –оссийской ‘едерации о государственной службе, уголовно-исполнительным законодательством –оссийской ‘едерации, законодательством –оссийской ‘едерации о пор€дке выезда из –оссийской ‘едерации и въезда в –оссийскую ‘едерацию.

—тать€ 12. “рансгранична€ передача персональных данных

1. ƒо начала осуществлени€ трансграничной передачи персональных данных оператор об€зан убедитьс€ в том, что иностранным государством, на территорию которого осуществл€етс€ передача персональных данных, обеспечиваетс€ адекватна€ защита прав субъектов персональных данных.

2. “рансгранична€ передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществл€етс€ в соответствии с насто€щим ‘едеральным законом и может быть запрещена или ограничена в цел€х защиты основ конституционного стро€ –оссийской ‘едерации, нравственности, здоровь€, прав и законных интересов граждан, обеспечени€ обороны страны и безопасности государства.

3. “рансгранична€ передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществл€тьс€ в случа€х:

1) наличи€ согласи€ в письменной форме субъекта персональных данных;

2) предусмотренных международными договорами –оссийской ‘едерации по вопросам выдачи виз, а также международными договорами –оссийской ‘едерации об оказании правовой помощи по гражданским, семейным и уголовным делам;

3) предусмотренных федеральными законами, если это необходимо в цел€х защиты основ конституционного стро€ –оссийской ‘едерации, обеспечени€ обороны страны и безопасности государства;

4) исполнени€ договора, стороной которого €вл€етс€ субъект персональных данных;

5) защиты жизни, здоровь€, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получени€ согласи€ в письменной форме субъекта персональных данных.

—тать€ 13. ќсобенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных

1. √осударственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.

2. ‘едеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначени€ принадлежности персональных данных, содержащихс€ в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.

3. ѕрава и свободы человека и гражданина не могут быть ограничены по мотивам, св€занным с использованием различных способов обработки персональных данных или обозначени€ принадлежности персональных данных, содержащихс€ в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Ќе допускаетс€ использование оскорбл€ющих чувства граждан или унижающих человеческое достоинство способов обозначени€ принадлежности персональных данных, содержащихс€ в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.

4. ¬ цел€х обеспечени€ реализации прав субъектов персональных данных в св€зи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населени€, правовой статус которого и пор€док работы с которым устанавливаютс€ федеральным законом.

√лава 3. ѕ–ј¬ј —”ЅЏ≈ “ј ѕ≈–—ќЌјЋ№Ќџ’ ƒјЌЌџ’

—тать€ 14. ѕраво субъекта персональных данных на доступ к своим персональным данным

1. —убъект персональных данных имеет право на получение сведений об операторе, о месте его нахождени€, о наличии у оператора персональных данных, относ€щихс€ к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 насто€щей статьи. —убъект персональных данных вправе требовать от оператора уточнени€ своих персональных данных, их блокировани€ или уничтожени€ в случае, если персональные данные €вл€ютс€ неполными, устаревшими, недостоверными, незаконно полученными или не €вл€ютс€ необходимыми дл€ за€вленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. —ведени€ о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержатьс€ персональные данные, относ€щиес€ к другим субъектам персональных данных.

3. ƒоступ к своим персональным данным предоставл€етс€ субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представител€. «апрос должен содержать номер основного документа, удостовер€ющего личность субъекта персональных данных или его законного представител€, сведени€ о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представител€. «апрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством –оссийской ‘едерации.

4. —убъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейс€ обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

2) способы обработки персональных данных, примен€емые оператором;

3) сведени€ о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

4) перечень обрабатываемых персональных данных и источник их получени€;

5) сроки обработки персональных данных, в том числе сроки их хранени€;

6) сведени€ о том, какие юридические последстви€ дл€ субъекта персональных данных может повлечь за собой обработка его персональных данных.

5. ѕраво субъекта персональных данных на доступ к своим персональным данным ограничиваетс€ в случае, если:

1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной де€тельности, осуществл€етс€ в цел€х обороны страны, безопасности государства и охраны правопор€дка;

2) обработка персональных данных осуществл€етс€ органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступлени€, либо предъ€вившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечени€ до предъ€влени€ обвинени€, за исключением предусмотренных уголовно-процессуальным законодательством –оссийской ‘едерации случаев, если допускаетс€ ознакомление подозреваемого или обвин€емого с такими персональными данными;

3) предоставление персональных данных нарушает конституционные права и свободы других лиц.

—тать€ 15. ѕрава субъектов персональных данных при обработке их персональных данных в цел€х продвижени€ товаров, работ, услуг на рынке, а также в цел€х политической агитации

1. ќбработка персональных данных в цел€х продвижени€ товаров, работ, услуг на рынке путем осуществлени€ пр€мых контактов с потенциальным потребителем с помощью средств св€зи, а также в цел€х политической агитации допускаетс€ только при условии предварительного согласи€ субъекта персональных данных. ”казанна€ обработка персональных данных признаетс€ осуществл€емой без предварительного согласи€ субъекта персональных данных, если оператор не докажет, что такое согласие было получено.

2. ќператор об€зан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 насто€щей статьи.

—тать€ 16. ѕрава субъектов персональных данных при прин€тии решений на основании исключительно автоматизированной обработки их персональных данных

1. «апрещаетс€ прин€тие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последстви€ в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 насто€щей статьи.

2. –ешение, порождающее юридические последстви€ в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть прин€то на основании исключительно автоматизированной обработки его персональных данных только при наличии согласи€ в письменной форме субъекта персональных данных или в случа€х, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдени€ прав и законных интересов субъекта персональных данных.

3. ќператор об€зан разъ€снить субъекту персональных данных пор€док прин€ти€ решени€ на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последстви€ такого решени€, предоставить возможность за€вить возражение против такого решени€, а также разъ€снить пор€док защиты субъектом персональных данных своих прав и законных интересов.

4. ќператор об€зан рассмотреть возражение, указанное в части 3 насто€щей статьи, в течение семи рабочих дней со дн€ его получени€ и уведомить субъекта персональных данных о результатах рассмотрени€ такого возражени€.

—тать€ 17. ѕраво на обжалование действий или бездействи€ оператора

1. ≈сли субъект персональных данных считает, что оператор осуществл€ет обработку его персональных данных с нарушением требований насто€щего ‘едерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действи€ или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном пор€дке.

2. —убъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном пор€дке.

√лава 4. ќЅя«јЌЌќ—“» ќѕ≈–ј“ќ–ј

—тать€ 18. ќб€занности оператора при сборе персональных данных

1. ѕри сборе персональных данных оператор об€зан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 насто€щего ‘едерального закона.

2. ≈сли об€занность предоставлени€ персональных данных установлена федеральным законом, оператор об€зан разъ€снить субъекту персональных данных юридические последстви€ отказа предоставить свои персональные данные.

3. ≈сли персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные €вл€ютс€ общедоступными, оператор до начала обработки таких персональных данных об€зан предоставить субъекту персональных данных следующую информацию:

1) наименование (фамили€, им€, отчество) и адрес оператора или его представител€;

2) цель обработки персональных данных и ее правовое основание;

3) предполагаемые пользователи персональных данных;

4) установленные насто€щим ‘едеральным законом права субъекта персональных данных.

—тать€ 19. ћеры по обеспечению безопасности персональных данных при их обработке

1. ќператор при обработке персональных данных об€зан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, дл€ защиты персональных данных от неправомерного или случайного доступа к ним, уничтожени€, изменени€, блокировани€, копировани€, распространени€ персональных данных, а также от иных неправомерных действий.

2. ѕравительство –оссийской ‘едерации устанавливает требовани€ к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требовани€ к материальным носител€м биометрических персональных данных и технологи€м хранени€ таких данных вне информационных систем персональных данных.

3.  онтроль и надзор за выполнением требований, установленных ѕравительством –оссийской ‘едерации в соответствии с частью 2 насто€щей статьи, осуществл€ютс€ федеральным органом исполнительной власти, уполномоченным в области обеспечени€ безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействи€ техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомлени€ с персональными данными, обрабатываемыми в информационных системах персональных данных.

4. »спользование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществл€тьс€ только на таких материальных носител€х информации и с применением такой технологии ее хранени€, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожени€, изменени€, блокировани€, копировани€, распространени€.

—тать€ 20. ќб€занности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представител€, а также уполномоченного органа по защите прав субъектов персональных данных

1. ќператор об€зан в пор€дке, предусмотренном статьей 14 насто€щего ‘едерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относ€щихс€ к соответствующему субъекту персональных данных, а также предоставить возможность ознакомлени€ с ними при обращении субъекта персональных данных или его законного представител€ либо в течение дес€ти рабочих дней с даты получени€ запроса субъекта персональных данных или его законного представител€.

2. ¬ случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представител€ информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор об€зан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 насто€щего ‘едерального закона или иного федерального закона, €вл€ющеес€ основанием дл€ такого отказа, в срок, не превышающий семи рабочих дней со дн€ обращени€ субъекта персональных данных или его законного представител€ либо с даты получени€ запроса субъекта персональных данных или его законного представител€.

3. ќператор об€зан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомлени€ с персональными данными, относ€щимис€ к соответствующему субъекту персональных данных, а также внести в них необходимые изменени€, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относ€тс€ к соответствующему субъекту и обработку которых осуществл€ет оператор, €вл€ютс€ неполными, устаревшими, недостоверными, незаконно полученными или не €вл€ютс€ необходимыми дл€ за€вленной цели обработки. ќ внесенных изменени€х и предприн€тых мерах оператор об€зан уведомить субъекта персональных данных или его законного представител€ и третьих лиц, которым персональные данные этого субъекта были переданы.

4. ќператор об€зан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую дл€ осуществлени€ де€тельности указанного органа, в течение семи рабочих дней с даты получени€ такого запроса.

—тать€ 21. ќб€занности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

1. ¬ случае вы€влени€ недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представител€ либо уполномоченного органа по защите прав субъектов персональных данных оператор об€зан осуществить блокирование персональных данных, относ€щихс€ к соответствующему субъекту персональных данных, с момента такого обращени€ или получени€ такого запроса на период проверки.

2. ¬ случае подтверждени€ факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов об€зан уточнить персональные данные и сн€ть их блокирование.

3. ¬ случае вы€влени€ неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого вы€влени€, об€зан устранить допущенные нарушени€. ¬ случае невозможности устранени€ допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты вы€влени€ неправомерности действий с персональными данными, об€зан уничтожить персональные данные. ќб устранении допущенных нарушений или об уничтожении персональных данных оператор об€зан уведомить субъекта персональных данных или его законного представител€, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

4. ¬ случае достижени€ цели обработки персональных данных оператор об€зан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижени€ цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представител€, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

5. ¬ случае отзыва субъектом персональных данных согласи€ на обработку своих персональных данных оператор об€зан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступлени€ указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. ќб уничтожении персональных данных оператор об€зан уведомить субъекта персональных данных.

—тать€ 22. ”ведомление об обработке персональных данных

1. ќператор до начала обработки персональных данных об€зан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществл€ть обработку персональных данных, за исключением случаев, предусмотренных частью 2 насто€щей статьи.

2. ќператор вправе осуществл€ть без уведомлени€ уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относ€щихс€ к субъектам персональных данных, которых св€зывают с оператором трудовые отношени€;

2) полученных оператором в св€зи с заключением договора, стороной которого €вл€етс€ субъект персональных данных, если персональные данные не распростран€ютс€, а также не предоставл€ютс€ третьим лицам без согласи€ субъекта персональных данных и используютс€ оператором исключительно дл€ исполнени€ указанного договора и заключени€ договоров с субъектом персональных данных;

3) относ€щихс€ к членам (участникам) общественного объединени€ или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством –оссийской ‘едерации, дл€ достижени€ законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распростран€тьс€ без согласи€ в письменной форме субъектов персональных данных;

4) €вл€ющихс€ общедоступными персональными данными;

5) включающих в себ€ только фамилии, имена и отчества субъектов персональных данных;

6) необходимых в цел€х однократного пропуска субъекта персональных данных на территорию, на которой находитс€ оператор, или в иных аналогичных цел€х;

7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в цел€х защиты безопасности государства и общественного пор€дка;

8) обрабатываемых без использовани€ средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами –оссийской ‘едерации, устанавливающими требовани€ к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.

3. ”ведомление, предусмотренное частью 1 насто€щей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством –оссийской ‘едерации. ”ведомление должно содержать следующие сведени€:

1) наименование (фамили€, им€, отчество), адрес оператора;

2) цель обработки персональных данных;

3) категории персональных данных;

4) категории субъектов, персональные данные которых обрабатываютс€;

5) правовое основание обработки персональных данных;

6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

7) описание мер, которые оператор об€зуетс€ осуществл€ть при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

8) дата начала обработки персональных данных;

9) срок или условие прекращени€ обработки персональных данных.

4. ”полномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступлени€ уведомлени€ об обработке персональных данных вносит сведени€, указанные в части 3 насто€щей статьи, а также сведени€ о дате направлени€ указанного уведомлени€ в реестр операторов. —ведени€, содержащиес€ в реестре операторов, за исключением сведений о средствах обеспечени€ безопасности персональных данных при их обработке, €вл€ютс€ общедоступными.

5. Ќа оператора не могут возлагатьс€ расходы в св€зи с рассмотрением уведомлени€ об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в св€зи с внесением сведений в реестр операторов.

6. ¬ случае предоставлени€ неполных или недостоверных сведений, указанных в части 3 насто€щей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнени€ предоставленных сведений до их внесени€ в реестр операторов.

7. ¬ случае изменени€ сведений, указанных в части 3 насто€щей статьи, оператор об€зан уведомить об изменени€х уполномоченный орган по защите прав субъектов персональных данных в течение дес€ти рабочих дней с даты возникновени€ таких изменений.

√лава 5.  ќЌ“–ќЋ№ » Ќјƒ«ќ– «ј ќЅ–јЅќ“ ќ… ѕ≈–—ќЌјЋ№Ќџ’ ƒјЌЌџ’. ќ“¬≈“—“¬≈ЌЌќ—“№ «ј Ќј–”Ў≈Ќ»≈ “–≈Ѕќ¬јЌ»… Ќј—“ќяў≈√ќ ‘≈ƒ≈–јЋ№Ќќ√ќ «ј ќЌј

—тать€ 23. ”полномоченный орган по защите прав субъектов персональных данных

1. ”полномоченным органом по защите прав субъектов персональных данных, на который возлагаетс€ обеспечение контрол€ и надзора за соответствием обработки персональных данных требовани€м насто€щего ‘едерального закона, €вл€етс€ федеральный орган исполнительной власти, осуществл€ющий функции по контролю и надзору в сфере информационных технологий и св€зи.

2. ”полномоченный орган по защите прав субъектов персональных данных рассматривает обращени€ субъекта персональных данных о соответствии содержани€ персональных данных и способов их обработки цел€м их обработки и принимает соответствующее решение.

3. ”полномоченный орган по защите прав субъектов персональных данных имеет право:

1) запрашивать у физических или юридических лиц информацию, необходимую дл€ реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществл€ть проверку сведений, содержащихс€ в уведомлении об обработке персональных данных, или привлекать дл€ осуществлени€ такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнени€, блокировани€ или уничтожени€ недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством –оссийской ‘едерации пор€дке меры по приостановлению или прекращению обработки персональных данных, осуществл€емой с нарушением требований насто€щего ‘едерального закона;

5) обращатьс€ в суд с исковыми за€влени€ми в защиту прав субъектов персональных данных и представл€ть интересы субъектов персональных данных в суде;

6) направл€ть за€вление в орган, осуществл€ющий лицензирование де€тельности оператора, дл€ рассмотрени€ вопроса о прин€тии мер по приостановлению действи€ или аннулированию соответствующей лицензии в установленном законодательством –оссийской ‘едерации пор€дке, если условием лицензии на осуществление такой де€тельности €вл€етс€ запрет на передачу персональных данных третьим лицам без согласи€ в письменной форме субъекта персональных данных;

7) направл€ть в органы прокуратуры, другие правоохранительные органы материалы дл€ решени€ вопроса о возбуждении уголовных дел по признакам преступлений, св€занных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в ѕравительство –оссийской ‘едерации предложени€ о совершенствовании нормативного правового регулировани€ защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении насто€щего ‘едерального закона.

4. ¬ отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществлени€ им своей де€тельности, должна обеспечиватьс€ конфиденциальность персональных данных.

5. ”полномоченный орган по защите прав субъектов персональных данных об€зан:

1) организовывать в соответствии с требовани€ми насто€щего ‘едерального закона и других федеральных законов защиту прав субъектов персональных данных;

2) рассматривать жалобы и обращени€ граждан или юридических лиц по вопросам, св€занным с обработкой персональных данных, а также принимать в пределах своих полномочий решени€ по результатам рассмотрени€ указанных жалоб и обращений;

3) вести реестр операторов;

4) осуществл€ть меры, направленные на совершенствование защиты прав субъектов персональных данных;

5) принимать в установленном законодательством –оссийской ‘едерации пор€дке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечени€ безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействи€ техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;

6) информировать государственные органы, а также субъектов персональных данных по их обращени€м или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполн€ть иные предусмотренные законодательством –оссийской ‘едерации об€занности.

6. –ешени€ уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном пор€дке.

7. ”полномоченный орган по защите прав субъектов персональных данных ежегодно направл€ет отчет о своей де€тельности ѕрезиденту –оссийской ‘едерации, в ѕравительство –оссийской ‘едерации и ‘едеральное —обрание –оссийской ‘едерации. ”казанный отчет подлежит опубликованию в средствах массовой информации.

8. ‘инансирование уполномоченного органа по защите прав субъектов персональных данных осуществл€етс€ за счет средств федерального бюджета.

9. ѕри уполномоченном органе по защите прав субъектов персональных данных создаетс€ на общественных началах консультативный совет, пор€док формировани€ и пор€док де€тельности которого определ€ютс€ уполномоченным органом по защите прав субъектов персональных данных.

—тать€ 24. ќтветственность за нарушение требований насто€щего ‘едерального закона

Ћица, виновные в нарушении требований насто€щего ‘едерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством –оссийской ‘едерации ответственность.

√лава 6. «ј Ћё„»“≈Ћ№Ќџ≈ ѕќЋќ∆≈Ќ»я

—тать€ 25. «аключительные положени€

1. Ќасто€щий ‘едеральный закон вступает в силу по истечении ста восьмидес€ти дней после дн€ его официального опубликовани€.

2. ѕосле дн€ вступлени€ в силу насто€щего ‘едерального закона обработка персональных данных, включенных в информационные системы персональных данных до дн€ его вступлени€ в силу, осуществл€етс€ в соответствии с насто€щим ‘едеральным законом.

3. »нформационные системы персональных данных, созданные до дн€ вступлени€ в силу насто€щего ‘едерального закона, должны быть приведены в соответствие с требовани€ми насто€щего ‘едерального закона не позднее 1 €нвар€ 2010 года.

4. ќператоры, которые осуществл€ют обработку персональных данных до дн€ вступлени€ в силу насто€щего ‘едерального закона и продолжают осуществл€ть такую обработку после дн€ его вступлени€ в силу, об€заны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 насто€щего ‘едерального закона, уведомление, предусмотренное частью 3 статьи 22 насто€щего ‘едерального закона, не позднее 1 €нвар€ 2008 года.

ѕрезидент
–оссийской ‘едерации
¬. ѕ”“»Ќ
27 июл€ 2006 г.

ћеню дл€ питани€ детей 3Ц7 лет

9990 –

ѕерейти

ѕовышение квалификации —балансированное питание дошкольников: требовани€, организаци€ и контроль

5000 –

ѕерейти

ѕовышение квалификации —балансированное питание детей в школе: требовани€, организаци€ и контроль

5000 –

ѕерейти

»нтенсив –асписание в колледже под ключ

8000 –

ѕерейти

ѕрофессиональна€ переподготовка  адастрова€ де€тельность

11990 –

ѕерейти