Ustawa o ochronie i przechowywaniu danych osobowych. Weszła w życie ustawa o przechowywaniu danych osobowych w Rosji

jesteś tutaj: 3-NDFL

„O danych osobowych” (ustawa federalna nr 152)? Jakie są główne wymagania i postanowienia zawarte w tym projekcie? Odpowiedzi na wszystkie te pytania zostaną zawarte w artykule.

Postanowienia ogólne

Jakie są cele rozpatrywanego projektu ustawy? Pierwszą i najbardziej podstawową rzeczą jest regulacja relacji związanych z przetwarzaniem informacji. Mowa tu o narzędziach automatyzacji, sieciach informatycznych i telekomunikacyjnych, nośnikach materialnych oraz szafach aktowych. Prawo nie reguluje ochrony danych w konkretnym obszarze domowym, rodzinnym lub osobistym. Najważniejszym obszarem prac prezentowanej ustawy jest ochrona wolności i praw obywateli poprzez wysokiej jakości przetwarzanie ich danych osobowych. Jest to konieczne, aby zapewnić wysokiej jakości nienaruszalność życia prywatnego, rodzinnego i osobistego.

Ustawa „O danych osobowych” ma na celu ochronę praw obywateli. Co należy rozumieć przez dane osobowe? Krótko mówiąc, są to absolutnie wszelkie informacje, które są pośrednio lub bezpośrednio związane z konkretną osobą. Proces przetwarzania tych danych to szereg operacji mających na celu przechowywanie, blokowanie, usuwanie lub usystematyzowanie informacji.

Zasady

nr 152) zawiera szereg podstawowych zasad, na których opiera się cały proces przetwarzania informacji. Jakie są te zasady? Tutaj możemy wyróżnić następujące kwestie:

Wszelkie działania muszą być prowadzone w oparciu o uczciwą i legalną podstawę. Istnienie rozpatrywanego projektu ustawy potwierdza tę zasadę.
Należy ustalić konkretny, jasny cel. Jakiekolwiek odstępstwa od tego celu są niedopuszczalne (celem jest ochrona praw obywateli).
Należy zapewnić dokładność, wystarczalność i przydatność określonych celów. Treść musi być ustalona (ustawa o danych osobowych to przewiduje).
Przechowywanie wszystkich niezbędnych danych musi odbywać się zgodnie ze wszystkimi terminami, wymaganiami i celami.

Zatem rozpatrywany akt prawny zawiera wszystkie niezbędne zasady, na których można oprzeć działania w zakresie ochrony informacji.

Warunki

Przetwarzanie danych osobowych musi odbywać się nie tylko zgodnie z określonymi zasadami, ale także ściśle pod określonymi warunkami. Jakie są te warunki i jak są pogrupowane? Oto co warto podkreślić:

Obowiązkowa zgoda obywatela na przetwarzanie jego danych jest najważniejszym warunkiem zawartym w ustawie „O danych osobowych” (ustawa federalna nr 152).
Wszelkie przetwarzanie danych ma na celu przede wszystkim osiągnięcie określonych celów regulowanych przepisami prawa i traktatami Federacji Rosyjskiej.
Przetwarzanie danych osobowych ma na celu wymierzenie sprawiedliwości lub dokonanie jakichkolwiek czynności prawnych.
Jeżeli uzyskanie zgody od obywatela jest niemożliwe, przetwarzanie jego danych powinno odbywać się nadal w przypadkach, gdy życie lub zdrowie tej osoby jest zagrożone.

Warto również zaznaczyć, że przetwarzaniem wszystkich niezbędnych danych osobowych muszą zajmować się specjalni, uprawnieni operatorzy. Obowiązki tych specjalistów zostaną podane poniżej.

Kategorie

Rozporządzenie o ochronie danych osobowych zawiera określone rodzaje i kategorie elementów informacji, które podlegają przetwarzaniu. O czym dokładnie mówimy? Krótko mówiąc, główne kategorie można scharakteryzować jako przekonania rasowe, narodowe, religijne lub inne przekonania przewidziane w odpowiedniej ustawie. Ich przetwarzanie powinno odbywać się wyłącznie za bezpośrednią zgodą obywatela i zgodnie z wszelkimi normami, standardami i zasadami.

Trzeba przyznać, że bardzo trudno jest bardziej szczegółowo ujawnić główne kategorie danych osobowych. Ale z reguły są to poufne informacje dotyczące różnego rodzaju osób, urzędników państwowych, personelu wojskowego itp. Wszystko, czego obywatel nie chciałby ujawniać publicznie, musi znajdować się pod ochroną państwa. Są to dane paszportu osobistego, numery świadectwa lub prawa jazdy, przekonania ideologiczne itp.

Prawa podmiotów

Ustawa „O danych osobowych” (ustawa federalna nr 152) stanowi, że każdy obywatel, którego dane są przetwarzane, ma prawo w dowolnym momencie otrzymać wszystkie niezbędne informacje zarówno o jego danych, jak i poziomie ich ochrony. Każda osoba może złożyć specjalną prośbę, po czym każdy dostępny operator musi podać wszystkie niezbędne dane.

W takim przypadku podmiot ma prawo:

aby wyświetlić wszystkie niezbędne dane;
zniszczenia przetwarzanych informacji;
dokonać pewnych zmian w informacjach.

W celu uzyskania wszelkich niezbędnych informacji podmiot musi złożyć wniosek podając swój numer personalny (dowód osobisty). Ponadto każdy obywatel ma prawo zwracać się z wielokrotnymi żądaniami do niezbędnych organów.

Warto również zaznaczyć, że operator ma prawo odmówić podmiotowi przeglądania niezbędnych informacji. Odmowa ta musi być jednak uzasadniona. Z reguły głównymi motywami są błędnie wypełnione żądanie, niedokończone przetwarzanie danych lub ograniczony status prawny samego podmiotu.

Obowiązki operatora

Kim są operatorzy? Pracownicy ci zostali już omówieni powyżej, ale nigdy nie zidentyfikowano ich głównych funkcji. Odpowiednie rozporządzenie o ochronie danych osobowych reguluje, co następuje:

operator ma obowiązek poinformować podmiot o swoim stanowisku, nazwisku i imieniu oraz adresie;
musi pracować w ścisłej zgodzie z prawem, w oparciu o określone akty prawne;
ma obowiązek poinformować podmiot o wszelkich niezbędnych zasadach korzystania z danych osobowych;
ma obowiązek zapewnić wysoką jakość rejestrowania, przechowywania, systematyzacji, gromadzenia i modyfikacji wszelkich chronionych i przetwarzanych danych osobowych.

Warto również zauważyć, że operator ma prawo nie przekazywać obywatelowi danych osobowych, jeśli są one aktywnie przetwarzane lub jeśli sam podmiot nie spełnił wszystkich niezbędnych zasad i warunków uzyskania danych osobowych.

Środki bezpieczeństwa

Główne funkcje i obowiązki operatorów – pracowników w zakresie przetwarzania danych osobowych – zostały opisane powyżej. Jedną z najważniejszych funkcji każdego operatora pozostaje zapewnienie bezpiecznego przechowywania informacji w odpowiednich zasobach. Ustawa federalna Federacji Rosyjskiej z dnia 27 lipca 2006 r. (nr 152, ustawa federalna) reguluje podstawowe środki i metody zapewniające wysoką jakość bezpieczeństwa wszelkich danych osobowych. Oto, co możemy tutaj wyróżnić:

skuteczna i szybka identyfikacja zagrożeń bezpieczeństwa oraz ich szybka eliminacja;
jasne stosowanie różnorodnych środków technicznych i organizacyjnych zapewniających bezpieczeństwo przechowywania;
sporządzanie szacunków dla odpowiednich procedur, analiza operacji magazynowania i akumulacji;
zapewnienie wysokiej jakości nośników komputerowych oraz różnego rodzaju elementów technicznych;
szybkie przywrócenie dostępu do wszystkich danych osobowych w przypadku ich wycieku lub utraty.

Ponadto niektóre zmiany w prawie dotyczą także ustanowienia określonych poziomów bezpieczeństwa, według których możliwa jest jakościowa ocena pracy nad przetwarzaniem danych osobowych.

Upoważniony organ

Wreszcie trzeba mówić o uprawnionym organie, do którego obowiązków należy kontrola nad przetwarzaniem danych osobowych niektórych obywateli. Łatwo się domyślić, że organem uprawnionym jest władza wykonawcza. Do jego obowiązków należy kontrola jakości i nadzór nad efektywną pracą przetwarzania informacji. Do czego uprawniony organ ma prawo?

Reguluje to ustawa nr 152 (FZ) „O danych osobowych”.

Federalna ustawa o ochronie danych osobowych przeszła ostatnie zmiany (aktualizacje) we wrześniu 2015 r., jednak od 1 stycznia 2016 r. nie wprowadzono żadnych innowacji, choć wielu się ich spodziewało.

Zgodnie z najnowszym wydaniem ustawy federalnej każdy obywatel Federacji Rosyjskiej ma wyłączne prawo do ochrony poufnych informacji osobistych, niedostępnych dla osób trzecich.

Czym są dane osobowe w świetle prawa Federacji Rosyjskiej?

Zgodnie z obowiązującymi przepisami Federacji Rosyjskiej za dane osobowe uznaje się:

dane paszportowe,
imię i nazwisko,
kilka innych punktów, które stały się znane podmiotowi w procesie określonych stosunków prawnych.

Na przykład ustawa federalna 152 reguluje również zasady nierozpowszechniania informacji otrzymanych przez bank przy zawieraniu umów kredytowych i innych. Praktyczne znaczenie tej umowy jest takie, że Rosjanin powierzając swoje dane w ramach określonych relacji, może mieć pewność, że zostaną one zachowane w tajemnicy. W przeciwnym razie naruszenie tej zasady może skutkować sankcjami karnymi. Ogólnie rzecz biorąc, informacje te są poufne i nie można mówić o ich ujawnieniu lub rozpowszechnianiu.

152 Prawo federalne Ustawa o danych osobowych

Projekt ustawy został sfinalizowany w 2006 roku. Do tego czasu w Rosji taki akt nie istniał, co oznacza, że na terytorium naszego kraju obywatele nie byli pod tym względem chronieni. Ustawa federalna nr 152 Ustawa federalna z dnia 27 lipca 2006 r. o danych osobowych weszła w życie zgodnie z prawem po jej zatwierdzeniu przez Radę Federacji. Prawidłowa procedura administracyjna zakłada, że czytania dokona Duma Państwowa, a izba wyższa wyrazi zgodę. Procedura ta ma na celu legitymizację każdego nowego wydania.

Porozmawiamy dalej o tym, co stanie się za naruszenie prawa federalnego.

Ustawa 152 Ustawa federalna o przetwarzaniu danych osobowych, nowe wydanie na 2016 r.,

Tekst ustawy federalnej wraz z komentarzami i objaśnieniami w nowym wydaniu można znaleźć w Internecie na specjalistycznej stronie internetowej „Konsultant+”. Opisano tu także system i zakres działania tej ustawy. Materiał jest wykazany ze zmianami i poprawkami na rok 2016, więc jest jak najbardziej aktualny. Po przeczytaniu tego aktu każda osoba znajdzie odpowiedź na swoje pytanie. Na przykład Rosjan zwykle interesują następujące punkty:

definicja poufności (nieujawniania);
odpowiedzialność w przypadku naruszenia (aktualna wersja);
standardy pracy (czyli czym są dane osobowe);
praktyka sądowa (zwykle dotyczy wykorzystania informacji przez banki);
nowe (najnowsze) wydanie.

Naruszenie prawa o danych osobowych i odpowiedzialność za ujawnienie informacji

Jeżeli przepisy ustawy federalnej nr 152 dotyczące nieujawniania danych osobowych nie będą przestrzegane, wobec oskarżonego można zastosować dwa rodzaje kar:

z art. (do 5 lat więzienia);
i według (grzywna do 5 tysięcy rubli).

Kodeksy cywilne i kodeks pracy zawierają jedynie zarządzenia normatywne w tym zakresie. Wyjaśnia przetwarzanie, udostępnianie, przechowywanie, przekazywanie, usuwanie informacji i kary za wszystkie te działania.

Ustawa o przechowywaniu danych osobowych na terytorium Federacji Rosyjskiej w Internecie

Przestrzeganie wszystkich zasad oraz ochrona danych osobowych i praw są obowiązkowe w całej Rosji. Kontrolę państwa nad funkcjonowaniem niniejszej uchwały w Internecie sprawuje Roskomnadzor. Dlatego jeśli masz pytanie, gdzie złożyć skargę w takich przypadkach, wskazaliśmy Ci autoryzowaną placówkę. Przykładowy wniosek można również znaleźć w Internecie. Wymóg przestrzegania wszystkich przepisów ustawy nie toleruje wyjątków.

Co mówi ustawa federalna 152 na temat przekazywania danych osobom trzecim?

Pracę z indywidualnymi informacjami pracowników reguluje ustawa o ochronie danych osobowych (pełna nazwa: ustawa federalna „O danych osobowych”) oraz Kodeks cywilny Federacji Rosyjskiej. Posiadając poufne informacje o pracowniku, pracodawca ma obowiązek przede wszystkim zapewnić mu bezpieczeństwo zgodnie z przepisami prawa. Aby bliżej zrozumieć to zagadnienie, zacznijmy, jak to się mówi, „od pieca” – najpierw przyjrzyjmy się wykazowi danych osobowych podlegających ochronie.

Formując stosunek pracy z nowym pracownikiem, pracodawca zbiera i przetwarza jego dane osobowe. Dane osobowe oznaczają indywidualne informacje o konkretnej osobie. W tym:

dane osobowe: imię i nazwisko, wiek, płeć, zdjęcie;
informacje o uzyskanym wykształceniu i umiejętnościach zawodowych;
narodowość i rasa;
stosunek osoby do substancji odurzających, alkoholowych i psychotropowych;
informacje o etapach poprzedniego życia (służba w siłach zbrojnych, odbywanie kary, poprzednie miejsca pracy itp.);
przynależność do ruchów politycznych i religijnych;
sytuacja finansowa;
informacja o miejscu zamieszkania;
informacje o więzach rodzinnych i stanie cywilnym;
ocena cech osobowości;
dane dotyczące stanu fizycznego i psychicznego pracownika oraz jego orientacji seksualnej;
posiadanie hobby i zainteresowań.

Po otrzymaniu niezbędnych informacji o swoim pracowniku pracodawca jest zobowiązany, zgodnie z federalną ustawą o ochronie danych osobowych, do ich przetwarzania i przechowywania. Przetwarzając indywidualne dane pracowników, kierownik przedsiębiorstwa musi przestrzegać niektórych zasad przewidzianych przez prawo:

Możliwe jest zbieranie i przetwarzanie wyłącznie tych danych osobowych, które mają wpływ na efektywność współpracy w ramach stosunków pracy, lepsze wykonywanie obowiązków służbowych oraz ochronę życia i zdrowia pracownika.
Baza danych pracowników składa się z informacji uzyskanych od samego pracownika oraz od osób trzecich. Żądania informacji od osób trzecich można składać wyłącznie za pisemną zgodą samego pracownika.
Informacje dotyczące religii, przynależności do jakichkolwiek ruchów politycznych lub życia osobistego nie mogą być przetwarzane w miejscu zatrudnienia.
Nie przetwarza się także informacji o przynależności do organizacji związkowych i innych stowarzyszeń.
Zabrania się podejmowania decyzji naruszających dobra osobiste pracownika w oparciu o dane zautomatyzowane lub elektroniczne.
Odpowiedzialność za organizację ochrony danych osobowych w przedsiębiorstwie spoczywa na pracodawcy.
Kierownik przedsiębiorstwa ma obowiązek wydać polecenie ochrony danych osobowych swoich pracowników. Przykładowy dokument znajduje się poniżej.
Pracownik po podpisaniu zapoznaje się z procedurą przetwarzania jego danych osobowych.
W celu ochrony swoich danych osobowych oraz w oparciu o przepisy prawa pracy, pracownikowi nie wolno przekazywać informacji, które są dla niego niepożądane.

Organizacja ochrony danych osobowych w przedsiębiorstwie

Pracodawca przetwarzając i wykorzystując dane osobowe swoich pracowników ma obowiązki:

nie rozpowszechniaj otrzymanych informacji;
zapewniać dostęp do informacji poufnych wyłącznie upoważnionym przedstawicielom;
Jakiekolwiek przekazanie informacji może nastąpić wyłącznie za zgodą jej właściciela, wyrażoną w formie pisemnej.

Pracodawca nie ma między innymi prawa zbierać i przetwarzać informacji niezwiązanych z realizacją obowiązków pracowniczych przez pracownika.

Odnosząc się do kwestii danych osobowych pracowników w Kodeks Pracy W Federacji Rosyjskiej obowiązuje art. 89 dotyczący ochrony danych osobowych.

Zgodnie z rosyjską ustawą o ochronie danych osobowych pracownikowi przysługuje prawo:

wiedzieć, w jaki sposób przetwarzane i przechowywane są informacje o jego tożsamości;
mieć dostęp do bazy danych osobowych;
dokonać ewentualnych zmian w bazie informacji;
bronić swoich praw na rozprawach sądowych w przypadku naruszenia przez pracodawcę przepisów o ochronie danych osobowych;
mieć przedstawicieli, którzy chronią ich prawa.

Wzór zarządzenia o ochronie danych osobowych

Ochrona danych osobowych pracowników – prawo pracy

Nasze ustawodawstwo bardzo poważnie podchodzi do ochrony danych osobowych obywateli. Naruszenie prawa do ochrony danych osobowych przewidzianego w Konstytucji Federacji Rosyjskiej podlega karze. Ukarani zostaną przede wszystkim ci, którzy dopuścili się naruszenia praw pracowniczych, a także szef przedsiębiorstwa.

Upoważniony pracownik, który naruszył ustawę „O danych osobowych” wykorzystując swoje stanowisko służbowe, podlega karze w postaci:

w porządku w tej ilości 100 000 – 300 000 ruble;
kara materialna w wysokości kwoty dochodu za 12-24 miesiące;
areszt do 0,5 roku;
zakaz zajmowania określonych stanowisk.

Ponadto, zgodnie z art. 137 Kodeksu karnego Federacji Rosyjskiej, osoby winne rozpowszechniania informacji prawnie chronionych ponoszą odpowiedzialność w formie:

kara do 200 000 rubli;
kara materialna w wysokości 1,5 roku dochodu;
od 120 do 180 godzin pracy obowiązkowej;
wykonywanie prac korekcyjnych na okres do 12 miesięcy;
pozbawienia wolności do 4 miesięcy.

Ponadto pracownik, który ujawnił informacje chronione, otrzyma naganę lub zostanie przeniesiony na inne stanowisko, a nawet zwolniony.

Obywatel będzie bronił prawa do ochrony swoich danych osobowych przed sądem. Mając udowodnione naruszenia prawa dotyczące danych osobowych, pracownik może liczyć na naprawienie szkód materialnych i moralnych.

Obywatelstwo

Jak wynika z postanowień części 2 i 3 art. 105 Kodeksu lotniczego Federacji Rosyjskiej, umowa o przewóz lotniczy pasażera, umowa o przewóz lotniczy ładunku lub umowa o przewóz lotniczy poczty są poświadczone odpowiednio biletem i kwitem bagażowym w przypadku pasażera przewożącego bagaż, listem przewozowym ładunku lub pocztowym listem przewozowym; bilet, kwit bagażowy i inne dokumenty wykorzystywane przy świadczeniu usług przewozu lotniczego dla pasażerów mogą być wystawione w formie elektronicznej (elektroniczny dokument przewozowy) z informacją o warunkach umowy przewozu lotniczego umieszczoną w zautomatyzowanym systemie informacyjnym rejestracji pasażerów transport. Tym samym, w celu realizacji powyższych przepisów prawa, przewoźnicy lotniczy mają obowiązek dokonywania czynności związanych z przetwarzaniem danych osobowych pasażerów w celu przygotowania dokumentów potwierdzających zawarcie umowy przewozu lotniczego.

Zgodnie z art. 85 ust. 1 Kodeksu Lotniczego Federacji Rosyjskiej, w celu zapewnienia bezpieczeństwa lotnictwa, przewoźnicy zapewniają przekazywanie danych osobowych pasażerów statków powietrznych do zautomatyzowanych scentralizowanych baz danych osobowych pasażerów zgodnie z ustawodawstwem Federacji Rosyjskiej w sprawie bezpieczeństwa transportu i ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych, także w przypadku międzynarodowego przewozu lotniczego do uprawnionych organów obcych państw zgodnie z umowami międzynarodowymi Federacji Rosyjskiej lub ustawodawstwem obcych państw wyjścia, przeznaczenia lub tranzytu w zakresie przewidzianym przez ustawodawstwo Federacji Rosyjskiej, chyba że umowy międzynarodowe Federacji Rosyjskiej stanowią inaczej. Należy pamiętać, że Federacja Rosyjska jest stroną szeregu konwencji międzynarodowych w dziedzinie transportu lotniczego, w szczególności Konwencji chicagowskiej ( „Konwencja o międzynarodowym lotnictwie cywilnym” została zawarta w Chicago 7 grudnia 1944 r., weszła w życie dla Federacji Rosyjskiej 16 sierpnia 2005 r. - „Zbiór ustawodawstwa Federacji Rosyjskiej”, 30 października 2006 r., nr 44), Konwencja Warszawska ( „Konwencja o ujednoliceniu niektórych przepisów dotyczących międzynarodowego transportu lotniczego” została zawarta w Warszawie 12 października 1929 r., dla ZSRR weszła w życie 13 lutego 1933 r. Zbiór istniejących traktatów, porozumień i konwencji zawartych przez ZSRR z zagranicą stwierdza, tom. VIII, - M., 1935, s. 1. 326 - 339.) i Konwencja z Gualadajary ( „Konwencja uzupełniająca do Konwencji warszawskiej o ujednoliceniu niektórych zasad dotyczących międzynarodowego transportu lotniczego wykonywanego przez osobę inną niż przewoźnik umowny” została zawarta w Guadalajarze dnia 18 września 1961 r., weszła w życie w stosunku do ZSRR dnia 21 grudnia 1983 r. , „Wiedomosti VS ZSRR”, 15.02.1984, nr 7), które stanowią również integralną część regulacji prawnej działalności przewoźników lotniczych i powiązanych procesów informacyjnych.

W związku z powyższym wymagania części 5 art. 18 Ustawy federalnej „O danych osobowych” nie mają zastosowania do działalności rosyjskich i zagranicznych przewoźników lotniczych w zakresie gromadzenia i przetwarzania danych osobowych obywateli-pasażerów w celu rezerwacji, wystawienia i wystawienia biletów lotniczych (biletów podróżnych), pokwitowań bagażowych oraz inne dokumenty przewozowe, gdyż podlegają wyjątkowi przewidzianemu w ust. 2 ust. 1, art. 6 Ustawa federalna „O danych osobowych”.

Wymagania części 5 art. 18 Ustawa federalna „O danych osobowych” nie ma również zastosowania do działalności osób działających w imieniu przewoźnika lotniczego (autoryzowanego agenta), których działalność jest przewidziana w paragrafie 6 Ogólnych zasad przewozu lotniczego pasażerów, bagażu, Ładunek i wymagania dotyczące obsługi pasażerów, spedytorów, odbiorców, zatwierdzone rozporządzeniem Ministerstwa Transportu Rosji nr 82 z dnia 28 czerwca 2007 r. „Po zatwierdzeniu Federalnych przepisów lotniczych „Ogólne zasady transportu lotniczego pasażerów, bagażu, Ładunek i wymagania dotyczące usług dla pasażerów, spedytorów, odbiorców”, a także innych osób, w związku z przetwarzaniem danych osobowych pasażerów-obywateli wyłącznie w celach rezerwacji, wystawienia i wystawienia biletów lotniczych (biletów podróżnych), pokwitowań bagażowych i innych dokumenty przewozowe, w tym w formie elektronicznej w przypadku lotów krajowych i międzynarodowych, jeżeli powyższe działania tych osób przewidziane są przez ustawodawstwo Federacji Rosyjskiej lub odpowiednią umowę międzynarodową, w tym w celu zapewnienia ochrony lotnictwa.

Jeżeli przetwarzanie danych osobowych podlega wyjątkom przewidzianym w ust. 2, 3, 4, 8 części 1 artykułu 6 ustawy federalnej „O danych osobowych”, przepisy części 5 artykułu 18 152-FZ nie obowiązują stosować. Odpowiedniej kwalifikacji czynności dokonywanych w związku z przetwarzaniem danych osobowych i zapewnienia jego zgodności z wymogami prawa dokonuje operator danych osobowych przy zapewnieniu (organizacji świadczenia) takiego przetwarzania. Prawidłowość wspomnianej kwalifikacji i zapewnienia przetwarzania w konkretnej sytuacji sprawdza uprawniony organ federalny podczas czynności kontrolnych.

Produkty i usługi

Z zestawu przepisów części 5 art. 18 ustawy federalnej „O danych osobowych” („podczas gromadzenia danych osobowych, w tym za pośrednictwem sieci informacyjno-telekomunikacyjnej Internet, operator jest zobowiązany zapewnić rejestrację, systematyzację, gromadzenie, przechowywanie, wyjaśnianie (aktualizowanie, zmienianie), pobieranie danych osobowych obywateli Federacji Rosyjskiej korzystających z baz danych znajdujących się na terytorium Federacji Rosyjskiej, z wyjątkiem przypadków określonych w ust. 2, 3, 4, 8 części 1 artykułu 6 niniejszego Federalnego Ustawa) i ust. 2 części 1 artykułu 6 ustawy federalnej „O danych osobowych” („przetwarzanie danych osobowych jest niezbędne do osiągnięcia celów przewidzianych w umowie międzynarodowej Federacji Rosyjskiej lub prawie, w celu wdrożenia i spełnienia funkcje, uprawnienia i obowiązki przypisane operatorowi przez ustawodawstwo Federacji Rosyjskiej”) wynika, że przetwarzanie danych osobowych w celach i zgodnie z wymogami określonymi przez Konwencję Rady Europy o ochronie jednostki w odniesieniu do Automatyczne przetwarzanie danych osobowych, ratyfikowane przez Federację Rosyjską, nie jest sprzeczne z ustawodawstwem Federacji Rosyjskiej regulującym stosunki w zakresie ochrony danych osobowych. Ponadto część 5 art. 18 152-FZ nie ogranicza transgranicznego przekazywania danych osobowych obywateli Federacji Rosyjskiej.

Ustawa nie przewiduje pojęcia „zbierania pierwotnego”, ale ustanawia wymogi dotyczące przetwarzania danych osobowych w przypadku każdego gromadzenia informacji, podkreślając jednocześnie takie operacje na danych osobowych, jak wyjaśnianie (aktualizacja, zmiana) informacji zawierających dane osobowe. W rozumieniu prawa proces gromadzenia informacji obejmuje także procedury przechowywania i gromadzenia informacji, co samo w sobie nie pozwala na posługiwanie się takim pojęciem jak „gromadzenie pierwotne”. Tym samym prawo nakłada na operatora obowiązek korzystania z baz danych znajdujących się na terytorium Federacji Rosyjskiej podczas przetwarzania zgromadzonych danych osobowych poprzez systematyzację, gromadzenie, przechowywanie, wyjaśnianie, wyszukiwanie. Tym samym, jeżeli w celu przygotowania raportów lub analizy informacji zawierających dane osobowe, operator musi realizować wyżej wymienione formy przetwarzania danych osobowych, wówczas działania te muszą być realizowane z wykorzystaniem baz danych znajdujących się na terytorium Federacji Rosyjskiej.

Interpretacja dotycząca zbioru pierwotnego jest błędna z następujących powodów. Ustawa nie przewiduje pojęcia „zbierania pierwotnego”, ale ustanawia wymogi dotyczące przetwarzania danych osobowych w przypadku każdego gromadzenia informacji, podkreślając jednocześnie takie operacje na danych osobowych, jak wyjaśnianie (aktualizacja, zmiana) informacji zawierających dane osobowe. W rozumieniu prawa proces gromadzenia informacji obejmuje także procedury przechowywania i gromadzenia informacji, co samo w sobie nie pozwala na posługiwanie się takim pojęciem jak „gromadzenie pierwotne”. Tym samym prawo nakłada na operatora obowiązek korzystania z baz danych znajdujących się na terytorium Federacji Rosyjskiej podczas przetwarzania zgromadzonych danych osobowych poprzez systematyzację, gromadzenie, przechowywanie, wyjaśnianie, wyszukiwanie.

Zgodnie z postanowieniami ust. 7 części 4 artykułu 16 ustawy federalnej nr 149-FZ z dnia 27 lipca 2006 r. „O informacjach, technologiach informacyjnych i ochronie informacji”, właściciel informacji, operator systemu informacyjnego w przypadkach określonych przez ustawodawstwo Federacji Rosyjskiej, są zobowiązani zapewnić lokalizację na terytorium Federacji Rosyjskiej baz danych informacji, za pomocą których gromadzone, rejestrowane, systematyzowane, gromadzone, przechowywane, wyjaśniające (aktualizowane, zmieniane) i odzyskiwania danych osobowych obywateli Federacji Rosyjskiej.

Biorąc również pod uwagę postanowienia części 5 art. 18 ustawy federalnej nr 152-FZ z dnia 27 lipca 2006 r. „O danych osobowych” (wchodzącej w życie 1 września 2015 r.), stanowiącej, że podczas gromadzenia danych osobowych, w tym za pośrednictwem informacyjna sieć telekomunikacyjna Internet, operator jest zobowiązany zapewnić utrwalanie, systematyzowanie, gromadzenie, przechowywanie, wyjaśnianie (aktualizowanie, zmienianie), odzyskiwanie danych osobowych obywateli Federacji Rosyjskiej za pomocą baz danych znajdujących się na terytorium Federacji Rosyjskiej, uważamy, że przetwarzanie danych osobowych obywateli Federacji Rosyjskiej na terytorium innego państwa może odbywać się wyłącznie w przypadkach przewidzianych w ust. 2, 3, 4, 8 części 1 artykułu 6 ustawy federalnej „O danych osobowych” , dla którego przewidziano wyjątek w części 5 artykułu 18 152-FZ. Należy również wziąć pod uwagę, że nie ma prawnego podziału na „główną” bazę danych osobowych i jej „kopię”. W obu przypadkach mówimy o bazie danych, za pomocą której przetwarzane są dane osobowe. Jednocześnie ustawa federalna nie zawiera instrukcji dotyczących ogólnego zakazu przetwarzania danych osobowych obywateli Federacji Rosyjskiej za pomocą baz danych niezlokalizowanych na terytorium Federacji Rosyjskiej.

W związku z tym uważamy, że przetwarzanie danych osobowych obywateli Federacji Rosyjskiej poprzez gromadzenie, utrwalanie, systematyzowanie, gromadzenie, przechowywanie, wyjaśnianie, wyszukiwanie może odbywać się przy użyciu baz danych nie znajdujących się na terytorium Federacji Rosyjskiej w następujących przypadkach: sprawy:

jeżeli taka działalność mieści się w przypadkach przewidzianych w ust. 2-4, 8 części 1 art. 6 152-FZ;
jeżeli taka działalność nie wchodzi w zakres przypadków przewidzianych w art. 6 152-FZ ust. 2-4, 8 części 1, a na terytorium Federacji Rosyjskiej istnieją bazy danych służące do takiego przetwarzania danych osobowych, które zawierają większy ilość danych osobowych lub równa znajdującej się poza terytorium Federacji Rosyjskiej (w tym przypadku niedopuszczalne jest, aby dane osobowe znajdowały się poza terytorium Federacji Rosyjskiej, które jednocześnie nie znajdują się na terytorium Federacji Rosyjskiej) Federacja Rosyjska).

Transgraniczne przekazywanie danych osobowych nie jest zabronione, pod warunkiem spełnienia wymogów określonych w art. 12 ustawy federalnej nr 152-FZ. Jednocześnie transgraniczne przekazywanie danych musi mieć z góry określony cel przetwarzania, po osiągnięciu którego podmiot danych osobowych musi mieć gwarancję zniszczenia przekazywanych danych na terytorium obcego państwa. Z zastrzeżeniem spełnienia tych wymagań, odpowiedzialność przewidziana przez ustawodawstwo rosyjskie ciąży na operatorze w przypadku naruszenia procedury i warunków ustalonych dla umowy zlecenia.

Zgodnie z postanowieniami art. 3 ust. 2 ustawy federalnej „O danych osobowych” operatorem jest organ państwowy, organ miejski, osoba prawna lub osoba fizyczna, samodzielnie lub wspólnie z innymi osobami organizującymi i (lub) realizującymi przetwarzania danych osobowych, a także określenia celów przetwarzania danych osobowych, składu danych osobowych podlegających przetwarzaniu, działań (operacji) dokonywanych na danych osobowych. Zatem przepisy ustawy federalnej nr 242-FZ mają zastosowanie do wszystkich powyższych podmiotów. Przyjęta ustawa federalna nie wiąże dystrybucji części 5 art. 18 152-FZ tylko do operatorów, których głównym przedmiotem działalności jest przetwarzanie danych osobowych, lub do operatorów, którzy przetwarzają dane osobowe wyłącznie za pomocą sieci informacyjnych i telekomunikacyjnych.

Zgodnie z postanowieniami art. 3 ust. 2 ustawy federalnej „O danych osobowych” operatorem jest organ państwowy, organ miejski, osoba prawna lub osoba fizyczna, samodzielnie lub wspólnie z innymi osobami organizującymi i (lub) realizującymi przetwarzania danych osobowych, a także określenia celów przetwarzania danych osobowych, składu danych osobowych podlegających przetwarzaniu, działań (operacji) dokonywanych na danych osobowych. Zatem przepisy ustawy federalnej nr 242-FZ mają zastosowanie do wszystkich powyższych podmiotów. Przyjęta ustawa federalna nie wiąże się z dystrybucją części 5 art. 18 152-FZ tylko do operatorów, których głównym przedmiotem działalności jest przetwarzanie danych osobowych, lub do operatorów, którzy przetwarzają dane osobowe wyłącznie za pomocą sieci informacyjnych i telekomunikacyjnych. Istniejące plany działalności legislacyjnej nie przewidują opracowania projektu ustawy federalnej korygującej tę sytuację.

Powyższe wymogi prawa dotyczą m.in. przetwarzania przez operatora danych osobowych uzyskanych w wyniku gromadzenia, czyli utrwalania, systematyzacji, gromadzenia, przechowywania, wyjaśniania (aktualizowania, zmiany), odtwarzania.

Rozumowanie jest prawidłowe. 152-FZ nie ujawnia terminu „wykorzystywanie danych osobowych”. Dla celów interpretacyjnych przez „wykorzystywanie danych osobowych” można rozumieć działania na danych osobowych niezwiązane z innymi formami przetwarzania danych osobowych, w tym podejmowanie decyzji w oparciu o dane osobowe, dla których dane osobowe zostały zebrane (cel gromadzenia danych osobowych dane muszą być zgodne z celami wykorzystywania danych osobowych).

Pojęcie „operatora” zawarte jest w art. 3 ustawy nr 152-FZ, przez który rozumie się organ państwowy, samorządowy, osobę prawną lub osobę fizyczną, która samodzielnie lub wspólnie z innymi osobami organizuje i (lub) przeprowadza przetwarzanie danych osobowych, a także określenia celów przetwarzania danych osobowych, składu danych osobowych podlegających przetwarzaniu, działań (operacji) dokonywanych na danych osobowych. Biorąc pod uwagę, że art. 3 ustawy nr 152-FZ nie zawiera wyjątków dotyczących wykonywania przez osobę niektórych operacji przetwarzania danych osobowych, a także innych definicji innych niż operator, osoba określająca cel przetwarzania dane osobowe lub przeprowadzanie indywidualnych działań w zakresie przetwarzania danych osobowych w kontekście przepisów ustawy nr 152-FZ jest operatorem przetwarzającym dane osobowe.

— Czy to prawda, że po 1 września 2015 r. nie jest wymagane wielokrotne lub dodatkowe powiadomienie o przetwarzaniu danych osobowych? Czy muszę dodatkowo ujawniać, gdzie znajdują się bazy danych?

Nie istnieje pojęcie „ponownego” lub „dodatkowego” powiadomienia. Artykuł 22 ustawy federalnej „O danych osobowych” ustanawia obowiązek operatora wysłania powiadomienia przed przetwarzaniem danych osobowych. Część 2 tego artykułu zawiera szereg wyjątków, gdy takie powiadomienie nie jest wymagane. Ustawa federalna nr 242-FZ zmienia część 3, która określa wymagania dotyczące treści powiadomienia. Jeżeli organizacja wysłała wcześniej powiadomienie do Roskomnadzor o przetwarzaniu danych osobowych, wówczas po wejściu w życie ustawy operatorzy, kierując się częścią 7 tego artykułu, muszą w ciągu dziesięciu dni roboczych przekazać informacje o lokalizacji bazy danych.

— Czy początkowe gromadzenie danych osobowych w formie papierowej, a następnie ich wprowadzenie do elektronicznej bazy danych podlega wymogom części 5 art. 18 ustawy federalnej nr 152-FZ?

Zgodnie z wymogami części 5 art. 18 ustawy federalnej nr 152-FZ, gromadząc dane osobowe, w tym za pośrednictwem sieci informacyjno-telekomunikacyjnej „Internet”, operator jest zobowiązany zapewnić rejestrację, systematyzację, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), wyszukiwanie danych osobowych obywateli Federacji Rosyjskiej korzystających z baz danych znajdujących się na terytorium Federacji Rosyjskiej, z wyjątkiem przypadków określonych w ust. 2, 3, 4, 8 części 1 artykułu 6 niniejszej ustawy federalnej . Podstawową zasadą prawa danych osobowych jest zasada, że przetwarzanie danych osobowych powinno ograniczać się do osiągnięcia konkretnych, z góry określonych i prawnie uzasadnionych celów. W związku z tym wprowadzanie danych osobowych do systemu informacji o danych osobowych wykorzystywanego do celów podobnych do gromadzenia danych na papierze należy uznać za pojedynczy proces, którego realizacja musi odbywać się w ścisłej zgodności z wymogami części 5 art. 18 ustawy federalnej nr 152-FZ. Podziału tego pojedynczego procesu na odrębne działania nie przewiduje ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych. Zatem niektóre rodzaje przetwarzania danych osobowych przewidziane w art. 18 część 5 ustawy federalnej nr 152-FZ, w tym gromadzenie danych osobowych w formie papierowej, a następnie ich późniejsze wprowadzanie do elektronicznej bazy danych, muszą odbywać się jako pojedyncza proces w obszarze prawnym normy prawnej, zobowiązującej do przechowywania danych osobowych na terytorium Federacji Rosyjskiej.

FEDERACJA ROSYJSKA

O DANYCH OSOBOWYCH

Rozdział 1. POSTANOWIENIA OGÓLNE

Artykuł 1. Zakres niniejszej ustawy federalnej

1. Niniejsza ustawa federalna reguluje stosunki związane z przetwarzaniem danych osobowych przez organy rządu federalnego, organy rządowe podmiotów Federacji Rosyjskiej, inne organy rządowe (zwane dalej organami państwowymi), organy samorządu terytorialnego, organy gmin nie objętych systemem organów samorządu terytorialnego (zwanych dalej organami gmin), osób prawnych, osób fizycznych korzystających z narzędzi automatyzacji lub nie korzystających z takich narzędzi, jeżeli przetwarzanie danych osobowych bez użycia takich narzędzi odpowiada charakterowi akcje (operacje) dokonywane na danych osobowych z wykorzystaniem narzędzi automatyzacji.

2. Niniejsza ustawa federalna nie ma zastosowania do stosunków powstałych, gdy:

1) przetwarzanie danych osobowych przez osoby fizyczne wyłącznie dla potrzeb osobistych i rodzinnych, chyba że naruszają prawa podmiotów danych osobowych;

2) organizowanie przechowywania, pozyskiwania, utrwalania i wykorzystywania dokumentów Funduszu Archiwalnego Federacji Rosyjskiej oraz innych dokumentów archiwalnych zawierających dane osobowe zgodnie z ustawodawstwem o sprawach archiwalnych Federacji Rosyjskiej;

3) przetwarzanie informacji o osobach podlegających wpisowi do jednolitego państwowego rejestru przedsiębiorców indywidualnych, jeżeli takie przetwarzanie odbywa się zgodnie z ustawodawstwem Federacji Rosyjskiej w związku z działalnością osoby fizycznej jako indywidualnego przedsiębiorcy;

4) przetwarzanie danych osobowych niejawnych zgodnie z ustaloną procedurą jako informacja stanowiąca tajemnicę państwową.

Artykuł 2. Cel niniejszej ustawy federalnej

Celem tej ustawy federalnej jest zapewnienie ochrony praw i wolności człowieka i obywatela podczas przetwarzania jego danych osobowych, w tym ochrony prawa do prywatności, tajemnic osobistych i rodzinnych.

Artykuł 3. Podstawowe pojęcia stosowane w niniejszej ustawie federalnej

Na potrzeby niniejszej ustawy federalnej stosuje się następujące podstawowe pojęcia:

1) dane osobowe – wszelkie informacje dotyczące osoby fizycznej zidentyfikowanej lub ustalonej na podstawie tych informacji (przedmiotu danych osobowych), w tym jej nazwisko, imię, patronimikę, rok, miesiąc, datę i miejsce urodzenia, adres, rodzinę , społeczne, stan majątkowy, wykształcenie, zawód, dochód, inne informacje;

2) operator – organ państwowy, gminny, osoba prawna lub osoba fizyczna, która organizuje i (lub) dokonuje przetwarzania danych osobowych, a także ustala cele i treść przetwarzania danych osobowych;

3) przetwarzanie danych osobowych – czynności (operacje) na danych osobowych, w tym gromadzenie, systematyzacja, gromadzenie, przechowywanie, wyjaśnianie (aktualizacja, zmiana), wykorzystywanie, rozpowszechnianie (w tym przekazywanie), depersonalizacja, blokowanie, niszczenie danych osobowych;

4) rozpowszechnianie danych osobowych – działania mające na celu przekazanie danych osobowych określonemu kręgowi osób (przekazanie danych osobowych) lub zapoznanie się z danymi osobowymi nieograniczonej liczby osób, w tym publikacja danych osobowych w środkach masowego przekazu, zamieszczenie w sieci teleinformatyczne i telekomunikacyjne lub zapewnienie dostępu do danych osobowych w inny sposób;

5) wykorzystanie danych osobowych – czynności (operacje) na danych osobowych dokonywane przez Operatora w celu podjęcia decyzji lub dokonania innych czynności wywołujących skutki prawne w stosunku do podmiotu danych osobowych lub innych osób lub w inny sposób wpływających na prawa i wolności podmiotu danych osobowych lub innych osób;

6) blokowanie danych osobowych – czasowe zaprzestanie gromadzenia, systematyzacji, gromadzenia, wykorzystywania, rozpowszechniania danych osobowych, w tym ich przekazywania;

7) zniszczenie danych osobowych – działania, w wyniku których niemożliwe jest przywrócenie zawartości danych osobowych w systemie informatycznym danych osobowych lub w wyniku których ulegają zniszczeniu materialne nośniki danych osobowych;

8) depersonalizacja danych osobowych – działania, w wyniku których niemożliwe jest ustalenie własności danych osobowych przez konkretny podmiot danych osobowych;

9) system informacyjny danych osobowych – system informacyjny stanowiący zbiór danych osobowych zawartych w bazie danych oraz technologie informacyjne i środki techniczne umożliwiające przetwarzanie tych danych osobowych z wykorzystaniem narzędzi automatyzacji lub bez użycia takich narzędzi;

10) poufność danych osobowych – obowiązkowy wymóg, aby operator lub inna osoba mająca dostęp do danych osobowych nie dopuściła do ich rozpowszechniania bez zgody podmiotu danych osobowych lub istnienia innej podstawy prawnej;

11) transgraniczne przekazywanie danych osobowych – przekazanie przez operatora danych osobowych przez granicę państwową Federacji Rosyjskiej organowi państwa obcego, osobie fizycznej lub prawnej państwa obcego;

12) publicznie dostępne dane osobowe – dane osobowe, do których dostęp ma nieograniczona liczba osób za zgodą podmiotu danych osobowych lub które zgodnie z przepisami federalnymi nie podlegają wymogom zachowania poufności.

Artykuł 4. Ustawodawstwo Federacji Rosyjskiej w dziedzinie danych osobowych

1. Ustawodawstwo Federacji Rosyjskiej w zakresie danych osobowych opiera się na Konstytucji Federacji Rosyjskiej oraz umowach międzynarodowych Federacji Rosyjskiej i składa się z niniejszej ustawy federalnej oraz innych ustaw federalnych określających przypadki i cechy przetwarzania danych osobowych .

2. Na podstawie i w wykonaniu ustaw federalnych organy państwowe, w granicach swoich uprawnień, mogą uchwalać rozporządzenia w niektórych kwestiach związanych z przetwarzaniem danych osobowych. Regulacyjne akty prawne dotyczące niektórych zagadnień związanych z przetwarzaniem danych osobowych nie mogą zawierać przepisów ograniczających prawa podmiotów danych osobowych.

Określone regulacyjne akty prawne podlegają oficjalnej publikacji, z wyjątkiem regulacyjnych aktów prawnych lub niektórych przepisów takich regulacyjnych aktów prawnych zawierających informacje, do których dostęp jest ograniczony przez prawo federalne.

3. Cechy przetwarzania danych osobowych bez użycia narzędzi automatyzacji mogą być określone w ustawach federalnych i innych regulacyjnych aktach prawnych Federacji Rosyjskiej, z uwzględnieniem przepisów niniejszej ustawy federalnej.

4. Jeżeli umowa międzynarodowa Federacji Rosyjskiej ustanawia inne zasady niż przewidziane w niniejszej ustawie federalnej, stosuje się zasady umowy międzynarodowej.

Rozdział 2. ZASADY I WARUNKI PRZETWARZANIA DANYCH OSOBOWYCH

Artykuł 5. Zasady przetwarzania danych osobowych S

1. Przetwarzanie danych osobowych musi odbywać się w oparciu o zasady:

1) legalność celów i sposobów przetwarzania danych osobowych oraz integralność;

2) zgodność celów przetwarzania danych osobowych z celami z góry określonymi i podanymi przy zbieraniu danych osobowych oraz z uprawnieniami operatora;

3) zgodność z ilością i charakterem przetwarzanych danych osobowych, sposobami przetwarzania danych osobowych w celach przetwarzania danych osobowych;

4) wiarygodność danych osobowych, ich wystarczalność do celów przetwarzania, niedopuszczalność przetwarzania danych osobowych w sposób nadmierny w stosunku do celów, jakie przy zbieraniu danych osobowych;

5) niedopuszczalność łączenia baz danych systemów informatycznych danych osobowych stworzonych dla niezgodnych celów.

2. Dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację podmiotu danych osobowych przez okres nie dłuższy niż wynika to z celów ich przetwarzania i podlegają zniszczeniu po osiągnięciu celów przetwarzania lub w przypadku utraty potrzeby ich osiągania.

Artykuł 6. Warunki przetwarzania danych osobowych

1. Przetwarzanie danych osobowych może odbywać się przez operatora za zgodą podmiotów danych osobowych, z wyjątkiem przypadków przewidzianych w ust. 2 niniejszego artykułu.

2. Zgoda podmiotu danych osobowych, o której mowa w ust. 1 niniejszego artykułu, nie jest wymagana w następujących przypadkach:

1) przetwarzanie danych osobowych odbywa się na podstawie ustawy federalnej określającej jego cel, warunki pozyskiwania danych osobowych oraz zakres podmiotów, których dane osobowe podlegają przetwarzaniu, a także określającej uprawnienia operatora;

2) przetwarzanie danych osobowych odbywa się w celu wykonania umowy, której jedna ze stron jest podmiotem danych osobowych;

3) przetwarzanie danych osobowych odbywa się w celach statystycznych lub innych celach naukowych, z zastrzeżeniem obowiązkowej anonimizacji danych osobowych;

4) przetwarzanie danych osobowych jest niezbędne do ochrony życia, zdrowia lub innych żywotnych interesów podmiotu danych osobowych, jeżeli uzyskanie zgody podmiotu danych osobowych jest niemożliwe;

5) przetwarzanie danych osobowych jest niezbędne do doręczania przesyłek pocztowych przez organizacje pocztowe, do dokonywania przez operatorów telekomunikacyjnych płatności na rzecz użytkowników usług komunikacyjnych z tytułu świadczonych usług komunikacyjnych, a także do rozpatrywania roszczeń użytkowników usług komunikacyjnych;

6) przetwarzanie danych osobowych odbywa się na potrzeby działalności zawodowej dziennikarza lub na potrzeby działalności naukowej, literackiej lub innej działalności twórczej, pod warunkiem nienaruszenia praw i wolności podmiotu danych osobowych;

7) przetwarzane są dane osobowe podlegające publikacji zgodnie z przepisami prawa federalnego, w tym dane osobowe osób zajmujących stanowiska rządowe, stanowiska w państwowej służbie cywilnej, dane osobowe kandydatów na wybieralne stanowiska stanowe lub samorządowe.

3. Cechy przetwarzania specjalnych kategorii danych osobowych, a także biometrycznych danych osobowych są określone odpowiednio w art. 10 i 11 niniejszej ustawy federalnej.

4. Jeżeli operator na podstawie umowy powierza przetwarzanie danych osobowych innej osobie, istotnym warunkiem umowy jest obowiązek określonej osoby do zapewnienia poufności danych osobowych i bezpieczeństwa danych osobowych podczas ich przetwarzanie.

Artykuł 7. Poufność danych osobowych

1. Operatorzy oraz osoby trzecie uzyskujące dostęp do danych osobowych mają obowiązek zapewnić poufność tych danych, z wyjątkiem przypadków przewidzianych w części 2 niniejszego artykułu.

2. Zapewnienie poufności danych osobowych nie jest wymagane:

1) w przypadku depersonalizacji danych osobowych;

2) w odniesieniu do publicznie dostępnych danych osobowych.

Art. 8. Publicznie dostępne źródła danych osobowych

1. W celu wsparcia informacyjnego mogą być tworzone publicznie dostępne źródła danych osobowych (w tym spisy telefonów, książki adresowe). Publiczne źródła danych osobowych, za pisemną zgodą podmiotu danych osobowych, mogą obejmować jego nazwisko, imię, patronimię, rok i miejsce urodzenia, adres, numer abonenta, informacje o zawodzie i inne dane osobowe podane przez podmiot danych osobowych.

2. Informacje o przedmiocie danych osobowych mogą zostać w każdej chwili usunięte z publicznie dostępnych źródeł danych osobowych na żądanie podmiotu danych osobowych lub na mocy orzeczenia sądu lub innego uprawnionego organu państwowego.

Art. 9. Zgoda podmiotu danych osobowych na przetwarzanie jego danych osobowych

1. Podmiot danych osobowych decyduje się na podanie swoich danych osobowych oraz wyraża zgodę na ich przetwarzanie zgodnie z własną wolą i we własnym interesie, z wyjątkiem przypadków przewidzianych w ust. 2 niniejszego artykułu. Zgoda na przetwarzanie danych osobowych może zostać cofnięta przez osobę, której dane dotyczą.

2. Niniejsza ustawa federalna i inne ustawy federalne przewidują przypadki obowiązkowego podawania przez podmiot danych osobowych swoich danych osobowych w celu ochrony podstaw ustroju konstytucyjnego, moralności, zdrowia, praw i uzasadnionych interesów innych osób, w celu zapewnienia obrona kraju i bezpieczeństwo państwa.

3. Obowiązek przedstawienia dowodu uzyskania zgody podmiotu danych osobowych na przetwarzanie jego danych osobowych, a w przypadku przetwarzania publicznie dostępnych danych osobowych obowiązek udowodnienia, że przetwarzane dane osobowe są publicznie dostępne, spoczywa na operatora.

4. W przypadkach przewidzianych w niniejszej ustawie federalnej przetwarzanie danych osobowych odbywa się wyłącznie za pisemną zgodą podmiotu danych osobowych. Pisemna zgoda osoby, której dane osobowe są przetwarzane, musi zawierać:

1) nazwisko, imię, patronimik, adres podmiotu danych osobowych, numer głównego dokumentu potwierdzającego jego tożsamość, informację o dacie wystawienia określonego dokumentu i organie wydającym;

2) imię i nazwisko (nazwisko, imię, nazwisko rodowe) i adres podmiotu otrzymującego zgodę podmiotu danych osobowych;

3) cel przetwarzania danych osobowych;

4) wykaz danych osobowych, na przetwarzanie których wyrażona jest zgoda podmiotu danych osobowych;

5) wykaz działań na danych osobowych, na które wyrażana jest zgoda, ogólny opis sposobów przetwarzania danych osobowych przez operatora;

6) okres ważności zgody i tryb jej wycofania.

5. Do przetwarzania danych osobowych zawartych w pisemnej zgodzie podmiotu na przetwarzanie jego danych osobowych nie jest wymagana dodatkowa zgoda.

6. W przypadku braku zdolności podmiotu danych osobowych, zgodę na przetwarzanie jego danych osobowych wyraża w formie pisemnej przedstawiciel ustawowy podmiotu danych osobowych.

7. W przypadku śmierci podmiotu danych osobowych zgodę na przetwarzanie jego danych osobowych wyrażają pisemnie spadkobiercy podmiotu danych osobowych, jeżeli podmiot danych osobowych takiej zgody nie wyraził w trakcie jego życie.

Artykuł 10. Szczególne kategorie danych osobowych

1. Niedozwolone jest przetwarzanie szczególnych kategorii danych osobowych dotyczących rasy, narodowości, poglądów politycznych, przekonań religijnych lub filozoficznych, stanu zdrowia, życia intymnego, z wyjątkiem przypadków przewidzianych w ust. 2 niniejszego artykułu.

2. Przetwarzanie szczególnych kategorii danych osobowych, o których mowa w ust. 1 niniejszego artykułu, jest dozwolone w przypadkach, gdy:

1) podmiot danych osobowych wyraził pisemną zgodę na przetwarzanie swoich danych osobowych;

2) dane osobowe są publicznie dostępne;

3) dane osobowe dotyczą stanu zdrowia podmiotu danych osobowych i ich przetwarzanie jest niezbędne do ochrony jego życia, zdrowia lub innych żywotnych interesów albo życia, zdrowia lub innych żywotnych interesów innych osób oraz uzyskania zgody podmiotu danych osobowych jest niemożliwe;

4) przetwarzanie danych osobowych odbywa się w celach leczniczych i profilaktycznych, w celu postawienia diagnozy lekarskiej, świadczenia usług medycznych, medycznych i społecznych, pod warunkiem że przetwarzania danych osobowych dokonuje osoba zawodowo zajmująca się działalnością leczniczą i zobowiązany zgodnie z ustawodawstwem Federacji Rosyjskiej do zachowania tajemnicy lekarskiej;

5) przetwarzanie danych osobowych członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej odbywa się przez odpowiednie stowarzyszenie publiczne lub organizację religijną działające zgodnie z ustawodawstwem Federacji Rosyjskiej, dla osiągnięcia prawnie uzasadnionych celów przewidzianych przez ich dokumenty założycielskie, z zastrzeżeniem, że dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów danych osobowych;

6) przetwarzanie danych osobowych jest niezbędne w związku z sprawowaniem wymiaru sprawiedliwości;

7) przetwarzanie danych osobowych odbywa się zgodnie z ustawodawstwem Federacji Rosyjskiej w zakresie bezpieczeństwa, operacyjnych działań dochodzeniowych, a także zgodnie z ustawodawstwem karnym wykonawczym Federacji Rosyjskiej.

3. Przetwarzania danych osobowych znajdujących się w rejestrze karnym mogą dokonywać organy państwowe lub samorządowe w zakresie uprawnień przyznanych im zgodnie z ustawodawstwem Federacji Rosyjskiej, a także inne osoby w przypadkach i w sposób określony w art. zgodnie z prawem federalnym.

4. Przetwarzanie szczególnych kategorii danych osobowych w przypadkach przewidzianych w ust. 2 i 3 niniejszego artykułu należy natychmiast przerwać, jeżeli ustaną przyczyny, dla których dokonano przetwarzania.

Artykuł 11. Biometryczne dane osobowe

1. Informacje charakteryzujące cechy fizjologiczne osoby, na podstawie których można ustalić jej tożsamość (biometryczne dane osobowe) mogą być przetwarzane wyłącznie za pisemną zgodą podmiotu danych osobowych, z wyjątkiem przypadków przewidzianych w ust. 2 tego artykułu.

2. Przetwarzanie biometrycznych danych osobowych może odbywać się bez zgody podmiotu danych osobowych w związku z wymiarem sprawiedliwości, a także w przypadkach przewidzianych przez ustawodawstwo Federacji Rosyjskiej dotyczące bezpieczeństwa, ustawodawstwo Federacji Rosyjskiej Federacja w sprawie operacyjnych działań dochodzeniowych, ustawodawstwo Federacji Rosyjskiej dotyczące służby cywilnej, ustawodawstwo Federacji Rosyjskiej dotyczące egzekwowania prawa karnego, ustawodawstwo Federacji Rosyjskiej dotyczące procedury opuszczania Federacji Rosyjskiej i wjazdu do Federacji Rosyjskiej.

Artykuł 12. Transgraniczne przekazywanie danych osobowych

1. Przed rozpoczęciem transgranicznego przekazywania danych osobowych operator ma obowiązek upewnić się, że państwo obce, na którego terytorium następuje przekazanie danych osobowych, zapewnia odpowiednią ochronę praw podmiotów danych osobowych.

2. Transgraniczne przekazywanie danych osobowych na terytorium obcych państw zapewniających odpowiednią ochronę praw osób, których dane dotyczą, odbywa się zgodnie z niniejszą ustawą federalną i może być zabronione lub ograniczone w celu ochrony podstaw konstytucyjnego prawa ustroju Federacji Rosyjskiej, moralności, zdrowia, praw i uzasadnionych interesów obywateli, zapewniających obronność kraju i bezpieczeństwo państwa.

3. Transgraniczne przekazywanie danych osobowych na terytorium obcych państw, które nie zapewniają odpowiedniej ochrony praw osób, których dane dotyczą, może nastąpić w następujących przypadkach:

1) obecność pisemnej zgody podmiotu danych osobowych;

2) przewidziane w umowach międzynarodowych Federacji Rosyjskiej w sprawie wiz, a także w umowach międzynarodowych Federacji Rosyjskiej w sprawie świadczenia pomocy prawnej w sprawach cywilnych, rodzinnych i karnych;

3) przewidziane w ustawach federalnych, jeżeli jest to konieczne dla ochrony podstaw ustroju konstytucyjnego Federacji Rosyjskiej, zapewnienia obronności kraju i bezpieczeństwa państwa;

4) wykonania umowy, której stroną jest podmiot danych osobowych;

5) ochrona życia, zdrowia i innych żywotnych interesów podmiotu danych osobowych lub innych osób, jeżeli nie jest możliwe uzyskanie pisemnej zgody podmiotu danych osobowych.

Artykuł 13. Cechy przetwarzania danych osobowych w państwowych lub gminnych systemach informatycznych danych osobowych

1. Organy państwowe i samorządowe tworzą, w granicach swoich uprawnień ustanowionych na podstawie ustaw federalnych, państwowe lub gminne systemy informacyjne danych osobowych.

2. Ustawy federalne mogą ustanawiać funkcje rejestrowania danych osobowych w stanowych i gminnych systemach informacji o danych osobowych, w tym stosowanie różnych sposobów wskazywania własności danych osobowych zawartych w odpowiednim stanowym lub gminnym systemie informacji o danych osobowych konkretnemu podmiotowi danych osobowych. dane.

3. Prawa i wolności człowieka i obywatela nie mogą być ograniczone z przyczyn związanych ze stosowaniem różnych sposobów przetwarzania danych osobowych lub z wyznaczeniem własności danych osobowych zawartych w państwowych lub gminnych systemach teleinformatycznych danych osobowych na określony podmiot danych osobowych. dane. Niedopuszczalne jest stosowanie metod obrażających uczucia obywateli lub uwłaczających godności ludzkiej w celu wskazania, że dane osobowe zawarte w państwowych lub gminnych systemach teleinformatycznych danych osobowych należą do określonego podmiotu danych osobowych.

4. W celu zapewnienia realizacji praw osób, których dane dotyczą, w związku z przetwarzaniem ich danych osobowych w państwowych lub gminnych systemach teleinformatycznych, można utworzyć państwowy rejestr ludności, którego status prawny i tryb z którymi współpracujemy, są określone przez prawo federalne.

Rozdział 3. PRAWA PODMIOTU DANYCH OSOBOWYCH

Artykuł 14. Prawo podmiotu danych osobowych do dostępu do swoich danych osobowych

1. Podmiot danych osobowych ma prawo otrzymać informację o operatorze, jego lokalizacji, czy operator posiada dane osobowe związane z przedmiotem danych osobowych, a także zapoznać się z tymi danymi osobowymi, z wyjątkiem przypadków przewidziane w części 5 tego artykułu. Podmiot danych osobowych ma prawo żądać od operatora wyjaśnienia swoich danych osobowych, zablokowania ich lub zniszczenia, jeżeli dane osobowe są niekompletne, nieaktualne, nierzetelne, uzyskane nielegalnie lub nie są niezbędne do podanego celu przetwarzania, a także jak podjąć środki przewidziane przez prawo w celu ochrony swoich praw.

2. Informacja o dostępności danych osobowych musi zostać przekazana podmiotowi danych osobowych przez operatora w przystępnej formie i nie powinna zawierać danych osobowych dotyczących innych podmiotów danych osobowych.

3. Dostęp do Twoich danych osobowych podmiot danych osobowych lub jego przedstawiciel ustawowy zapewnia operator na wniosek lub po otrzymaniu żądania podmiotu danych osobowych lub jego przedstawiciela ustawowego. Żądanie musi zawierać numer głównego dokumentu identyfikującego podmiot danych osobowych lub jego przedstawiciela prawnego, informację o dacie wystawienia określonego dokumentu i organu wydającego oraz własnoręczny podpis podmiotu danych osobowych lub jego przedstawiciela prawnego. Żądanie może zostać przesłane w formie elektronicznej i opatrzone elektronicznym podpisem cyfrowym zgodnie z ustawodawstwem Federacji Rosyjskiej.

4. Osoba, której dane dotyczą, ma prawo otrzymać w trakcie składania wniosku lub otrzymania żądania informację dotyczącą przetwarzania jej danych osobowych, zawierającą:

1) potwierdzenie faktu przetwarzania danych osobowych przez operatora oraz celu tego przetwarzania;

2) sposoby przetwarzania danych osobowych stosowane przez operatora;

3) informacje o osobach, które mają dostęp do danych osobowych lub mogą uzyskać taki dostęp;

4) wykaz przetwarzanych danych osobowych oraz źródło ich otrzymania;

5) zasady przetwarzania danych osobowych, w tym okresy ich przechowywania;

6) informację, jakie skutki prawne dla podmiotu danych osobowych może wiązać się z przetwarzaniem jego danych osobowych.

5. Prawo podmiotu danych osobowych do dostępu do swoich danych osobowych jest ograniczone w przypadku, gdy:

1) przetwarzanie danych osobowych, w tym danych osobowych uzyskanych w wyniku operacyjnej działalności dochodzeniowo-śledczej, kontrwywiadu i wywiadu, odbywa się na potrzeby obronności państwa, bezpieczeństwa państwa oraz egzekwowania prawa;

2) przetwarzanie danych osobowych odbywa się przez organy, które zatrzymały podmiot danych osobowych w związku z podejrzeniem popełnienia przestępstwa lub postawiły podmiotowi danych osobowych zarzut w sprawie karnej lub zastosowały wobec podmiotu środek zapobiegawczy dane przed postawieniem zarzutów, z wyjątkiem przypadków przewidzianych w przepisach postępowania karnego Federacji Rosyjskiej, w których podejrzany lub oskarżony może zapoznać się z takimi danymi osobowymi;

3) podanie danych osobowych narusza konstytucyjne prawa i wolności innych osób.

Artykuł 15. Prawa osób, których dane osobowe przetwarzają w celu promocji towarów, robót, usług na rynku, a także w celach propagandy politycznej

1. Przetwarzanie danych osobowych w celu promocji towarów, robót, usług na rynku poprzez nawiązywanie bezpośrednich kontaktów z potencjalnymi konsumentami za pomocą środków komunikacji, a także w celach propagandy politycznej, jest dozwolone wyłącznie za uprzednią zgodą przedmiot danych osobowych. Określone przetwarzanie danych osobowych uważa się za dokonane bez uprzedniej zgody podmiotu danych osobowych, chyba że operator udowodni, że taką zgodę uzyskał.

2. Operator ma obowiązek niezwłocznie zaprzestać, na żądanie osoby, której dane dotyczą, przetwarzania jej danych osobowych, o którym mowa w ust. 1 niniejszego artykułu.

Artykuł 16. Prawa osób, których dane dotyczą, przy podejmowaniu decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu ich danych osobowych

1. Zabronione jest podejmowanie decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, wywołujących skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób naruszających jego prawa i prawnie uzasadnione interesy, z wyjątkiem przypadków przewidzianych w części 2 niniejszego Regulaminu. artykuł.

2. Decyzja wywołująca skutki prawne w stosunku do podmiotu danych osobowych lub w inny sposób wpływająca na jego prawa i uzasadnione interesy może zostać podjęta na podstawie wyłącznie zautomatyzowanego przetwarzania jego danych osobowych wyłącznie za pisemną zgodą podmiotu danych osobowych lub w przypadkach przewidzianych przez przepisy federalne, które ustanawiają również środki zapewniające poszanowanie praw i uzasadnionych interesów podmiotu danych osobowych.

3. Operator ma obowiązek wyjaśnić osobie, której dane dotyczą, sposób podjęcia decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu jej danych osobowych oraz ewentualnych skutkach prawnych takiej decyzji, zapewnić możliwość wniesienia sprzeciwu od takiej decyzji, a także wyjaśnić procedurę obowiązującą osobę, której dane dotyczą, w celu ochrony jej praw i uzasadnionych interesów.

4. Operator ma obowiązek rozpatrzyć sprzeciw, o którym mowa w ust. 3 niniejszego artykułu, w terminie siedmiu dni roboczych od dnia jego otrzymania i powiadomić podmiot danych osobowych o wynikach rozpatrzenia takiego sprzeciwu.

Artykuł 17. Prawo do skargi na działania lub zaniechania operatora

1. Jeżeli podmiot danych osobowych uważa, że operator przetwarza jego dane osobowe z naruszeniem wymogów niniejszej ustawy federalnej lub w inny sposób narusza jego prawa i wolności, podmiot danych osobowych ma prawo odwołać się od działań lub bierności podmiotu operatora do upoważnionego organu ochrony praw osób, których dane dotyczą, lub do postępowania sądowego.

2. Podmiot danych osobowych ma prawo do ochrony swoich praw i uzasadnionych interesów, w tym odszkodowania za straty i (lub) odszkodowania za szkody moralne w sądzie.

Rozdział 4. OBOWIĄZKI OPERATORA

Artykuł 18. Obowiązki operatora przy zbieraniu danych osobowych

1. Zbierając dane osobowe, operator jest zobowiązany do udzielenia podmiotowi danych osobowych, na jego żądanie, informacji przewidzianych w części 4 art. 14 niniejszej ustawy federalnej.

2. Jeżeli obowiązek podania danych osobowych przewiduje prawo federalne, operator ma obowiązek wyjaśnić podmiotowi danych osobowych skutki prawne odmowy udostępnienia jego danych osobowych.

3. Jeżeli od podmiotu danych osobowych nie otrzymano danych osobowych, z wyjątkiem przypadków, gdy dane osobowe zostały przekazane operatorowi na podstawie prawa federalnego lub gdy dane osobowe są publicznie dostępne, operator przed przetwarzaniem tych danych osobowych jest zobowiązany do przekazania podmiotowi danych osobowych następujących informacji:

1) nazwę (nazwisko, imię, nazwisko rodowe) i adres operatora lub jego przedstawiciela;

2) cel przetwarzania danych osobowych i jego podstawa prawna;

3) zamierzeni użytkownicy danych osobowych;

4) prawa podmiotu danych osobowych określone w niniejszej ustawie federalnej.

Art. 19. Środki zapewniające bezpieczeństwo danych osobowych podczas ich przetwarzania

1. Operator podczas przetwarzania danych osobowych obowiązany jest podjąć niezbędne środki organizacyjne i techniczne, w tym stosowanie środków szyfrujących (kryptograficznych), zabezpieczające dane osobowe przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, zablokowaniem, kopiowaniem, rozpowszechniania danych osobowych, a także przed innymi działaniami niezgodnymi z prawem.

2. Rząd Federacji Rosyjskiej ustanawia wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania w systemach informatycznych danych osobowych, wymagania dotyczące materialnych nośników biometrycznych danych osobowych oraz technologie przechowywania takich danych poza systemami informacji o danych osobowych.

3. Kontrolę i nadzór nad przestrzeganiem wymagań ustanowionych przez Rząd Federacji Rosyjskiej zgodnie z częścią 2 niniejszego artykułu sprawuje federalny organ wykonawczy upoważniony w dziedzinie bezpieczeństwa oraz federalny organ wykonawczy upoważniony w dziedzinie przeciwdziałania wywiadowi technicznemu i technicznej ochronie informacji, w granicach swoich uprawnień i bez prawa zapoznania się z danymi osobowymi przetwarzanymi w systemach informatycznych danych osobowych.

4. Wykorzystywanie i przechowywanie biometrycznych danych osobowych poza systemami teleinformatycznymi danych osobowych może odbywać się wyłącznie na takich materialnych nośnikach i przy użyciu takich technologii przechowywania, które zapewniają ochronę tych danych przed nieuprawnionym lub przypadkowym dostępem do nich, zniszczeniem, modyfikacją, blokowanie, kopiowanie, rozpowszechnianie.

Art. 20. Obowiązki operatora przy składaniu lub otrzymywaniu wniosku od podmiotu danych osobowych lub jego przedstawiciela ustawowego, a także organu uprawnionego do ochrony praw podmiotów danych osobowych

1. Operator jest zobowiązany, w sposób przewidziany w art. 14 niniejszej ustawy federalnej, do poinformowania podmiotu danych osobowych lub informacji jego przedstawiciela prawnego o dostępności danych osobowych odnoszących się do odpowiedniego przedmiotu danych osobowych, a także zapewnić możliwość zapoznania się z nimi podczas kontaktu z podmiotem danych osobowych lub jego przedstawicielem prawnym, przedstawicielem lub w terminie dziesięciu dni roboczych od dnia otrzymania żądania podmiotu danych osobowych lub jego przedstawiciela prawnego.

2. W przypadku odmowy udostępnienia podmiotowi danych osobowych lub jego przedstawicielowi prawnemu przy składaniu wniosku lub otrzymaniu żądania od podmiotu danych osobowych lub jego przedstawiciela ustawowego, informacji o dostępności danych osobowych o właściwym podmiocie danych osobowych, o ile a także takich danych osobowych, operator jest zobowiązany do złożenia uzasadnionego oświadczenia na piśmie w odpowiedzi zawierającej odniesienie do przepisu części 5 art. 14 niniejszej ustawy federalnej lub innej ustawy federalnej, która jest podstawą takiej odmowy, w terminie okres nieprzekraczający siedmiu dni roboczych od dnia złożenia wniosku przez osobę, której dane dotyczą, lub jej przedstawiciela ustawowego albo od dnia otrzymania wniosku przez osobę, której dane dotyczą, lub jej przedstawiciela ustawowego.

3. Operator ma obowiązek nieodpłatnego zapewnienia podmiotowi danych osobowych lub jego przedstawicielowi ustawowemu możliwości zapoznania się z danymi osobowymi dotyczącymi odpowiadającego mu podmiotu danych osobowych, a także dokonania w nich niezbędnych zmian, zniszczyć lub zablokować odpowiednie dane osobowe po przekazaniu informacji przez podmiot danych osobowych lub jego przedstawiciela prawnego, potwierdzając, że dane osobowe dotyczące danego podmiotu, których przetwarzanie odbywa się przez operatora, są niekompletne, nieaktualne, niewiarygodne , uzyskane nielegalnie lub nie są niezbędne do wskazanego celu przetwarzania. Operator ma obowiązek powiadomić podmiot danych osobowych lub jego przedstawiciela prawnego oraz osoby trzecie, którym przekazano dane osobowe tego podmiotu, o dokonanych zmianach i podjętych środkach.

4. Operator ma obowiązek udzielić uprawnionemu organowi ochrony praw osób, których dane osobowe dotyczą, na jego żądanie, informacji niezbędnych do prowadzenia działalności tego organu w terminie siedmiu dni roboczych od dnia otrzymania takiego wniosek.

Artykuł 21. Obowiązki operatora usunięcia naruszeń prawa popełnionych przy przetwarzaniu danych osobowych oraz wyjaśnienia, zablokowania i zniszczenia danych osobowych

1. W przypadku wykrycia przez Operatora nierzetelnych danych osobowych lub bezprawnych działań z nimi związanych podczas kontaktu lub na żądanie podmiotu danych osobowych lub jego przedstawiciela ustawowego lub organu uprawnionego do ochrony praw podmiotów danych osobowych, Operator ma obowiązek zablokować dane osobowe dotyczące odpowiadającego im przedmiotu danych osobowych, z chwilą złożenia takiego wniosku lub otrzymania takiego żądania, na okres weryfikacji.

2. W przypadku stwierdzenia faktu nierzetelności danych osobowych, operator, na podstawie dokumentów złożonych przez podmiot danych osobowych lub jego przedstawiciela ustawowego lub organ uprawniony do ochrony praw osób, których dane dotyczą, lub inne niezbędne dokumentów, jest zobowiązany do wyjaśnienia danych osobowych i usunięcia ich blokady.

3. W przypadku wykrycia nielegalnych działań z danymi osobowymi Operator w terminie nie dłuższym niż trzy dni robocze od dnia wykrycia jest zobowiązany do usunięcia naruszeń. Jeżeli usunięcie popełnionych naruszeń nie będzie możliwe, Operator ma obowiązek zniszczyć dane osobowe w terminie nieprzekraczającym trzech dni roboczych od dnia wykrycia nielegalnych działań z danymi osobowymi. Operator ma obowiązek powiadomić podmiot danych osobowych lub jego przedstawiciela ustawowego o usunięciu naruszeń lub zniszczeniu danych osobowych, a jeżeli odwołanie lub żądanie zostało wysłane przez uprawniony organ w celu ochrony praw osób, których dane dotyczą, także określony organ.

4. Jeżeli cel przetwarzania danych osobowych został osiągnięty, operator ma obowiązek niezwłocznie zaprzestać przetwarzania danych osobowych i zniszczyć odpowiadające im dane osobowe w terminie nie dłuższym niż trzy dni robocze od dnia osiągnięcia celu przetwarzania danych osobowych, chyba że określono inaczej przewidziane przez przepisy federalne i powiadomić podmiot danych osobowych o tych danych lub jego przedstawiciela prawnego, a jeżeli odwołanie lub wniosek został przesłany przez uprawniony organ do ochrony praw osób, których dane dotyczą, także wskazany organ.

5. Jeżeli podmiot danych osobowych cofnie zgodę na przetwarzanie swoich danych osobowych, operator ma obowiązek zaprzestać przetwarzania danych osobowych i zniszczyć dane osobowe w terminie nie dłuższym niż trzy dni robocze od dnia otrzymania oświadczenia o cofnięciu zgody, chyba że inaczej stanowi umowa pomiędzy operatorem a podmiotem danych osobowych. Operator ma obowiązek powiadomić podmiot danych osobowych o zniszczeniu danych osobowych.

Artykuł 22. Zawiadomienie o przetwarzaniu danych osobowych

1. Operator przed rozpoczęciem przetwarzania danych osobowych ma obowiązek powiadomić organ uprawniony do ochrony praw osób, których dane dotyczą, o swoim zamiarze przetwarzania danych osobowych, z wyjątkiem przypadków przewidzianych w ust. 2 niniejszego artykułu.

2. Operator ma prawo przetwarzać dane osobowe bez powiadamiania o tym organu uprawnionego do ochrony praw osób, których dane dotyczą:

1) dotyczące osób, których dane osobowe łączą z operatorem stosunek pracy;

2) otrzymane przez Operatora w związku z zawarciem umowy, której stroną jest podmiot danych osobowych, jeżeli dane osobowe nie są rozpowszechniane ani przekazywane osobom trzecim bez zgody podmiotu danych osobowych i są wykorzystywane przez operator wyłącznie w celu wykonania określonej umowy i zawarcia umów z przedmiotem danych osobowych;

3) dotyczące członków (uczestników) stowarzyszenia publicznego lub organizacji religijnej i przetwarzane przez odpowiednie stowarzyszenie publiczne lub organizację religijną działające zgodnie z ustawodawstwem Federacji Rosyjskiej dla osiągnięcia zgodnych z prawem celów przewidzianych w ich dokumentach założycielskich, pod warunkiem że: dane osobowe nie będą rozpowszechniane bez pisemnej zgody podmiotów danych osobowych;

4) które stanowią publicznie dostępne dane osobowe;

5) obejmujące wyłącznie nazwiska, imiona i patronimiki podmiotów danych osobowych;

6) niezbędne w celu jednorazowego wprowadzenia podmiotu danych osobowych na terytorium, na którym znajduje się operator, lub w innych podobnych celach;

7) zawarte w systemach informacji o danych osobowych, które zgodnie z ustawą federalną mają status federalnych zautomatyzowanych systemów informacji, a także w państwowych systemach informacji o danych osobowych, stworzonych w celu ochrony bezpieczeństwa państwa i porządku publicznego;

8) przetwarzane bez użycia narzędzi automatyzacji zgodnie z przepisami federalnymi lub innymi regulacyjnymi aktami prawnymi Federacji Rosyjskiej, które ustanawiają wymagania dotyczące zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania oraz poszanowania praw osób, których dane dotyczą.

3. Powiadomienie, o którym mowa w ust. 1 niniejszego artykułu, musi zostać przesłane w formie pisemnej i podpisane przez osobę upoważnioną lub przesłane w formie elektronicznej i podpisane elektronicznym podpisem cyfrowym zgodnie z ustawodawstwem Federacji Rosyjskiej. Zawiadomienie musi zawierać następujące informacje:

1) imię i nazwisko (nazwisko, imię, nazwisko rodowe), adres operatora;

2) cel przetwarzania danych osobowych;

5) podstawa prawna przetwarzania danych osobowych;

6) wykaz działań na danych osobowych, ogólny opis sposobów stosowanych przez operatora przetwarzania danych osobowych;

7) opis środków, które operator zobowiązuje się zastosować przy przetwarzaniu danych osobowych, aby zapewnić bezpieczeństwo danych osobowych podczas ich przetwarzania;

8) datę rozpoczęcia przetwarzania danych osobowych;

9) termin lub warunek zaprzestania przetwarzania danych osobowych.

4. Upoważniony organ ochrony praw osób, których dane dotyczą, w terminie trzydziestu dni od dnia otrzymania zawiadomienia o przetwarzaniu danych osobowych wprowadza informacje określone w ust. 3 niniejszego artykułu, a także informację o datę przesłania wskazanego zgłoszenia do rejestru przedsiębiorców. Informacje zawarte w rejestrze operatorów, z wyjątkiem informacji o sposobach zapewnienia bezpieczeństwa danych osobowych podczas ich przetwarzania, są publicznie dostępne.

5. Operator nie może zostać obciążony kosztami w związku z rozpatrzeniem zgłoszenia o przetwarzaniu danych osobowych przez uprawniony organ do ochrony praw osób, których dane dotyczą, a także w związku z wpisaniem informacji do rejestru operatorzy.

6. W przypadku podania niekompletnych lub nierzetelnych informacji, o których mowa w ust. 3 niniejszego artykułu, uprawniony organ do spraw ochrony praw osób, których dane dotyczą, ma prawo żądać od operatora wyjaśnienia przekazanych informacji przed ich wpisaniem do rejestru operatorów.

7. W przypadku zmiany informacji, o których mowa w ust. 3 niniejszego artykułu, operator ma obowiązek powiadomić o zmianach organ uprawniony do ochrony praw osób, których dane dotyczą, w terminie dziesięciu dni roboczych od dnia zaistnienia tych zmian.

Rozdział 5. KONTROLA I NADZÓR NAD PRZETWARZANIEM DANYCH OSOBOWYCH
DANE. ODPOWIEDZIALNOŚĆ ZA NARUSZENIE WYMAGAŃ
PRAWA FEDERALNEGO

Art. 23. Organ uprawniony do ochrony praw osób, których dane osobowe dotyczą

1. Organem uprawnionym do ochrony praw podmiotów danych osobowych, któremu powierzono kontrolę i nadzór nad zgodnością przetwarzania danych osobowych z wymogami niniejszej ustawy federalnej, jest federalny organ wykonawczy pełniący funkcje kontrola i nadzór w dziedzinie technologii informatycznych i komunikacji.

2. Uprawniony organ do ochrony praw podmiotów danych osobowych rozpatruje wnioski podmiotu danych osobowych dotyczące zgodności treści danych osobowych i sposobów ich przetwarzania z celami ich przetwarzania i podejmuje odpowiednią decyzję.

3. Upoważniony organ ochrony praw osób, których dane dotyczą, ma prawo:

1) żądania od osób fizycznych lub prawnych informacji niezbędnych do wykonywania ich uprawnień i otrzymywania ich nieodpłatnie;

2) zweryfikować informacje zawarte w zawiadomieniu o przetwarzaniu danych osobowych lub zaangażować w granicach swoich uprawnień inne organy administracji publicznej do przeprowadzenia takiej weryfikacji;

3) żądania od operatora wyjaśnienia, zablokowania lub zniszczenia nieprawidłowych lub uzyskanych nielegalnie danych osobowych;

4) podjąć działania, zgodnie z procedurą ustanowioną przez ustawodawstwo Federacji Rosyjskiej, w celu zawieszenia lub zakończenia przetwarzania danych osobowych prowadzonego z naruszeniem wymogów niniejszej ustawy federalnej;

5) występowania do sądu z roszczeniami w celu ochrony praw osób, których dane dotyczą, oraz reprezentowania przed sądem interesów osób, których dane dotyczą;

6) skierować wniosek do organu wydającego zezwolenia na działalność operatora z wnioskiem o rozważenie podjęcia działań w celu zawieszenia lub unieważnienia odpowiedniej licencji w sposób określony przez ustawodawstwo Federacji Rosyjskiej, jeżeli warunkiem uzyskania zezwolenia na prowadzenie tej działalności jest zakaz przekazywania danych osobowych podmiotom trzecim bez pisemnej zgody podmiotu danych osobowych;

7) przesyłać materiały do prokuratury i innych organów ścigania w celu rozstrzygnięcia kwestii wszczęcia spraw karnych o przestępstwa związane z naruszeniem praw osób, których dane dotyczą, zgodnie z właściwością;

8) przedstawiać Rządowi Federacji Rosyjskiej propozycje ulepszenia regulacji prawnych dotyczących ochrony praw osób, których dane osobowe dotyczą;

9) pociągnąć do odpowiedzialności administracyjnej osoby winne naruszenia niniejszej ustawy federalnej.

4. W stosunku do danych osobowych, o których dowiedział się uprawniony organ do ochrony praw osób, których dane dotyczą, w toku swojej działalności, należy zapewnić poufność danych osobowych.

5. Organ uprawniony do ochrony praw osób, których dane dotyczą, jest obowiązany:

1) organizować, zgodnie z wymogami niniejszej ustawy federalnej i innych ustaw federalnych, ochronę praw osób, których dane dotyczą;

2) rozpatrywania skarg i odwołań obywateli lub osób prawnych w sprawach związanych z przetwarzaniem danych osobowych, a także podejmowania decyzji, w granicach swoich uprawnień, na podstawie wyników rozpatrzenia tych skarg i odwołań;

3) prowadzenia rejestru operatorów;

4) wdrażać działania mające na celu poprawę ochrony praw osób, których dane osobowe dotyczą;

5) przyjmować, w sposób określony przez ustawodawstwo Federacji Rosyjskiej, na wniosek federalnego organu wykonawczego uprawnionego w dziedzinie bezpieczeństwa lub federalnego organu wykonawczego upoważnionego w dziedzinie zwalczania wywiadu technicznego i technicznej ochrony informacji, środki mające na celu zawieszenie lub zakończenie przetwarzania danych osobowych;

6) informowania organów administracji rządowej, a także osób, których dane dotyczą, na ich żądania lub prośby, o stanie rzeczy w zakresie ochrony praw osób, których dane dotyczą;

7) wypełniać inne obowiązki przewidziane w ustawodawstwie Federacji Rosyjskiej.

6. Od decyzji uprawnionego organu ochrony praw osób, których dane dotyczą, przysługuje odwołanie do sądu.

7. Upoważniony organ ochrony praw osób, których dane osobowe dotyczą, corocznie przesyła sprawozdanie ze swojej działalności Prezydentowi Federacji Rosyjskiej, Rządowi Federacji Rosyjskiej i Zgromadzeniu Federalnemu Federacji Rosyjskiej. Niniejszy raport podlega publikacji w mediach.

8. Uprawniony organ ochrony praw osób, których dane osobowe dotyczą, finansowany jest z budżetu federalnego.

9. Przy uprawnionym organie do spraw ochrony praw osób, których dane osobowe dotyczą, na zasadzie dobrowolności tworzy się radę doradczą, której tryb tworzenia i działania ustala uprawniony organ do spraw ochrony praw osób fizycznych osoby, których dane dotyczą.

Artykuł 24. Odpowiedzialność za naruszenie wymogów niniejszej ustawy federalnej

Osoby winne naruszenia wymogów niniejszej ustawy federalnej ponoszą odpowiedzialność cywilną, karną, administracyjną, dyscyplinarną i inną przewidzianą w ustawodawstwie Federacji Rosyjskiej.

Rozdział 6. POSTANOWIENIA KOŃCOWE

Artykuł 25. Postanowienia końcowe

1. Niniejsza ustawa federalna wchodzi w życie sto osiemdziesiąt dni od dnia jej oficjalnej publikacji.

2. Po wejściu w życie niniejszej ustawy federalnej przetwarzanie danych osobowych zawartych w systemach informatycznych danych osobowych przed dniem jej wejścia w życie odbywa się zgodnie z niniejszą ustawą federalną.

3. Systemy informacyjne dotyczące danych osobowych utworzone przed wejściem w życie niniejszej ustawy federalnej muszą zostać dostosowane do wymogów niniejszej ustawy federalnej nie później niż 1 stycznia 2010 r.

4. Operatorzy, którzy przetwarzają dane osobowe przed datą wejścia w życie niniejszej ustawy federalnej i kontynuują takie przetwarzanie po dniu jej wejścia w życie, są zobowiązani przesłać do upoważnionego organu w celu ochrony praw danych osobowych tematy, z wyjątkiem przypadków przewidzianych w części 2 artykułu 22 niniejszej ustawy federalnej, powiadomienie przewidziane w części 3 artykułu 22 tej ustawy federalnej, nie później niż 1 stycznia 2008 roku.

Prezydent
Federacja Rosyjska
W.PUTIN

Wybór redaktora

Zapiekanka ziemniaczana z wątróbką Zapiekanka z wątróbki

Zawartość kalorii: nieokreślona Czas gotowania: nieokreślona Wszyscy kochamy smaki dzieciństwa, bo przenoszą nas w „piękne odległe”...

Najsmaczniejsze chude sałatki z kapusty pekińskiej: proste przepisy ze zdjęciami Prosta sałatka z kapustą pekińską i kukurydzą

Kukurydza konserwowa ma po prostu niesamowity smak. Z jego pomocą uzyskuje się przepisy na sałatki z kapusty pekińskiej z kukurydzą...

Dlaczego marzysz o czerwonej poduszce?

Zdarza się, że nasze sny czasami pozostawiają niezwykłe wrażenie i wówczas pojawia się pytanie, co one oznaczają. W związku z tym, że do rozwiązania...

Pomóż w interpretacji wymarzonej książki

Czy zdarzyło Ci się prosić o pomoc we śnie? W głębi duszy wątpisz w swoje możliwości i potrzebujesz mądrej rady i wsparcia. Dlaczego jeszcze marzysz...

Wróżenie na fusach kawy

Popularne jest wróżenie na fusach kawy, intrygujące znakami losu i fatalnymi symbolami na dnie filiżanki. W ten sposób przewidywania...

Owsianka mleczna z wermiszelem

Młodszy wiek. Opiszemy kilka przepisów na przygotowanie takiego dania Owsianka z wermiszelem w powolnej kuchence. Najpierw przyjrzyjmy się...

Jak zrobić domowego szampana z liści winogron

Wino to trunek, który pija się nie tylko na każdej imprezie, ale także po prostu wtedy, gdy mamy ochotę na coś mocniejszego. Jednak wino stołowe jest...

Pożyczka dla przedsiębiorców indywidualnych z zerową sprawozdawczością

Różnorodność kredytów dla firm jest obecnie bardzo duża. Przedsiębiorca często może znaleźć naprawdę opłacalną pożyczkę tylko...

Rolada z mięsa mielonego z jajkami na twardo

W razie potrzeby klops z jajkiem w piekarniku można owinąć cienkimi paskami boczku. Nada potrawie niesamowity aromat. Poza tym zamiast jajek...

Nowy

Popularny