2006 m. liepos 27 d. Rusijos Federacijos federalinis įstatymas N 152-FZ „Dėl asmens duomenų“ (su pakeitimais, padarytais 2011 m. liepos 25 d. N 261-FZ).
Valstybės Dūma priėmė 2006 m. liepos 8 d
2006 m. liepos 14 d. patvirtinta Federacijos tarybos
(su pakeitimais, padarytais 2009 m. lapkričio 25 d. federaliniais įstatymais N 266-FZ,
2009 m. gruodžio 27 d. N 363-FZ, 2010 m. birželio 28 d. N 123-FZ,
2010 07 27 N 204-FZ, 2010 07 27 N 227-FZ,
2010 m. lapkričio 29 d. N 313-FZ, 2010 m. gruodžio 23 d. N 359-FZ,
2011-04-06 N 123-FZ, 2011-07-25 N 261-FZ)
1 skyrius. BENDROSIOS NUOSTATOS
1 straipsnis. Šio federalinio įstatymo taikymo sritis
1. Šis federalinis įstatymas reglamentuoja santykius, susijusius su asmens duomenų tvarkymu, kurį atlieka federalinės valstybės institucijos, Rusijos Federaciją sudarančių subjektų valstybinės institucijos, kitos valstybės institucijos (toliau – valstybės institucijos), vietos valdžios institucijos, kitos savivaldybių institucijos. (toliau – savivaldybės įstaigos) , juridiniai ir fiziniai asmenys, naudojantys automatizavimo priemones, įskaitant informaciniuose ir telekomunikacijų tinkluose, arba nenaudojant tokių priemonių, jeigu asmens duomenų tvarkymas nenaudojant tokių priemonių atitinka veiksmų (operacijų) pobūdį. atliekama su asmens duomenimis naudojant automatizavimo įrankius, tai yra leidžia pagal nurodytą algoritmą ieškoti asmens duomenų, įrašytų materialioje laikmenoje ir esančių bylų spintelėse ar kituose susistemintuose asmens duomenų rinkiniuose ir (ar) pasiekti toks miego duomenis.
(1 dalis su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
2. Šis federalinis įstatymas netaikomas santykiams, kylantiems iš:
1) fiziniai asmenys tvarko asmens duomenis tik asmeniniams ir šeimos poreikiams tenkinti, jei nepažeidžiamos asmens duomenų subjektų teisės;
2) dokumentų, kuriuose yra Rusijos Federacijos archyvų fondo asmens duomenų ir kitų archyvinių dokumentų, saugojimo, įsigijimo, apskaitos ir naudojimo organizavimas pagal 2007 m. teisės aktų dėl archyvavimo Rusijos Federacijoje;
3) tapo negaliojančiu. - 2011 m. liepos 25 d. federalinis įstatymas N 261-FZ;
4) asmens duomenų, nustatyta tvarka įslaptintų kaip valstybės paslaptį sudarančios informacijos, tvarkymas;
5) įgaliotų institucijų teikimas informacijos apie Rusijos Federacijos teismų veiklą pagal 2008 m. gruodžio 22 d. federalinį įstatymą N 262-FZ „Dėl prieigos prie informacijos apie teismų veiklą Rusijos Federacijoje užtikrinimo“ .
(5 punktas buvo įvestas 2010 m. birželio 28 d. Federaliniu įstatymu Nr. 123-FZ)
2 straipsnis. Šio federalinio įstatymo paskirtis
Šio federalinio įstatymo tikslas – užtikrinti asmens ir piliečio teisių ir laisvių apsaugą tvarkant jo asmens duomenis, įskaitant teisių į privatumą, asmens ir šeimos paslaptis apsaugą.
3 straipsnis. Pagrindinės šiame federaliniame įstatyme vartojamos sąvokos
Šiame federaliniame įstatyme vartojamos šios pagrindinės sąvokos:
1) asmens duomenys – bet kokia informacija, tiesiogiai ar netiesiogiai susijusi su konkrečiu arba galimo nustatyti fizinį asmenį (asmens duomenų subjektą);
2) operatorius – valstybės įstaiga, savivaldybės įstaiga, juridinis ar fizinis asmuo, savarankiškai ar kartu su kitais asmenimis, organizuojantis ir (ar) vykdantis asmens duomenų tvarkymą, taip pat nustatantis asmens duomenų tvarkymo tikslus, asmens sudėtį. tvarkomi duomenys, su asmens duomenimis atlikti veiksmai (operacijos);
3) asmens duomenų tvarkymas – bet koks veiksmas (operacija) arba veiksmų (operacijų) visuma, atliekama naudojant automatizavimo priemones arba nenaudojant tokių priemonių su asmens duomenimis, įskaitant rinkimą, įrašymą, sisteminimą, kaupimą, saugojimą, išaiškinimą (atnaujinimą, keitimą) , asmens duomenų išgavimas, naudojimas, perdavimas (platinimas, teikimas, prieiga), nuasmeninimas, blokavimas, trynimas, sunaikinimas;
4) automatizuotas asmens duomenų tvarkymas – asmens duomenų tvarkymas kompiuterinių technologijų pagalba;
5) asmens duomenų skleidimas – veiksmai, kuriais siekiama atskleisti asmens duomenis neapibrėžtam asmenų ratui;
6) asmens duomenų teikimas – veiksmai, kuriais siekiama atskleisti asmens duomenis tam tikram asmeniui ar tam tikram asmenų ratui;
7) asmens duomenų blokavimas – laikinas asmens duomenų tvarkymo sustabdymas (išskyrus atvejus, kai tvarkyti būtina siekiant patikslinti asmens duomenis);
8) asmens duomenų sunaikinimas – veiksmai, dėl kurių tampa neįmanoma atkurti asmens duomenų turinio informacinėje asmens duomenų sistemoje ir (ar) dėl kurių sunaikinami materialūs asmens duomenų nešėjai;
9) asmens duomenų nuasmeninimas – veiksmai, dėl kurių nenaudojant papildomos informacijos tampa neįmanoma nustatyti asmens duomenų nuosavybės teisės konkrečiam asmens duomenų subjektui;
10) asmens duomenų informacinė sistema - duomenų bazėse ir informacinėse technologijose esančių asmens duomenų visuma ir techninės priemonės, užtikrinančios jų tvarkymą;
11) tarpvalstybinis asmens duomenų perdavimas – asmens duomenų perdavimas į užsienio valstybės teritoriją užsienio valstybės institucijai, užsienio fiziniam ar užsienio juridiniam asmeniui.
4 straipsnis. Rusijos Federacijos teisės aktai asmens duomenų srityje
1. Rusijos Federacijos teisės aktai asmens duomenų srityje yra pagrįsti Rusijos Federacijos Konstitucija ir Rusijos Federacijos tarptautinėmis sutartimis ir susideda iš šio federalinio įstatymo bei kitų federalinių įstatymų, kurie nustato asmens duomenų tvarkymo atvejus ir ypatybes. Asmeniniai duomenys.
2. Federalinių įstatymų pagrindu ir vadovaudamiesi valstybės organai, Rusijos bankas, vietos valdžios institucijos pagal savo įgaliojimus tam tikrais klausimais gali priimti norminius teisės aktus, reglamentus, teisės aktus (toliau – norminiai teisės aktai). susijusių su asmens duomenų tvarkymu. Tokiuose aktuose negali būti nuostatų, ribojančių asmens duomenų subjektų teises, nustatančių operatorių veiklos apribojimus, nenumatytus federaliniuose įstatymuose, arba įpareigojančius operatorius, nenumatytus federaliniuose įstatymuose, ir jie turi būti oficialiai skelbiami.
(2 dalis su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
3. Asmens duomenų tvarkymo, atliekamo nenaudojant automatizavimo priemonių, ypatybes gali nustatyti federaliniai įstatymai ir kiti Rusijos Federacijos norminiai teisės aktai, atsižvelgiant į šio federalinio įstatymo nuostatas.
4. Jeigu Rusijos Federacijos tarptautinėje sutartyje yra nustatytos kitos taisyklės, nei numatyta šiame federaliniame įstatyme, taikomos tarptautinės sutarties taisyklės.
2 skyrius. ASMENS DUOMENŲ TVARKYMO PRINCIPAI IR SĄLYGOS
5 straipsnis. Asmens duomenų tvarkymo principai
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
1. Asmens duomenų tvarkymas turi būti vykdomas teisėtais ir sąžiningais pagrindais.
2. Asmens duomenys turėtų būti tvarkomi tik siekiant konkrečių, iš anksto nustatytų ir teisėtų tikslų. Neleidžiama tvarkyti asmens duomenų, kurie nesuderinami su asmens duomenų rinkimo tikslais.
3. Neleidžiama derinti duomenų bazių, kuriose yra asmens duomenų, kurių tvarkymas vykdomas tarpusavyje nesuderinamais tikslais.
4. Tvarkomi tik tie asmens duomenys, kurie atitinka jų tvarkymo tikslus.
6. Tvarkant asmens duomenis turi būti užtikrintas asmens duomenų tikslumas, pakankamumas, o prireikus jų aktualumas asmens duomenų tvarkymo tikslams. Operatorius privalo imtis reikiamų priemonių arba užtikrinti, kad jų būtų imtasi, kad būtų pašalinti arba patikslinti neišsamūs ar netikslūs duomenys.
7. Asmens duomenys turėtų būti saugomi tokia forma, kuri leistų nustatyti asmens duomenų subjektą, ne ilgiau, nei to reikalauja asmens duomenų tvarkymo tikslai, jei asmens duomenų saugojimo laikotarpis nenustatytas federaliniais įstatymais, t. sutartis, kurios šalis, naudos gavėjas ar garantas yra asmens duomenų subjektas.duomenys. Tvarkomi asmens duomenys gali būti sunaikinti arba nuasmeninti, kai pasiekiami tvarkymo tikslai arba prarandamas poreikis pasiekti šiuos tikslus, nebent federaliniai įstatymai numato kitaip.
6 straipsnis. Asmens duomenų tvarkymo sąlygos
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
1. Asmens duomenys turi būti tvarkomi laikantis šiame federaliniame įstatyme numatytų principų ir taisyklių. Asmens duomenis leidžiama tvarkyti šiais atvejais:
1) asmens duomenys tvarkomi gavus asmens duomenų subjekto sutikimą, kad būtų tvarkomi jo asmens duomenys;
2) asmens duomenų tvarkymas yra būtinas siekiant Rusijos Federacijos tarptautinėje sutartyje ar įstatyme numatytų tikslų, vykdyti ir vykdyti Rusijos Federacijos teisės aktų operatoriui priskirtas funkcijas, įgaliojimus ir pareigas;
3) asmens duomenis reikia tvarkyti teisingumui vykdyti, teismo veiksmui, kito organo ar pareigūno aktui atlikti, vykdytinas pagal 2014 m. teisės aktų Rusijos Federacijos nutarimas dėl vykdymo procedūrų (toliau – teismo akto vykdymas);
4) asmens duomenis reikia tvarkyti valstybės ar savivaldybių paslaugoms teikti pagal 2010 m. liepos 27 d. federalinį įstatymą N 210-FZ „Dėl valstybės ir savivaldybių paslaugų teikimo organizavimo“, siekiant užtikrinti paslaugų teikimą. tokios paslaugos, asmens duomenų subjektą registruoti viename valstybės ir savivaldybės paslaugų portale;
5) asmens duomenis tvarkyti būtina siekiant įvykdyti sutartį, kurios šalis yra asmens duomenų subjektas arba naudos gavėjas ar garantas, taip pat asmens duomenų subjekto iniciatyva sudaryti sutartį arba susitarimą pagal kuris asmens duomenų subjektas bus naudos gavėjas arba garantas;
6) asmens duomenų tvarkymas yra būtinas siekiant apsaugoti asmens duomenų subjekto gyvybę, sveikatą ar kitus gyvybiškai svarbius interesus, jeigu neįmanoma gauti asmens duomenų subjekto sutikimo;
7) asmens duomenų tvarkymas yra būtinas operatoriaus ar trečiųjų asmenų teisėms ir teisėtiems interesams įgyvendinti arba socialiai reikšmingiems tikslams pasiekti, jeigu nepažeidžiamos asmens duomenų subjekto teisės ir laisvės;
8) asmens duomenis tvarkyti būtina žurnalisto profesinei veiklai ir (ar) teisėtai visuomenės informavimo priemonių veiklai ar mokslinei, literatūrinei ar kitai kūrybinei veiklai, jeigu asmens duomenų subjekto teisės ir teisėti interesai yra pažeisti. nepažeistas;
9) asmens duomenys tvarkomi statistiniais ar kitais tyrimų tikslais, išskyrus šio federalinio įstatymo 15 straipsnyje nurodytus tikslus, atsižvelgiant į privalomą asmens duomenų nuasmeninimą;
10) vykdomas asmens duomenų tvarkymas, prieiga prie neriboto skaičiaus asmenų suteikiama asmens duomenų subjekto arba jo prašymu (toliau – asmens duomenų subjekto viešai paskelbti asmens duomenys);
11) tvarkomi asmens duomenys, kuriuos reikia paskelbti arba privalomai atskleisti pagal federalinį įstatymą.
2. Specialių kategorijų asmens duomenų, taip pat biometrinių asmens duomenų tvarkymo ypatumai yra nustatyti atitinkamai šio federalinio įstatymo 10 ir 11 straipsniuose.
3. Operatorius turi teisę asmens duomenų subjekto sutikimu pavesti tvarkyti asmens duomenis kitam asmeniui, jeigu federaliniai įstatymai nenustato kitaip, remiantis su šiuo asmeniu sudaryta sutartimi, įskaitant valstybės ar savivaldybės sutartimi, arba priimdamas atitinkamą valstybės ar savivaldybės institucijos aktą (toliau – operatoriaus nurodymai). Asmuo, kuris tvarko asmens duomenis operatoriaus vardu, privalo laikytis šiame federaliniame įstatyme numatytų asmens duomenų tvarkymo principų ir taisyklių. Operatoriaus nurodyme turi būti apibrėžtas veiksmų (operacijų) su asmens duomenimis, kuriuos atliks asmens duomenis tvarkantis asmuo, sąrašas ir tvarkymo tikslai, tokio asmens pareiga išlaikyti asmens duomenų paslaptį ir užtikrinti asmens duomenų saugumą. duomenys jų tvarkymo metu, taip pat tvarkomų asmens duomenų apsaugos reikalavimai turi būti nurodyti pagal šio federalinio įstatymo 19 straipsnį.
4. Asmuo, tvarkantis asmens duomenis operatoriaus vardu, neprivalo gauti asmens duomenų subjekto sutikimo tvarkyti jo asmens duomenis.
5. Jei operatorius paveda tvarkyti asmens duomenis kitam asmeniui, jis atsako asmens duomenų subjektui už minėto asmens veiksmus. Asmuo, kuris tvarko asmens duomenis operatoriaus vardu, yra atsakingas operatoriui.
7 straipsnis. Asmens duomenų konfidencialumas
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
Operatoriai ir kiti asmenys, gavę prieigą prie asmens duomenų, privalo neatskleisti asmens duomenų trečiosioms šalims ir neplatinti asmens duomenų be asmens duomenų subjekto sutikimo, nebent federaliniai įstatymai numato kitaip.
8 straipsnis. Viešai prieinami asmens duomenų šaltiniai
1. Informacinio palaikymo tikslais gali būti kuriami viešai prieinami asmens duomenų šaltiniai (įskaitant žinynus, adresų knygas). Viešai prieinamuose asmens duomenų šaltiniuose, gavus rašytinį asmens duomenų subjekto sutikimą, gali būti jo pavardė, vardas, patronimas, gimimo metai ir vieta, adresas, abonento numeris, informacija apie profesiją ir kiti asmens duomenys, kuriuos pateikė asmens duomenų subjektas.
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
2. Informacija apie asmens duomenų subjektą turi būti bet kuriuo metu pašalinta iš viešųjų asmens duomenų šaltinių asmens duomenų subjekto prašymu arba teismo ar kitų įgaliotų valstybės institucijų sprendimu.
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
(žr. tekstą ankstesniame leidime)
9 straipsnis. Asmens duomenų subjekto sutikimas tvarkyti jo asmens duomenis
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
1. Asmens duomenų subjektas nusprendžia teikti savo asmens duomenis ir sutinka, kad jie būtų tvarkomi laisvai, savo noru ir jo interesais. Sutikimas tvarkyti asmens duomenis turi būti konkretus, informuotas ir sąmoningas. Asmens duomenų subjektas arba jo atstovas gali duoti sutikimą tvarkyti asmens duomenis bet kokia forma, leidžiančia patvirtinti jų gavimo faktą, nebent federaliniai įstatymai numato kitaip. Gavus sutikimą tvarkyti asmens duomenis iš asmens duomenų subjekto atstovo, šio atstovo įgaliojimus duoti sutikimą asmens duomenų subjekto vardu tikrina operatorius.
2. Sutikimą tvarkyti asmens duomenis asmens duomenų subjektas gali atšaukti. Tuo atveju, kai asmens duomenų subjektas atšaukia sutikimą tvarkyti asmens duomenis, operatorius turi teisę toliau tvarkyti asmens duomenis be asmens duomenų subjekto sutikimo, jei yra šio straipsnio 2 dalyse nurodytas pagrindas. 6 straipsnio 1 dalies 11 p
3. Pareiga pateikti įrodymus, kad buvo gautas asmens duomenų subjekto sutikimas tvarkyti jo asmens duomenis arba įrodymas, kad yra 2 dalyse nurodytos priežastys – 6 straipsnio 1 dalies 11 p, šio federalinio įstatymo 10 straipsnio 2 dalis ir 11 straipsnio 2 dalis, yra priskirtas operatoriui.
4. Federalinio įstatymo numatytais atvejais asmens duomenys tvarkomi tik gavus raštišką asmens duomenų subjekto sutikimą. Sutikimas elektroninio dokumento forma, pasirašytas pagal federalinį įstatymą su elektroniniu parašu, prilygsta rašytiniam sutikimui popieriuje, kuriame yra asmens duomenų subjekto ranka rašytas parašas. Asmens duomenų subjekto rašytinis sutikimas tvarkyti jo asmens duomenis visų pirma turi apimti:
1) asmens duomenų subjekto pavardė, vardas, patronimas, adresas, pagrindinio jo tapatybę patvirtinančio dokumento numeris, informacija apie nurodyto dokumento išdavimo datą ir jį išdavusią įstaigą;
2) asmens duomenų subjekto atstovo pavardė, vardas, patronimas, adresas, pagrindinio jo tapatybę patvirtinančio dokumento numeris, informacija apie nurodyto dokumento išdavimo datą ir jį išdavusią instituciją, rekvizitai įgaliojimas ar kitas šio atstovo įgaliojimus patvirtinantis dokumentas (gavus subjekto asmens duomenų atstovo sutikimą);
3) operatoriaus, gaunančio asmens duomenų subjekto sutikimą, vardas arba pavardė, vardas, patronimas ir adresas;
4) asmens duomenų tvarkymo tikslas;
5) asmens duomenų, kurių tvarkymui duodamas asmens duomenų subjekto sutikimas, sąrašas;
6) asmens, kuris tvarko asmens duomenis operatoriaus vardu, vardas arba pavardė, vardas, patronimas ir adresas, jeigu tvarkymas patikėtas tokiam asmeniui;
7) veiksmų su asmens duomenimis, kuriems duodamas sutikimas, sąrašas, bendras operatoriaus taikomų asmens duomenų tvarkymo būdų aprašymas;
8) laikotarpis, per kurį galioja asmens duomenų subjekto sutikimas, taip pat jo atšaukimo būdas, jei federaliniai įstatymai nenustato kitaip;
9) asmens duomenų subjekto parašas.
5. Asmens duomenų subjekto sutikimo, kad jo asmens duomenys būtų tvarkomi siekiant teikti valstybės ir savivaldybių paslaugas, taip pat paslaugas, kurios būtinos ir privalomos teikti, gavimo elektroninio dokumento forma tvarka. valstybės ir savivaldybių paslaugų, nustato Rusijos Federacijos Vyriausybė.
6. Asmens duomenų subjektui esant neveiksnumui, sutikimą tvarkyti jo asmens duomenis duoda asmens duomenų subjekto teisėtas atstovas.
7. Asmens duomenų subjekto mirties atveju sutikimą tvarkyti jo asmens duomenis duoda asmens duomenų subjekto įpėdiniai, jeigu tokio sutikimo asmens duomenų subjektas nedavė per savo gyvenimą. .
8. Asmens duomenis operatorius gali gauti iš asmens, kuris nėra asmens duomenų subjektas, jeigu operatoriui pateikiamas patvirtinimas, kad yra šio straipsnio 2 dalyse nurodytos priežastys. 6 straipsnio 1 dalies 11 p, šio federalinio įstatymo 10 straipsnio 2 dalis ir 11 straipsnio 2 dalis.
10 straipsnis. Specialios asmens duomenų kategorijos
1. Draudžiama tvarkyti specialių kategorijų asmens duomenis, susijusius su rase, tautybe, politinėmis pažiūromis, religiniais ar filosofiniais įsitikinimais, sveikatos būkle, intymiu gyvenimu, išskyrus šio straipsnio 2 dalyje numatytus atvejus.
2. Šio straipsnio 1 dalyje nurodytų specialių kategorijų asmens duomenis tvarkyti leidžiama tais atvejais, kai:
1) asmens duomenų subjektas raštu davė sutikimą, kad būtų tvarkomi jo asmens duomenys;
2) asmens duomenis viešai skelbia asmens duomenų subjektas;
(2 punktas su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
2.1) asmens duomenų tvarkymas yra būtinas įgyvendinant Rusijos Federacijos tarptautines readmisijos sutartis;
(2.1 punktas buvo įvestas 2009 m. lapkričio 25 d. Federaliniu įstatymu Nr. 266-FZ)
2.2) asmens duomenys tvarkomi pagal 2002 m. sausio 25 d. federalinį įstatymą N 8-FZ „Dėl visos Rusijos gyventojų surašymo“;
(2.2 punktas buvo įvestas 2010 m. liepos 27 d. Federaliniu įstatymu Nr. 204-FZ)
2.3) asmens duomenų tvarkymas vykdomas pagal teisės aktų dėl valstybės socialinės paramos, darbo teisės aktų, teisės aktų Rusijos Federacija dėl valstybinių pensijų pensijų, dėl darbo pensijų;
(2.3 punktas buvo įvestas 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
3) asmens duomenų tvarkymas yra būtinas siekiant apsaugoti asmens duomenų subjekto gyvybę, sveikatą ar kitus gyvybiškai svarbius interesus arba kitų asmenų gyvybę, sveikatą ar kitus gyvybiškai svarbius interesus ir gauti asmens duomenų subjekto sutikimo neįmanoma;
(3 punktas su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
4) asmens duomenys tvarkomi medicininiais ir prevenciniais tikslais, siekiant nustatyti medicininę diagnozę, teikti medicinines ir medicinines bei socialines paslaugas, jeigu asmens duomenis tvarko profesionaliai medicinos veikla besiverčiantis asmuo. ir yra įpareigotas pagal teisės aktų Rusijos Federacija saugoti medicininę paslaptį;
5) visuomeninės asociacijos ar religinės organizacijos narių (dalyvių) asmens duomenis tvarko atitinkama visuomeninė asociacija ar religinė organizacija, veikdama pagal Rusijos Federacijos teisės aktus, siekdama numatytų teisėtų tikslų. savo steigimo dokumentais, su sąlyga, kad asmens duomenys nebus platinami be raštiško asmens duomenų subjektų sutikimo;
6) asmens duomenis tvarkyti būtina siekiant nustatyti ar įgyvendinti asmens duomenų subjekto ar trečiųjų asmenų teises, taip pat dėl teisingumo vykdymo;
(6 punktas su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
7) asmens duomenų tvarkymas vykdomas pagal teisės aktų Rusijos Federacijos gynybos, saugumo, kovos su terorizmu, transporto saugumo, kovos su korupcija, operatyvinės-tyrimo veiklos, vykdymo procedūrų, baudžiamosios valdybos teisės aktų Rusijos Federacija;
(7 punktas su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
8) asmens duomenų tvarkymas vykdomas vadovaujantis teisės aktais dėl privalomojo draudimo rūšių, su draudimo teisės aktais;
(8 straipsnis su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
9) asmens duomenys tvarkomi Rusijos Federacijos, valstybinių įstaigų, savivaldybių įstaigų ar organizacijų teisės aktų nustatytais atvejais, siekiant be tėvų globos likusius vaikus apgyvendinti piliečių šeimose.
(9 punktas buvo įvestas 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
3. Asmens duomenis apie teistumą gali tvarkyti valstybinės ar savivaldybių institucijos pagal Rusijos Federacijos teisės aktuose joms suteiktus įgaliojimus, taip pat kiti asmenys nustatytais atvejais ir tvarka. pagal federalinius įstatymus.
4. Specialių kategorijų asmens duomenų tvarkymas, atliekamas šio straipsnio 2 ir 3 dalyse numatytais atvejais, turi būti nedelsiant nutrauktas, jei pašalinamos priežastys, dėl kurių buvo tvarkomi, nebent federaliniai įstatymai nustato kitaip. .
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
11 straipsnis. Biometriniai asmens duomenys
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
1. Informacija, apibūdinanti asmens fiziologines ir biologines savybes, kurios pagrindu galima nustatyti jo tapatybę (biometriniai asmens duomenys) ir kurią operatorius naudoja asmens duomenų subjektui identifikuoti, gali būti tvarkoma tik rašytinis sutikimas dėl asmens duomenų subjekto, išskyrus šio straipsnio 2 dalyje numatytus atvejus.
2. Biometriniai asmens duomenys gali būti tvarkomi be asmens duomenų subjekto sutikimo, susijusių su Rusijos Federacijos tarptautinių sutarčių dėl readmisijos įgyvendinimu, vykdant teisingumą ir vykdant teisminius veiksmus, t. taip pat numatytais atvejais teisės aktų Rusijos Federacijos dėl gynybos, dėl saugumo, dėl kovos su terorizmu, dėl transporto saugumo, dėl kovos su korupcija, dėl operatyvinės-tyrimo veiklos, dėl valstybės tarnybos, dėl bausmių vykdymo teisės aktų Rusijos Federacija, teisės aktų Rusijos Federacija dėl išvykimo iš Rusijos Federacijos ir įvažiavimo į Rusijos Federaciją tvarkos.
12 straipsnis. Tarpvalstybinis asmens duomenų perdavimas
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
1. Tarpvalstybinis asmens duomenų perdavimas užsienio valstybių, kurios yra Europos Tarybos konvencijos dėl asmenų apsaugos tvarkant asmens duomenis automatinio tvarkymo šalys, teritorijoje, taip pat kitose užsienio valstybėse, kurios užtikrina tinkamą asmens duomenų apsaugą. asmens duomenų subjektų teisės, įgyvendinamos pagal šį federalinį įstatymą ir gali būti uždraustos arba apribotos, siekiant apsaugoti Rusijos Federacijos konstitucinės santvarkos pagrindus, piliečių dorovę, sveikatą, teises ir teisėtus interesus, užtikrinti šalies gynyba ir valstybės saugumas.
2. Asmens duomenų subjektų teisių apsaugos įgaliota institucija tvirtina užsienio valstybių, kurios nėra Europos Tarybos konvencijos dėl asmenų apsaugos tvarkant asmens duomenis automatizuotai tvarkomos šalys, sąrašą ir užtikrina tinkamą asmens duomenų apsaugą. asmens duomenų subjektų teisės. Valstybė, kuri nėra Europos Tarybos konvencijos dėl asmenų apsaugos tvarkant asmens duomenis automatiniu būdu dalyvė, gali būti įtraukta į užsienio valstybių, užtikrinančių tinkamą asmens duomenų subjektų teisių apsaugą, sąrašą, jeigu: minėtos konvencijos nuostatos atitinka atitinkamoje valstybėje galiojančias teisės normas ir taikomas asmens duomenų saugumo priemones.
3. Operatorius privalo įsitikinti, kad užsienio valstybė, į kurios teritoriją vykdomas asmens duomenų perdavimas, užtikrina tinkamą asmens duomenų subjektų teisių apsaugą iki tarpvalstybinio asmens duomenų perdavimo pradžios.
4. Tarpvalstybinis asmens duomenų perdavimas užsienio valstybių, kurios neužtikrina tinkamos asmens duomenų subjektų teisių apsaugos, teritorijoje gali būti vykdomas šiais atvejais:
1) rašytinis asmens duomenų subjekto sutikimas dėl tarpvalstybinio jo asmens duomenų perdavimo;
2) numatytas Rusijos Federacijos tarptautinėse sutartyse;
3) numatytus federaliniuose įstatymuose, jei reikia, siekiant apsaugoti Rusijos Federacijos konstitucinės santvarkos pagrindus, užtikrinti šalies gynybą ir valstybės saugumą, taip pat užtikrinti stabilaus ir saugaus funkcionavimo saugumą. transporto komplekso, ginti asmens, visuomenės ir valstybės interesus transporto komplekso srityje nuo neteisėtų veiksmų;
4) sutarties, kurios šalis yra asmens duomenų subjektas, vykdymas;
5) asmens duomenų subjekto ar kitų asmenų gyvybės, sveikatos, kitų gyvybiškai svarbių interesų apsauga, jeigu neįmanoma gauti raštiško asmens duomenų subjekto sutikimo.
13 straipsnis. Asmens duomenų tvarkymo valstybės ar savivaldybių asmens duomenų informacinėse sistemose ypatumai
1. Valstybės įstaigos, savivaldybių įstaigos pagal federalinių įstatymų nustatytus įgaliojimus kuria valstybės ar savivaldybių informacines asmens duomenų sistemas.
2. Federaliniai įstatymai gali nustatyti asmens duomenų apskaitos valstybės ir savivaldybių asmens duomenų informacinėse sistemose ypatumus, įskaitant įvairius asmens duomenų, esančių atitinkamoje valstybės ar savivaldybių informacinėje asmens duomenų sistemoje, nuosavybės nurodymo būdus, konkretus asmens duomenų subjektas.
3. Asmens ir piliečio teisės ir laisvės negali būti ribojamos dėl priežasčių, susijusių su įvairių asmens duomenų tvarkymo būdų naudojimu ar valstybės ar savivaldybių informacinėse sistemose esančių asmens duomenų nuosavybės teisės konkrečiam subjektui priskyrimu. asmens duomenų. Nurodant valstybės ar savivaldybių informacinėse sistemose esančių asmens duomenų nuosavybės teisę konkrečiam asmens duomenų subjektui, negalima naudoti piliečių jausmus įžeidžiančiais ar žmogaus orumą žeminančiais būdais.
4. Siekiant užtikrinti asmens duomenų subjektų teisių įgyvendinimą, susijusius su jų asmens duomenų tvarkymu valstybės ar savivaldybių informacinėse asmens duomenų sistemose, gali būti kuriamas valstybės gyventojų registras, kurio teisinis statusas. ir darbo su jais tvarką nustato federalinis įstatymas.
3 skyrius. ASMENS DUOMENŲ SUBJEKTO TEISĖS
14 straipsnis. Asmens duomenų subjekto teisė susipažinti su savo asmens duomenimis
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
1. Asmens duomenų subjektas turi teisę gauti šio straipsnio 7 dalyje nurodytą informaciją, išskyrus šio straipsnio 8 dalyje numatytus atvejus. Asmens duomenų subjektas turi teisę reikalauti iš operatoriaus patikslinti savo asmens duomenis, juos užblokuoti ar sunaikinti, jeigu asmens duomenys yra neišsamūs, pasenę, netikslūs, neteisėtai gauti arba nebūtini nurodytam tvarkymo tikslui, taip pat imtis įstatymų numatytų priemonių savo teisėms apginti .
2. Šio straipsnio 7 dalyje nurodytą informaciją asmens duomenų subjektui operatorius turi pateikti prieinama forma ir joje neturi būti asmens duomenų, susijusių su kitais asmens duomenų subjektais, nebent yra teisinis pagrindas ją atskleisti. tokie asmens duomenys.duomenys.
3. Šio straipsnio 7 dalyje nurodytą informaciją asmens duomenų subjektui ar jo atstovui teikia operatorius kreipdamasis arba gavęs asmens duomenų subjekto ar jo atstovo prašymą. Prašyme turi būti nurodytas pagrindinio dokumento, įrodančio asmens duomenų subjekto ar jo atstovo tapatybę, numeris, informacija apie nurodyto dokumento išdavimo datą ir jį išdavusią instituciją, informacija, patvirtinanti asmens duomenų subjekto dalyvavimą. santykiuose su operatoriumi (sutarties numeris, sutarties sudarymo data, sąlyginis žodinis paskyrimas ir (ar) kita informacija), arba informacija, kitaip patvirtinanti, kad operatorius tvarko asmens duomenis, asmens duomenų subjekto parašas ar jo atstovas. Prašymas gali būti siunčiamas elektroninio dokumento forma ir pasirašytas elektroniniu parašu pagal teisės aktų Rusijos Federacija.
4. Jeigu šio straipsnio 7 dalyje nurodyta informacija, taip pat tvarkomi asmens duomenys buvo pateikti peržiūrėti asmens duomenų subjektui jo prašymu, asmens duomenų subjektas turi teisę dar kartą kreiptis į operatorių. arba nusiųsti jam antrą prašymą, kad gautų šio straipsnio 7 dalyje nurodytą informaciją ir susipažintų su tokiais asmens duomenimis ne anksčiau kaip po trisdešimties dienų nuo pirminio prašymo ar pirminio prašymo pateikimo, nebent federalinis įstatymas nustato trumpesnį laikotarpį, pagal jį priimtas norminis teisės aktas arba susitarimas, kurio šalis ar naudos gavėjas arba garantas yra asmens duomenų subjektas.
5. Asmens duomenų subjektas turi teisę dar kartą kreiptis į operatorių arba išsiųsti jam antrą prašymą, kad gautų šio straipsnio 7 dalyje nurodytą informaciją, taip pat susipažintų su tvarkomais asmens duomenimis. nepasibaigus šio straipsnio 4 dalyje nurodytam terminui, tuo atveju, jeigu tokia informacija ir (ar) tvarkomi asmens duomenys jam nebuvo pateikti peržiūrėti visa apimtimi, remiantis pirminio prašymo nagrinėjimo rezultatais. Pakartotiniame prašyme kartu su šio straipsnio 3 dalyje nurodyta informacija turi būti nurodytas pakartotinio prašymo siuntimo motyvas.
6. Operatorius turi teisę atsisakyti asmens duomenų subjekto įvykdyti pakartotinį prašymą, kuris neatitinka šio straipsnio 4 ir 5 dalyse numatytų sąlygų. Toks atsisakymas turi būti motyvuotas. Pareiga pateikti atsisakymo įvykdyti pakartotinį prašymą pagrįstumą įrodymus tenka operatoriui.
7. Asmens duomenų subjektas turi teisę gauti informaciją apie jo asmens duomenų tvarkymą, įskaitant informaciją, kurią sudaro:
1) operatoriaus asmens duomenų tvarkymo fakto patvirtinimas;
2) asmens duomenų tvarkymo teisiniai pagrindai ir tikslai;
3) veiklos vykdytojo asmens duomenų tvarkymo tikslai ir metodai;
4) operatoriaus pavadinimas ir vieta, informacija apie asmenis (išskyrus operatoriaus darbuotojus), kurie turi prieigą prie asmens duomenų arba kuriems asmens duomenys gali būti atskleisti susitarimo su operatoriumi arba federalinio įstatymo pagrindu. ;
5) tvarkomi asmens duomenys, susiję su atitinkamu asmens duomenų subjektu, jų gavimo šaltinis, nebent federalinis įstatymas numato kitokią tokių duomenų teikimo tvarką;
6) asmens duomenų tvarkymo sąlygos, įskaitant jų saugojimo sąlygas;
7) asmens duomenų subjekto naudojimosi šiame federaliniame įstatyme numatytomis teisėmis tvarka;
8) informacija apie vykdomą ar numatomą tarpvalstybinį duomenų perdavimą;
9) asmens, kuris tvarko asmens duomenis operatoriaus vardu, vardas arba pavardė, vardas, patronimas ir adresas, jeigu tvarkymas yra ar bus patikėtas tokiam asmeniui;
10) kita informacija, numatyta šiame federaliniame įstatyme ar kituose federaliniuose įstatymuose.
8. Asmens duomenų subjekto teisė susipažinti su savo asmens duomenimis gali būti apribota pagal federalinius įstatymus, įskaitant tuos atvejus, kai:
1) asmens duomenys, įskaitant asmens duomenis, gautus vykdant operatyvinę-tyriminę, kontržvalgybinę ir žvalgybinę veiklą, tvarkomi krašto apsaugos, valstybės saugumo ir teisėsaugos tikslais;
2) asmens duomenis tvarko įstaigos, kurios sulaikė asmens duomenų subjektą, įtariamą padarius nusikaltimą, arba apkaltino asmens duomenų subjektą baudžiamojoje byloje arba taikė kardomąją priemonę duomenis prieš pareiškiant kaltinimus, išskyrus baudžiamajame procese numatytus teisės aktų Rusijos Federacijai tais atvejais, kai leidžiama supažindinti įtariamąjį ar kaltinamąjį su tokiais asmens duomenimis;
3) asmens duomenų tvarkymas vykdomas pagal teisės aktų dėl kovos su nusikalstamu būdu įgytų pajamų legalizavimu (plovimu) ir terorizmo finansavimu;
4) asmens duomenų subjekto prieiga prie jo asmens duomenų pažeidžia trečiųjų asmenų teises ir teisėtus interesus;
5) asmens duomenų tvarkymas vykdomas numatytais atvejais teisės aktų Rusijos Federacijos transporto saugumo nuostatai, siekiant užtikrinti tvarų ir saugų transporto komplekso funkcionavimą, apsaugoti asmens, visuomenės ir valstybės interesus transporto komplekso srityje nuo neteisėtų veiksmų.
15 straipsnis
1. Asmens duomenis tvarkyti siekiant reklamuoti prekes, darbus, paslaugas rinkoje užmezgant tiesioginius ryšius su potencialiu vartotoju naudojant ryšio priemones, taip pat politinės agitacijos tikslais leidžiama tik gavus išankstinį Lietuvos Respublikos Vyriausybės 2010 m. asmens duomenų subjektas. Nurodytas asmens duomenų tvarkymas pripažįstamas atliktu be išankstinio asmens duomenų subjekto sutikimo, nebent operatorius įrodo, kad toks sutikimas buvo gautas.
2. Operatorius privalo asmens duomenų subjekto prašymu nedelsiant nutraukti jo asmens duomenų tvarkymą, nurodytą šio straipsnio 1 dalyje.
16 straipsnis. Asmens duomenų subjektų teisės priimant sprendimus, pagrįstus tik automatizuotu savo asmens duomenų tvarkymu
1. Draudžiama išimtinai automatizuoto asmens duomenų tvarkymo pagrindu priimti sprendimus, kurie sukelia teisines pasekmes asmens duomenų subjektui arba kitaip paveikia jo teises ir teisėtus interesus, išskyrus šio straipsnio 2 dalyje numatytus atvejus. šio straipsnio.
2. Sprendimas, sukeliantis teisines pasekmes asmens duomenų subjekto atžvilgiu arba kitaip paveikiantis jo teises ir teisėtus interesus, gali būti priimtas išimtinai automatizuoto jo asmens duomenų tvarkymo pagrindu tik gavus raštišką subjekto sutikimą. asmens duomenis arba federalinių įstatymų numatytais atvejais, kurie taip pat nustato priemones, užtikrinančias asmens duomenų subjekto teisių ir teisėtų interesų laikymąsi.
3. Operatorius privalo išaiškinti asmens duomenų subjektui sprendimo išimtinai automatizuoto jo asmens duomenų tvarkymo pagrindu priėmimo tvarką ir galimas tokio sprendimo teisines pasekmes, suteikti galimybę nesutikti su tokia tvarka. sprendimą, taip pat paaiškinti asmens duomenų subjekto teisių ir teisėtų interesų gynimo tvarką.
4. Operatorius privalo išnagrinėti šio straipsnio 3 dalyje nurodytą prieštaravimą per trisdešimt dienų nuo jo gavimo dienos ir pranešti asmens duomenų subjektui apie tokio prieštaravimo nagrinėjimo rezultatus.
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
17 straipsnis. Teisė apskųsti operatoriaus veiksmus ar neveikimą
1. Jei asmens duomenų subjektas mano, kad operatorius tvarko jo asmens duomenis pažeisdamas šio federalinio įstatymo reikalavimus arba kitaip pažeidžia jo teises ir laisves, asmens duomenų subjektas turi teisę apskųsti Asmens duomenų subjekto veiksmus ar neveikimą. operatoriui įgaliotai institucijai, ginanti asmens duomenų subjektų teises arba į teisminę tvarką.
2. Asmens duomenų subjektas turi teisę ginti savo teises ir teisėtus interesus, įskaitant nuostolių atlyginimą ir (ar) moralinės žalos atlyginimą teisme.
4 skyrius. OPERATORIAUS ĮSIPAREIGOJIMAI
18 straipsnis Operatoriaus pareigos renkant asmens duomenis
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
1. Operatorius, rinkdamas asmens duomenis, privalo asmens duomenų subjektui jo prašymu pateikti informaciją, kuri 14 straipsnio 7 dalisšio federalinio įstatymo.
2. Jei asmens duomenų teikimas yra privalomas pagal federalinius įstatymus, operatorius privalo paaiškinti asmens duomenų subjektui teisines pasekmes, atsirandančias dėl atsisakymo pateikti jo asmens duomenis.
3. Jeigu iš asmens duomenų subjekto asmens duomenys nėra gauti, operatorius, išskyrus šio straipsnio 4 dalyje numatytus atvejus, prieš tvarkydamas tokius asmens duomenis, privalo pateikti asmens duomenų subjektui: informacija:
1) operatoriaus ar jo atstovo vardas arba pavardė, vardas, patronimas ir adresas;
2) asmens duomenų tvarkymo tikslas ir jo teisinis pagrindas;
3) numatomi asmens duomenų naudotojai;
4) šiame federaliniame įstatyme nustatytas asmens duomenų subjekto teises;
5) asmens duomenų gavimo šaltinis.
4. Operatorius atleidžiamas nuo pareigos teikti asmens duomenų subjektui šio straipsnio 3 dalyje numatytą informaciją tais atvejais, kai:
1) atitinkamas operatorius informuoja asmens duomenų subjektą apie jo asmens duomenų tvarkymą;
2) asmens duomenis operatorius gauna remdamasis federaliniais įstatymais arba vykdydamas susitarimą, kurio šalis yra asmens duomenų subjektas, naudos gavėjas ar garantas;
3) asmens duomenis viešai skelbia asmens duomenų subjektas arba jie gaunami iš viešai prieinamo šaltinio;
4) operatorius asmens duomenis tvarko statistiniais ar kitais tyrimo tikslais, žurnalisto profesinei veiklai arba mokslinei, literatūrinei ar kitai kūrybinei veiklai, jeigu nepažeidžiamos asmens duomenų subjekto teisės ir teisėti interesai;
5) šio straipsnio 3 dalyje numatytos informacijos suteikimas asmens duomenų subjektui pažeidžia trečiųjų asmenų teises ir teisėtus interesus.
18.1 straipsnis. Priemonės, kuriomis siekiama užtikrinti, kad operatorius vykdytų šiame federaliniame įstatyme numatytus įsipareigojimus
(įvestas 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
1. Operatorius privalo imtis priemonių, reikalingų ir pakankamų, kad būtų įvykdyti įsipareigojimai, numatyti šiame federaliniame įstatyme ir pagal jį priimtuose norminiuose teisės aktuose. Operatorius savarankiškai nustato priemonių, būtinų ir pakankamų, kad būtų įvykdyti įsipareigojimai, numatyti šiame federaliniame įstatyme ir pagal jį priimtuose norminiuose teisės aktuose, sudėtį ir sąrašą, jei šis federalinis įstatymas ar kiti federaliniai įstatymai nenustato kitaip. Tokios priemonės visų pirma gali apimti:
1) operatoriaus, kuris yra juridinis asmuo, paskyrimas, atsakingas už asmens duomenų tvarkymo organizavimą;
2) operatoriaus, kuris yra juridinis asmuo, paskelbti dokumentai, apibrėžiantys operatoriaus asmens duomenų tvarkymo politiką, vietinius asmens duomenų tvarkymo aktus, taip pat vietinius aktus, nustatančius procedūras, kuriomis siekiama užkirsti kelią ir nustatyti pažeidimus. Rusijos Federacijos teisės aktai, pašalinantys tokių pažeidimų pasekmes;
3) teisinių, organizacinių ir techninių priemonių taikymas asmens duomenų saugumui užtikrinti pagal šio federalinio įstatymo 19 straipsnį;
4) vidaus kontrolės ir (ar) asmens duomenų tvarkymo atitikties šiam federaliniam įstatymui ir pagal jį priimtiems norminiams teisės aktams, asmens duomenų apsaugos reikalavimams, operatoriaus tvarkai dėl tvarkymo politikos įgyvendinimas. asmens duomenų, operatoriaus vietinių aktų;
5) žalos, kuri gali būti padaryta asmens duomenų subjektams pažeidus šį federalinį įstatymą, įvertinimą, šios žalos santykį ir priemones, kurių ėmėsi operatorius, siekdamas užtikrinti, kad būtų įvykdyti 2005 m. šis federalinis įstatymas;
6) operatoriaus darbuotojų, tiesiogiai susijusių su asmens duomenų tvarkymu, supažindinimas su Rusijos Federacijos teisės aktų dėl asmens duomenų nuostatomis, įskaitant asmens duomenų apsaugos reikalavimus, dokumentais, apibrėžiančiais operatoriaus asmens duomenų tvarkymo politiką. , vietiniai asmens duomenų tvarkymo aktai ir (ar) minėtų darbuotojų mokymai.
2. Operatorius privalo skelbti ar kitaip suteikti neribotą prieigą prie jo asmens duomenų tvarkymo politiką apibrėžiančio dokumento, informacijos apie įgyvendintus asmens duomenų apsaugos reikalavimus. Operatorius, renkantis asmens duomenis naudodamasis informaciniais ir telekomunikacijų tinklais, privalo atitinkamame informaciniame ir telekomunikacijų tinkle paskelbti dokumentą, apibrėžiantį jo asmens duomenų tvarkymo politiką ir informaciją apie įgyvendinamus asmens duomenų apsaugos reikalavimus, taip pat suteikti prieigą prie šio dokumento atitinkamo informacinio ir telekomunikacijų tinklo priemonėmis.
3. Rusijos Federacijos Vyriausybė nustato priemonių, skirtų užtikrinti šiame federaliniame įstatyme ir pagal jį priimtuose norminiuose teisės aktuose numatytų įpareigojimų, vykdytojų, kurie yra valstybės ar savivaldybių institucijos, vykdymą, sąrašą.
4. Operatorius įgaliotos apsaugos institucijos prašymu privalo pateikti šio straipsnio 1 dalyje nurodytus dokumentus ir vietinius aktus ir (ar) kitaip patvirtinti, kad buvo imtasi šio straipsnio 1 dalyje nurodytų priemonių. asmens duomenų subjektų teisių.
19 straipsnis. Priemonės, užtikrinančios asmens duomenų saugumą juos tvarkant
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
1. Tvarkydamas asmens duomenis, operatorius privalo imtis reikiamų teisinių, organizacinių ir techninių priemonių arba užtikrinti jų priėmimą, kad asmens duomenys būtų apsaugoti nuo neteisėtos ar atsitiktinės prieigos prie jų, sunaikinimo, pakeitimo, blokavimo, kopijavimo, teikimo, platinimo duomenų, taip pat nuo kitų neteisėtų veiksmų, susijusių su asmens duomenimis.
2. Asmens duomenų saugumo užtikrinimas, visų pirma:
1) grėsmių asmens duomenų saugumui nustatymas juos tvarkant asmens duomenų informacinėse sistemose;
2) organizacinių ir techninių priemonių, užtikrinančių asmens duomenų saugumą juos tvarkant asmens duomenų informacinėse sistemose, būtinų asmens duomenų apsaugos reikalavimams įvykdyti, taikymą, kurių įgyvendinimas užtikrina asmens duomenų apsaugos lygius, nustatytus 2010 m. Rusijos Federacijos vyriausybė;
3) informacijos saugos priemonių, kurios nustatyta tvarka praėjo atitikties vertinimo procedūrą, naudojimas;
4) priemonių, kurių buvo imtasi asmens duomenų saugumui užtikrinti, efektyvumo įvertinimas prieš paleidžiant asmens duomenų informacinę sistemą;
5) atsižvelgiant į automatinius asmens duomenų nešiklius;
6) neteisėtos prieigos prie asmens duomenų faktų nustatymas ir priemonių imtis;
7) asmens duomenų, pakeistų ar sunaikintų dėl neteisėtos prieigos prie jų, atkūrimas;
8) prieigos prie asmens duomenų informacinėje sistemoje tvarkomų asmens duomenų taisyklių nustatymas, taip pat visų veiksmų, atliekamų su asmens duomenimis, registravimo ir apskaitos asmens duomenų informacinėje sistemoje užtikrinimas;
9) priemonių, kurių imamasi asmens duomenų saugumui ir asmens duomenų informacinių sistemų saugumo lygiui užtikrinti, kontrolė.
3. Rusijos Federacijos Vyriausybė, atsižvelgdama į galimą žalą asmens duomenų subjektui, tvarkomų asmens duomenų apimtį ir turinį, veiklos, kurios metu tvarkomi asmens duomenys, rūšį, grėsmių saugumui svarbą. asmens duomenų, nustato:
1) saugumo lygiai asmens duomenis tvarkant asmens duomenų informacinėse sistemose, atsižvelgiant į grėsmes šių duomenų saugumui;
2) asmens duomenų apsaugos reikalavimai juos tvarkant asmens duomenų informacinėse sistemose, kurių įgyvendinimas užtikrina nustatytus asmens duomenų apsaugos lygius;
3) reikalavimai biometrinių asmens duomenų materialiniams nešiotojams ir tokių duomenų saugojimo už asmens duomenų informacinių sistemų ribų technologijos.
4. Organizacinių ir techninių priemonių, reikalingų siekiant įvykdyti asmens duomenų apsaugos reikalavimus, nustatytus Rusijos Federacijos Vyriausybės pagal šio straipsnio 3 dalį, sudėtis ir turinys kiekvienam saugumo lygiui, organizacinėms ir techninėms priemonėms. užtikrinti asmens duomenų saugumą juos tvarkant asmens duomenų informacinėse sistemose nustato federalinė vykdomoji institucija, įgaliota saugumo srityje, ir federalinė vykdomoji institucija, įgaliota kovoti su technine žvalgyba ir technine informacijos apsauga. savo galias.
5. Federalinės vykdomosios institucijos, vykdančios valstybės politikos ir teisinio reguliavimo formavimo funkcijas nustatytoje veiklos srityje, Rusijos Federaciją sudarančių subjektų valstybinės valdžios institucijos, Rusijos bankas, valstybinių nebiudžetinių fondų organai, kt. valstybės institucijos pagal savo įgaliojimus priima norminius teisės aktus, kuriais nustatomos grėsmės asmens duomenų saugumui, kurios aktualios tvarkant asmens duomenis asmens duomenų informacinėse sistemose, veikiančiose vykdant atitinkamą veiklą, atsižvelgiant į asmens duomenų turinį. duomenis, jų apdorojimo pobūdį ir būdus.
6. Be grėsmių asmens duomenų saugumui, apibrėžtų pagal šio straipsnio 5 dalį priimtuose norminiuose teisės aktuose, asociacijos, sąjungos ir kitos veiklos vykdytojų asociacijos savo sprendimais turi teisę nustatyti papildomas grėsmes asmens duomenų saugumui. asmens duomenų, kurie yra svarbūs tvarkant asmens duomenis asmens duomenų informacinėse sistemose, valdomose tokių asociacijų, sąjungų ir kitų operatorių asociacijų nariams vykdant tam tikros rūšies veiklą, saugumą, atsižvelgiant į asmens duomenų turinį, jų apdorojimo pobūdis ir būdai.
7. Šio straipsnio 5 dalyje nurodytų norminių teisės aktų projektams turi pritarti federalinė vykdomoji institucija, įgaliota saugumo srityje, ir federalinė vykdomoji institucija, įgaliota kovos su technine žvalgyba ir technine informacijos apsauga. Šio straipsnio 6 dalyje nurodyti sprendimų projektai turi būti suderinti su federaline vykdomąja institucija, įgaliota saugumo srityje, ir federaline vykdomąja institucija, įgaliota kovos su technine žvalgyba ir technine informacijos apsauga, nustatyta tvarka. Rusijos Federacijos Vyriausybei. Saugumo srityje įgaliotos federalinės vykdomosios institucijos ir kovos su technine žvalgyba ir informacijos technine apsauga srityje įgaliotos federalinės vykdomosios institucijos sprendimas atsisakyti tvirtinti šio straipsnio 6 dalyje nurodytus sprendimų projektus turi būti motyvuotas.
8. Pagal šį straipsnį nustatytų organizacinių ir techninių priemonių asmens duomenų saugumui užtikrinti, tvarkant asmens duomenis valstybinėse asmens duomenų informacinėse sistemose, įgyvendinimo kontrolę ir priežiūrą vykdo federalinė vykdomoji institucija, įgaliota 2012 m. saugumo srityje ir federalinės vykdomosios valdžios institucijos, įgaliotos kovoti su technine žvalgyba ir technine informacijos apsauga, neviršydamos savo įgaliojimų ir neturinčios teisės susipažinti su asmens duomenimis, tvarkomais asmens duomenų informacinėse sistemose.
9. Federalinė vykdomoji institucija, įgaliota saugos srityje, ir federalinė vykdomoji institucija, įgaliota kovoti su technine žvalgyba ir technine informacijos apsauga, Rusijos Federacijos Vyriausybės sprendimu, atsižvelgiant į tvarkomi asmens duomenys, gali būti įgalioti kontroliuoti, kaip įgyvendinamos organizacinės ir techninės priemonės asmens duomenų saugumui užtikrinti, nustatytos pagal šį straipsnį, kai jie tvarkomi asmens duomenų informacinėse sistemose, valdomose vykdant tam tikros rūšies veiklą. ir kurios nėra valstybinės asmens duomenų informacinės sistemos, neturinčios teisės susipažinti su asmens duomenų informacinėse sistemose tvarkomais asmens duomenimis.
10. Biometrinių asmens duomenų naudojimas ir saugojimas už asmens duomenų informacinių sistemų ribų gali būti vykdomas tik tokiose laikmenose ir naudojant tokią saugojimo technologiją, kuri užtikrina šių duomenų apsaugą nuo neteisėtos ar atsitiktinės prieigos prie jų, jų sunaikinimo, pakeitimo, blokavimo. , kopijavimas, teikimas, platinimas.
11. Grėsmės asmens duomenų saugumui šiame straipsnyje suprantamos kaip sąlygų ir veiksnių visuma, sukelianti neteisėtos, įskaitant atsitiktinės, prieigos prie asmens duomenų pavojų, dėl kurio gali būti sunaikinta, pakeista, užblokuota. , asmens duomenų kopijavimas, teikimas, platinimas, taip pat kiti neteisėti veiksmai juos tvarkant asmens duomenų informacinėje sistemoje. Asmens duomenų apsaugos lygis suprantamas kaip kompleksinis reikalavimus apibūdinantis rodiklis, kurio įvykdymas užtikrina tam tikrų grėsmių asmens duomenų saugumui neutralizavimą juos tvarkant asmens duomenų informacinėse sistemose.
20 straipsnis
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
1. Operatorius privalo šio federalinio įstatymo 14 straipsnyje nustatyta tvarka informuoti asmens duomenų subjektą arba jo atstovą apie galimus asmens duomenis, susijusius su atitinkamu asmens duomenų subjektu, taip pat suteikti galimybę susipažinti. pats pateikti šiuos asmens duomenis kreipdamasis į asmens duomenų subjektą ar jo atstovą.atstovas arba per trisdešimt dienų nuo asmens duomenų subjekto ar jo atstovo prašymo gavimo dienos.
2. Atsisakius pateikti informaciją apie asmens duomenų apie atitinkamą asmens duomenų subjektą ar asmens duomenų prieinamumą asmens duomenų subjektui ar jo atstovui jų prašymu arba gavus asmens duomenų subjekto prašymą arba jo atstovas, operatorius įpareigotas ne ilgiau kaip per trisdešimt dienų pateikti pagrįstą atsakymą raštu su nuoroda į šio federalinio įstatymo 14 straipsnio 8 dalies ar kito federalinio įstatymo nuostatą, kuri yra tokio atsisakymo pagrindas. dienų nuo asmens duomenų subjekto ar jo atstovo prašymo pateikimo dienos arba nuo asmens duomenų subjekto ar jo atstovo prašymo gavimo dienos.
3. Operatorius privalo nemokamai suteikti asmens duomenų subjektui ar jo atstovui galimybę susipažinti su asmens duomenimis, susijusiais su šiuo asmens duomenų subjektu. Per ne ilgiau kaip septynias darbo dienas nuo tos dienos, kai asmens duomenų subjektas ar jo atstovas pateikia informaciją, patvirtinančią, kad asmens duomenys yra neišsamūs, netikslūs ar pasenę, operatorius privalo juos pakeisti. Per ne ilgesnį kaip septynių darbo dienų laikotarpį nuo tos dienos, kai asmens duomenų subjektas ar jo atstovas pateikė informaciją, patvirtinančią, kad tokie asmens duomenys yra gauti neteisėtai arba nėra būtini nurodytam tvarkymo tikslui, operatorius privalo tokius asmens duomenis sunaikinti. Asmeniniai duomenys. Operatorius privalo informuoti asmens duomenų subjektą arba jo atstovą apie padarytus pakeitimus ir priemones, kurių buvo imtasi, ir imtis pagrįstų priemonių, kad informuotų trečiąsias šalis, kurioms buvo perduoti šio subjekto asmens duomenys.
4. Operatorius per trisdešimt dienų nuo tokio prašymo gavimo dienos privalo informuoti įgaliotą asmens duomenų subjektų teisių apsaugos instituciją, šios institucijos prašymu, būtiną informaciją.
21 straipsnis
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
1. Jeigu neteisėtas asmens duomenų tvarkymas nustatomas asmens duomenų subjektui ar jo atstovui susisiekus arba su asmens duomenų subjektu ar jo atstovu arba įgaliota asmens duomenų subjektų teisių apsaugos institucija, prašymu, 2015 m. operatorius privalo užblokuoti neteisėtai tvarkomus asmens duomenis, susijusius su šiuo asmens duomenų subjektu, arba užtikrinti jų blokavimą (jei asmens duomenis tvarko kitas operatoriaus vardu veikiantis asmuo) nuo tokio prašymo pateikimo momento arba nurodyto prašymo gavimas patikrinimo laikotarpiui. Tuo atveju, kai asmens duomenų subjektui ar jo atstovui susisiekus arba jų prašymu arba įgaliotos asmens duomenų subjektų teisių apsaugos institucijos prašymu nustatomi netikslūs asmens duomenys, operatorius privalo blokuoti su šiuo asmens duomenų subjektu susijusius asmens duomenis arba užtikrinti jų blokavimą (jei asmens duomenis tvarko kitas operatoriaus vardu veikiantis asmuo) nuo tokio kreipimosi arba nurodyto prašymo gavimo momento patikrinimo laikotarpiui. , jeigu asmens duomenų blokavimas nepažeidžia asmens duomenų subjekto ar trečiųjų asmenų teisių ir teisėtų interesų.
2. Jeigu pasitvirtina asmens duomenų netikslumo faktas, operatorius, remdamasis asmens duomenų subjekto ar jo atstovo arba įgaliotos asmens duomenų subjektų teisėms ginti institucijos pateikta informacija, ar kita būtina dokumentus, privalo per septynias darbo dienas nuo tokios informacijos pateikimo dienos patikslinti asmens duomenis arba užtikrinti jų išaiškinimą (jei asmens duomenis tvarko kitas asmuo, veikiantis operatoriaus vardu) ir panaikinti blokavimą. asmens duomenų.
3. Nustačius, kad operatoriaus ar operatoriaus vardu veikiantis asmuo neteisėtai tvarko asmens duomenis, operatorius ne vėliau kaip per tris darbo dienas nuo šio sužinojimo dienos privalo nutraukti neteisėtą asmens duomenų tvarkymą. duomenis arba užtikrinti, kad neteisėtą asmens duomenų tvarkymą sustabdytų operatoriaus vardu veikiantis asmuo.operatoriaus vardu. Jeigu neįmanoma užtikrinti asmens duomenų tvarkymo teisėtumo, operatorius ne vėliau kaip per dešimt darbo dienų nuo neteisėto asmens duomenų tvarkymo nustatymo dienos privalo sunaikinti tokius asmens duomenis arba užtikrinti jų sunaikinimą. Operatorius privalo pranešti asmens duomenų subjektui ar jo atstovui apie pažeidimų pašalinimą arba asmens duomenų sunaikinimą, o jei asmens duomenų subjektas ar jo atstovas kreipiasi arba įgaliotos institucijos prašymas apsaugoti asmens duomenų subjektų teises atsiuntė įgaliota asmens duomenų subjektų teisių apsaugos institucija, taip pat nurodyta institucija.
4. Pasiekus asmens duomenų tvarkymo tikslą, operatorius privalo sustabdyti asmens duomenų tvarkymą arba užtikrinti jo nutraukimą (jei asmens duomenų tvarkymą atlieka kitas asmuo, veikiantis operatoriaus vardu) ir sunaikinti asmens duomenis arba užtikrinti jų sunaikinimą (jei asmens duomenis tvarko kitas asmuo, veikiantis operatoriaus vardu) per ne ilgesnį kaip trisdešimties dienų laikotarpį nuo asmens duomenų tvarkymo tikslo pasiekimo dienos, jeigu kitaip nenumatyta sutartyje su kurio asmens duomenų subjektas yra šalis, naudos gavėjas ar garantas, kita operatoriaus ir asmens duomenų subjekto sutartis, arba jei operatorius neturi teisės tvarkyti asmens duomenų be asmens duomenų subjekto sutikimo nurodytais pagrindais. pagal šį federalinį įstatymą ar kitus federalinius įstatymus.
5. Jeigu asmens duomenų subjektas atšaukia sutikimą tvarkyti jo asmens duomenis, operatorius privalo nutraukti jų tvarkymą arba užtikrinti tokio tvarkymo nutraukimą (jei asmens duomenis tvarko kitas asmuo, veikiantis asmens duomenų tvarkymo subjekto vardu). operatoriui) ir jeigu asmens duomenų saugoti asmens duomenų tvarkymo tikslais nebereikia, sunaikinti asmens duomenis arba užtikrinti jų sunaikinimą (jei asmens duomenis tvarko kitas operatoriaus vardu veikiantis asmuo) laikotarpis, ne ilgesnis kaip trisdešimt dienų nuo minėto atsisakymo gavimo dienos, jei kitaip nenumatyta sutartyje, kurios šalis, naudos gavėjas ar garantas, pagal kurį yra asmens duomenų subjektas, kitoje operatoriaus ir subjekto sutartyje. asmens duomenis arba jei operatorius neturi teisės tvarkyti asmens duomenų be asmens duomenų subjekto sutikimo šio federalinio įstatymo numatytais pagrindais. įstatymus ar kitus federalinius įstatymus.
6. Jeigu per šio straipsnio 3-5 dalyse nurodytą laikotarpį asmens duomenų sunaikinti neįmanoma, operatorius tokius asmens duomenis blokuoja arba užtikrina jų blokavimą (jei asmens duomenis tvarko kitas asmuo, veikiantis vardu operatoriaus) ir užtikrina asmens duomenų sunaikinimą ne ilgiau kaip per šešis mėnesius, nebent federaliniai įstatymai nustato kitą laikotarpį.
22 straipsnis. Pranešimas apie asmens duomenų tvarkymą
1. Operatorius, prieš pradėdamas tvarkyti asmens duomenis, privalo pranešti įgaliotai asmens duomenų subjektų teisių apsaugos institucijai apie savo ketinimą tvarkyti asmens duomenis, išskyrus šio reglamento 2 dalyje numatytus atvejus. straipsniai. 3) susiję su visuomeninės asociacijos ar religinės organizacijos nariais (dalyviais) ir tvarkomi atitinkamos visuomeninės asociacijos ar religinės organizacijos, veikiančios pagal 2014 m.
7) įtrauktos į asmens duomenų informacines sistemas, kurios pagal federalinius įstatymus turi valstybės automatizuotų informacinių sistemų statusą, taip pat į valstybines asmens duomenų informacines sistemas, sukurtas siekiant apsaugoti valstybės saugumą ir viešąją tvarką;
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
8) tvarkomi nenaudojant automatizavimo priemonių pagal federalinius įstatymus ar kitus Rusijos Federacijos norminius teisės aktus, kurie nustato asmens duomenų saugumo užtikrinimo juos tvarkant ir asmens duomenų subjektų teisių laikymosi reikalavimus;
9) tvarkomi Rusijos Federacijos transporto saugumo teisės aktų numatytais atvejais, siekiant užtikrinti tvarų ir saugų transporto komplekso funkcionavimą, apsaugoti asmens, visuomenės ir valstybės interesus transporto komplekso srityje. nuo neteisėto kišimosi veiksmų.
Straipsniai, taip pat informacija apie minėto pranešimo išsiuntimo ūkio subjektų registrui datą. Veiklos vykdytojų registre esanti informacija, išskyrus informaciją apie asmens duomenų saugumo užtikrinimo priemones juos tvarkant, yra viešai prieinama.
5. Operatorius negali būti apmokestinamas išlaidų, susijusių su asmens duomenų subjektų teisių apsaugos įgaliotos institucijos pranešimo apie asmens duomenų tvarkymą svarstymu, taip pat su informacijos įvedimu į operatorių registrą.
6. Pateikus neišsamią ar nepatikimą informaciją, nurodytą šio straipsnio 3 dalyje, įgaliota asmens duomenų subjektų teisių apsaugos institucija turi teisę reikalauti, kad operatorius patikslintų pateiktą informaciją prieš ją įtraukiant į operatorių registrą.
2. Asmuo, atsakingas už asmens duomenų tvarkymo organizavimą, gauna nurodymus tiesiogiai iš organizacijos, kuri yra operatorė, vykdomosios institucijos ir yra jam atskaitinga.
3. Operatorius privalo suteikti asmeniui, atsakingam už asmens duomenų tvarkymo organizavimą, šio federalinio įstatymo 22 straipsnio 3 dalyje nurodytą informaciją.
4. Asmuo, atsakingas už asmens duomenų tvarkymo organizavimą, visų pirma, privalo:
1) vykdyti vidinę kontrolę, kaip operatorius ir jo darbuotojai laikosi Rusijos Federacijos teisės aktų dėl asmens duomenų, įskaitant asmens duomenų apsaugos reikalavimus;
2) atkreipti operatoriaus darbuotojų dėmesį į Rusijos Federacijos teisės aktų nuostatas dėl asmens duomenų, vietinius asmens duomenų tvarkymo aktus, asmens duomenų apsaugos reikalavimus;
3) reikalauti, kad operatorius patikslintų, užblokuotų arba sunaikinti melagingus ar neteisėtai gautus asmens duomenis;
4) Rusijos Federacijos teisės aktų nustatyta tvarka imtis priemonių sustabdyti arba nutraukti asmens duomenų tvarkymą, vykdomą pažeidžiant šio federalinio įstatymo reikalavimus;
5) kreiptis į teismą su ieškinio pareiškimais gindamas asmens duomenų subjektų teises, įskaitant neapibrėžto rato asmenų teises, ir atstovauti asmens duomenų subjektų interesams teisme;
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
5.1) siųsti federalinei vykdomajai institucijai, įgaliotai saugumo srityje, ir federalinei vykdomajai institucijai, įgaliotai kovos su technine žvalgyba ir technine informacijos apsauga srityje, atsižvelgiant į jų veiklos sritį, informaciją, nurodytą 22 straipsnio 3 dalies 7 punktasšio federalinio įstatymo nuostatas;
(5.1 punktas buvo įvestas 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
6) išsiunčia prašymą operatorės veiklą licencijuojančiai įstaigai svarstyti klausimą dėl priemonių atitinkamos licencijos galiojimui sustabdyti ar panaikinti, vadovaudamasis nustatytais teisės aktų Rusijos Federacijos, jei licencijos tokiai veiklai sąlyga yra draudimas perduoti asmens duomenis tretiesiems asmenims be raštiško asmens duomenų subjekto sutikimo;
7) pagal jurisdikciją siunčia medžiagą prokuratūrai, kitoms teisėsaugos institucijoms baudžiamųjų bylų dėl nusikaltimų, susijusių su asmens duomenų subjektų teisių pažeidimu, iškėlimo klausimui spręsti;
2) nagrinėja piliečių ar juridinių asmenų skundus ir kreipimusis su asmens duomenų tvarkymu susijusiais klausimais, taip pat pagal savo kompetenciją priima sprendimus pagal šių skundų ir skundų nagrinėjimo rezultatus;
3) tvarko ūkio subjektų registrą;
4) imtis priemonių, skirtų asmens duomenų subjektų teisių apsaugai gerinti;
5) Rusijos Federacijos teisės aktų nustatyta tvarka priimti federalinės vykdomosios institucijos, įgaliotos saugumo srityje, arba federalinės vykdomosios institucijos, įgaliotos kovos su technine žvalgyba ir techninės apsaugos srityje, siūlymu. informacija, priemonės sustabdyti arba nutraukti asmens duomenų tvarkymą;
6) informuoti valstybės institucijas, taip pat asmens duomenų subjektus apie jų prašymus ar prašymus apie padėtį asmens duomenų subjektų teisių apsaugos srityje;
7) atlikti kitas pareigas, numatytas Rusijos Federacijos teisės aktuose.
5.1. Įgaliota asmens duomenų subjektų teisių apsaugos institucija bendradarbiauja su įstaigomis, įgaliotomis ginti asmens duomenų subjektų teises užsienio valstybėse, ypač tarptautiniu mastu keičiantis informacija apie asmens duomenų subjektų teisių apsaugą. , tvirtina užsienio valstybių, užtikrinančių tinkamą asmens duomenų subjektų teisių apsaugą, sąrašą.
(5.1 dalis buvo įtraukta 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
6. Asmens duomenų subjektų teisių apsaugos įgaliotos institucijos sprendimai gali būti skundžiami teismui.
24 straipsnis. Atsakomybė už šio federalinio įstatymo reikalavimų pažeidimą
1. Asmenys, kalti dėl šio federalinio įstatymo reikalavimų pažeidimo, privalo sumokėti teisės aktų Rusijos Federacijos atsakomybė.
(su pakeitimais, padarytais 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
2. Moralinė žala, padaryta asmens duomenų subjektui dėl jo teisių pažeidimo, šiame federaliniame įstatyme nustatytų asmens duomenų tvarkymo taisyklių, taip pat pagal šį reglamentą nustatytų asmens duomenų apsaugos reikalavimų pažeidimo. Federalinio įstatymo nustatyta tvarka turi būti kompensuojama teisės aktų Rusijos Federacija. Moralinės žalos atlyginimas atliekamas neatsižvelgiant į asmens duomenų subjekto turtinės žalos ir nuostolių atlyginimą.
5, 7.1, 10 ir 22 straipsnio 3 dalies 11 pšio federalinio įstatymo nuostatas, ne vėliau kaip iki 2013 m. sausio 1 d.
(2.1 dalis buvo įtraukta 2011 m. liepos 25 d. Federaliniu įstatymu Nr. 261-FZ)
3. Baigėsi galiojimo laikas. – 2011 m. liepos 25 d. federalinis įstatymas N 261-FZ.
4. Operatoriai, kurie tvarko asmens duomenis iki šio federalinio įstatymo įsigaliojimo datos ir toliau vykdo tokį tvarkymą po jo įsigaliojimo datos, privalo siųsti įgaliotai subjektų teisių apsaugos institucijai asmens duomenų, išskyrus šio federalinio įstatymo 22 straipsnio 2 dalyje numatytus atvejus, šio federalinio įstatymo 22 straipsnio 3 dalyje numatytą pranešimą ne vėliau kaip iki 2008 m. sausio 1 d.
Prezidentas
Rusijos Federacija
V. Putinas
Susiję daiktai
Teisės klausimai, susiję su asmens duomenų apsauga, rūpi teisininkams, kurie veikia įvairiose teisės srityse. Taip yra dėl to, kad bet kurioje teisės srityje yra tam tikras sąrašas informacijos, kuri reikalauja jos konfidencialumo ir to, kad tie, kuriems ji buvo patikėta vykdant tarnybines pareigas, neplatintų trečiosioms šalims.
Taigi, toliau svarstysime, kokia informacija priklauso šiai grupei, taip pat apie asmens duomenų apsaugos sistemos ypatybes. Kaip tai veikia įmonėse ir organizacijose? Be to, svarstysime, kas turėtų būti įtraukta į Darbuotojų asmens duomenų apsaugos reglamento struktūrą (pavyzdys) ir kaip jis priimamas.
Bendra koncepcija
Jei kalbame apie bendrą sąvoką, tai konfidenciali informacija yra visa informacija, kuri yra tiesiogiai susijusi su konkrečiu asmeniu. Paprastai tai yra jo asmens duomenys. Jei kalbėtume teisiniu terminu, tai šis asmuo teisės srities specialistų praktikoje vadinamas asmens duomenų subjektu.
Kokius duomenis įstatymų leidėjas priskiria prie svarstytinų? Visų pirma, tai yra asmens pavardė, vardas ir patronimas, taip pat jo gimimo data ir vieta. Be to, ši grupė apima informaciją apie faktinę jo gyvenamąją vietą, taip pat registraciją. Konfidencialios informacijos grupei taip pat priklauso informacija apie asmens šeiminę padėtį, socialinę padėtį, pajamas ir išsilavinimą.
Teisinis darbo su asmens duomenimis reglamentavimas Rusijoje. Pagrindinės taisyklės
Kalbant apie Rusijos įstatymus, jie užtikrina tinkamą asmens duomenų apsaugą žmonių, kurie yra ne tik šalies piliečiai, bet ir dėl bet kokios priežasties būna jos teritorijoje. Šiuos klausimus reglamentuojančius teisės aktus atspindi keli reglamentai. Visų pirma, tų grupei galima priskirti pagrindinį įstatymą – Konstituciją, taip pat federalinį įstatymą 152 „Dėl asmens duomenų apsaugos“. Šie reglamentai keičiami ne itin dažnai, o tai leidžia specialistams nuodugniau išstudijuoti kiekvieną naują pakeitimą ir tinkamai jį pritaikyti praktikoje.
Be Rusijos teisės aktų, su asmens duomenų apsauga susijusius klausimus reglamentuoja ir tarptautiniai teisės aktai. Be to, ši veikla taip pat vykdoma pagal valstybės vietos valdžios institucijų priimtus reglamentus. Įstatymų leidėjas pažymi, kad tokiame reglamente gali būti reglamentuojamas tam tikros rūšies duomenų tvarkymas, tačiau taisyklės dėl tam tikrų subjektų, kurie yra asmens duomenų vežėjai, teisių apribojimo negali būti pateikti.
Visi įstatymai ir poįstatyminiai teisės aktai, nustatantys asmens duomenų tvarkymo, taip pat jų apsaugos užtikrinimo reikalavimus, įstatymų nustatyta tvarka, turi būti oficialiai paskelbti visuomenei prieinamuose šaltiniuose. Ši taisyklė turi vieną išimtį, susijusią su dokumentais, reglamentuojančiais darbą su įslaptinta informacija – ši informacija turi būti gana griežtai apsaugota nuo prieigos.
Asmens duomenų tvarkymo principai
Federalinio įstatymo 152 „Dėl asmens duomenų apsaugos“ tekste teigiama, kad darbas su informacija, kurią sudaro asmeninė informacija, turėtų būti atliekamas tik laikantis tam tikrų principų. Kas jie tokie? Panagrinėkime tai išsamiau.
Visų pirma, visi įstaigų ir tarnybų, kurios užsiima asmens informacijos tvarkymu, darbuotojų veiksmai turi būti atliekami atsižvelgiant į pagrindinį principą – teisėtumą. Tai reiškia, kad visa duomenų bazėje esanti informacija turi būti gauta teisėtai, sąžiningai ir tinkamai apdorota tik tais tikslais, kuriems ji buvo pateikta. Be to, pareigūnas, tvarkantis jam patikėtą informaciją, privalo naudoti tuos duomenis, kuriuos leidžia jo įgaliojimų apimtis.
Visi informacijos apdorojimo būdai, taip pat jų pobūdis, apimtis turi visiškai atitikti tikslus, dėl kurių informacija buvo priimta dirbti. Veiklos procese informacija negali būti sujungta siekiant ją apdoroti keliais tikslais vienu metu. Vienintelė išimtis – informacinėje sistemoje atliekami darbai.
Visi asmens duomenys, kurie pateikiami tvarkymui, turi būti patikimi – tai taip pat yra vienas pagrindinių principų dirbant su atitinkamo pobūdžio informacija. Jų apimtis turi būti pakankama, kad operacija būtų atlikta tinkama forma, įstatymų leidėjas neleidžia reikalauti iš asmens perteklinės informacijos, kuri nereikalinga visiems reikiamiems veiksmams atlikti.
Sąlygos, kuriomis informacija gali būti tvarkoma
Asmens duomenų apsaugos reglamentas numato, kad visi darbai su pateikta tvarkyti informacija turi būti atliekami remiantis teisėtais pagrindais. Ką tai reiškia?
Visų pirma, reikia atsiminti, kad visi darbai su asmens duomenimis turėtų būti atliekami tik gavus asmens, kuriam jie priklauso, sutikimą. Kalbant apie patį asmenį, kuris atlieka darbo procedūrą, tai būtinai turi būti įgaliotas įstatymų arba atskiro juridinio asmens, kuriame atliekamas tvarkymas. Tuo atveju, kai informaciją gavęs asmuo, darbo su informacija procese, privalo ją perduoti kitam įstaigos ar organizacijos darbuotojui, tai tokiu atveju tas pats asmuo taip pat privalo užtikrinti savo saugumą.
Kai kuriais atvejais įstatymų leidėjas numato galimybę naudoti asmens duomenis be subjekto, kuris yra jų tiesioginis vežėjas, sutikimo. Tai ypač pasakytina apie momentą, kai duomenys naudojami rengiant statistines ataskaitas, taip pat moksliniais tikslais. Tai taikoma ir tuo atveju, kai būtina užtikrinti sutartinių įsipareigojimų vykdymą, vieno asmens ar visos visuomenės gyvybės ir sveikatos apsaugą. Be to, asmens informacijos subjekto leidimo nereikia tuo atveju, kai informacija naudojama žurnalistų darbe, kūrybinėje ar mokslinėje veikloje. Tačiau Asmens duomenų apsaugos reglamente nurodyta, kad informacija gali būti naudojama išimtinai profesinei veiklai ir tik tuo atveju, jei jos atskleidimas nepažeidžia šios informacijos subjekto.
Specialios asmeninės informacijos kategorijos
Įstatymų leidėjas numato tam tikrą asmens informacijos sąrašą, kuris atspindi kelias ypatingo tipo kategorijas. Tai informacija apie asmens rasę, filosofinius ir asmeninius įsitikinimus, intymų gyvenimą ir sveikatos būklę. Šios informacijos grupės yra specialiai saugomos įstatymų ir jų atskleisti neleidžiama jokiomis aplinkybėmis, išskyrus tam tikrus atvejus. Kas jie tokie?
Visų pirma, atkreiptinas dėmesys į tai, kad asmens sutikimas dėl specialioms kategorijoms priklausančių asmens duomenų atskleidimo nereikalingas, jeigu jie jau yra viešai prieinami. Dažniausiai tai galioja įžymioms asmenybėms, apie kurių gyvenimą atviruose šaltiniuose, taip pat ir asmeniniuose, yra nemažai informacijos.
Tuo atveju, kai ypatingo pobūdžio asmeninės informacijos subjektas duoda raštišką leidimą atskleisti informaciją, ji taip pat gali būti atskleista.
Kalbant apie informaciją apie žmonių sveikatos būklę, šios grupės asmeninės informacijos apsauga vykdoma ypatingu būdu. Šiuolaikinėje teisinėje praktikoje yra toks dalykas kaip „medicinos konfidencialumas“. Jo dėka užtikrinamas su asmeniu susijusios medicininės informacijos saugumas. Asmenys, kurie pagal savo tarnybines pareigas žino apie paciento sveikatos būklę, neturi teisės atskleisti gautos informacijos tretiesiems asmenims be raštiško gydymo įstaigos kliento sutikimo. Priešingu atveju asmeniui, nesilaikančiam šios taisyklės, gresia atsakomybė. Norint gauti gydytojo ar kito profesionalaus gydymo ar prevencijos įstaigos darbuotojo asmeninę informaciją, tiriamojo sutikimas nebūtinas, nes specialistui negavus informacijos apie asmens sveikatos būklę jam gali grėsti mirtis arba reikšmingas sveikatos pablogėjimas. bendra organizmo būklė.
Šiuolaikinėje praktikoje taip pat leidžiama tvarkyti asmeninę informaciją, pateiktą specialios informacijos grupėje, atliekamą atliekant tyrimo veiksmus ar teisminį procesą iš esmės.
Biometriniai asmens duomenys
Šiuolaikinėje aukštųjų technologijų eroje vis labiau populiarėja naujos rūšies asmeninė informacija – biometriniai duomenys. Jie atstovauja ypatingai informacijos grupei. Tokio tipo asmens duomenų tvarkymas ir apsauga taip pat vykdomi remiantis Rusijos Federacijos įstatymu „Dėl asmens informacijos“.
Minėtame akte nurodyta, kad biometrinių duomenų, apimančių visą informaciją, apibūdinančią konkretaus asmens biologines savybes, tvarkymas gali būti vykdomas tik rašytinio sutikimo pagrindu, kurį turi pateikti tiesiogiai asmens duomenų subjektas.
Tačiau nepaisant tokio įstatymo griežtumo dėl žmogaus biometrinių duomenų konfidencialumo apsaugos, yra išimtis. Tai reiškia, kad nereikia pateikti asmens raštiško sutikimo dėl biometrinės informacijos tvarkymo operatyvinės paieškos veiklos, kurią gali vykdyti įvairių kategorijų teisėsaugos institucijos, taip pat pasienio ir migracijos tarnybų darbuotojai. .
Duomenų saugumo priemonės
Priėmus tvarkyti subjektų asmens duomenis, operatorius ir asmenys, kurie priima informaciją svarstyti, privalo užtikrinti jų saugumą, kuris visų pirma yra tai, kad nėra galimybės jiems patekti į pašalinius asmenis. Kokie yra asmens duomenų apsaugos reikalavimai?
Procedūros, susijusios su asmenų asmens duomenų saugumo užtikrinimu, turi būti atliekamos nuo informacijos gavimo tvarkyti momento. Tam šią veiklą vykdantis operatorius turi imtis techninių ir organizacinių priemonių, kurios užtikrins norimą tikslą. Paprastai tam naudojamos šifravimo tipo priemonės (kriptografinės), kurios užkerta kelią neteisėtai ir atsitiktinai prieiti prie įvestos informacijos, jos kopijavimo, blokavimo, modifikavimo ir kitų operacijų, kurias galima atlikti su atvira forma įvestais duomenimis.
Kai duomenys tvarkomi informacinėse sistemose, taip pat turi būti užtikrintas tinkamas saugumas. Tam tikri reikalavimai keliami medžiagoms, kuriose saugomi biometriniai duomenys, taip pat technologijoms, užtikrinančioms elementų saugumą.
Tiems asmenims ir tarnyboms, kurių veikla susijusi su žmonių asmens duomenų rinkimu, tvarkymu ir saugojimu, įstatymų leidėjas nustato tam tikrą kontrolę, užtikrinančią tinkamą visų Asmens duomenų apsaugos įstatymo Nr. “. Visų pirma, vykdomosios valdžios atstovai, skirti užtikrinti saugumą įvairiose veiklos srityse, veikia kaip kontroliuojantys asmenys ir įstaigos. Jie turi teisę vykdyti kontrolę tik įstatymo jiems suteiktų įgaliojimų ribose, be galimybės tiesiogiai susipažinti su konfidencialia informacija.
Bet kokia įgaliotų asmenų ar įstaigų kontrolės ir priežiūros veikla gali būti vykdoma individualiu asmens, kurio asmens duomenys nebuvo apsaugoti, prašymu, dėl kurio jie buvo nutekinti. Kontroliuojantis subjektas įpareigotas išnagrinėti pateiktą apeliaciją, o po to atlikti auditą, dėl kurio turi būti imamasi priemonių toliau užtikrinti saugų jam patikėtos asmens informacijos išsaugojimą, taip pat pašalinti neigiamas pasekmes, kurios gali atsirasti atskleidimas. Tuo atveju, kai operatorius neteisėtai gavo informaciją arba pareikalavo tų duomenų, kurie yra pertekliniai, priežiūros institucija privalo reikalauti juos visiškai pašalinti, taip pat užblokuoti.
Apie asmens duomenų privatumą
Galiojantis Asmens duomenų apsaugos įstatymas (FZ 152) numato būtinybę užtikrinti visos informacijos, kurią subjektai pateikia tvarkymui, konfidencialumą. Ši pareiga, kaip taisyklė, priskiriama pačiam operatoriui, kuris priima duomenis tvarkyti, o įmonėse – tam tikriems asmenims, numatytiems specialiame reglamente. Tačiau dviem atvejais įstatymų leidėjas vis tiek leidžia panaikinti informacijos konfidencialumą. Pirmasis iš jų yra atvejis, kai duomenys yra visiškai anonimiški. Kitaip tariant, jie gali būti atskleisti, tačiau tik tokiu būdu, kad pagal tretiesiems asmenims pateiktą informaciją būtų neįmanoma nustatyti, kieno konkrečiais asmens duomenimis yra kalbama.
Antrasis informacijos konfidencialumo pašalinimo atvejis susijęs su jau atvira informacija. Paprastai tokie asmens duomenys apima asmens vardą ir pavardę, gimimo metus, miestą ir tikslią gyvenamąją vietą, telefono numerį, taip pat duomenis apie išsilavinimą, profesiją, karjeros pasiekimus ir kt. Tačiau tai įmanoma tik tuo atveju, jei pats asmeninės informacijos subjektas davė raštišką leidimą pašalinti informacijos konfidencialumą.
Dalyko leidimas
Kaip jau ne kartą buvo minėta, subjekto asmens duomenų tvarkymui reikalingas jo raštiškas leidimas dirbti su operatoriui pateikta informacija. Jis gali būti sudarytas raštu ir patvirtintas asmeniniu parašu. Jei pageidauja, subjektas turi teisę bet kada atšaukti savo leidimą.
Minėtame leidime būtinai turi būti tam tikras informacijos apie temą sąrašas. Tarp jų – vardas, pavardė ir tėvavardis, jo gyvenamoji vieta, taip pat valstybės išduoto dokumento, patvirtinančio asmens tapatybę, duomenys. Be to, jame būtinai turi būti nurodytas tikslas, kuriuo informacija teikiama tvarkyti, taip pat konkretus informacijos, kurią operatorius priėmė, sąrašas. Taip pat subjektas turi nurodyti informacijos apdorojimo būdą, su kuriuo sutinka.
Pačioje dokumento pabaigoje turi būti nurodytas laikotarpis, per kurį galioja tiriamojo sutikimas, bei tvarka, kuria rašytinis dokumentas gali būti atšauktas.
Asmeninės informacijos subjektas, pažymėjęs visus aukščiau pateiktus duomenis, privalo nurodyti dokumento surašymo datą, taip pat savo parašą.
Tuo atveju, kai asmuo dėl jo mirties negali duoti sutikimo, kad būtų tvarkomi duomenys, tai už jį turi padaryti jo įpėdiniai. Jei asmuo yra nekompetentingas arba dėl fiziologinių priežasčių neturi galimybės parašyti sutikimo savo ranka, tai gali padaryti jo įstatyminiai atstovai.
Operatoriaus pareigos
Federaliniame įstatyme 152 „Dėl asmens duomenų apsaugos“ visoms suinteresuotoms šalims pateikiamas tam tikras įsipareigojimų, kurių turi laikytis operatorius, dirbantis su subjektų asmens duomenimis, sąrašas.
Pirmuoju prašymu (žodžiu ar raštu) operatorius privalo subjektui, kuris yra asmeninės informacijos nešėjas, pateikti visą informaciją apie tai, kokiais tikslais visi jam pateikti duomenys bus naudojami, kaip tiksliai jie bus naudojami. apdoroti, taip pat kiek laiko bus atliekama procedūra. Be abejo, ši informacija turi būti pateikta ir informacijos gavimo bei jos taisymo metu.
Tuo atveju, kai asmeninė informacija turi būti teikiama privalomai, operatorius privalo apie tai pranešti subjektui, taip pat paaiškinti galimas teisines jo atsisakymo tai padaryti pasekmes.
Kai kuriais atvejais operatorius asmenų asmens duomenis gali gauti ne iš savęs, o per tarpininkus. Tokiu atveju jis privalo informuoti asmeninę informaciją apie tai, kas pateikė jo informaciją, taip pat kokiu tikslu buvo atliktas šis veiksmas.
Už asmens duomenų tvarkymą ir apsaugą visiškai atsako operatorius, kuris gauna informaciją iš asmens. Būtent jis yra atsakingas už netinkamą šios tiesioginės pareigos vykdymą.
Asmens duomenų apsauga organizacijose ir įmonėse
Kiekvienam asmeniui, vykdančiam darbo veiklą bet kurioje įmonėje ar organizacijoje, pagal įstatymų reikalavimus yra sukurta asmens byla, kurioje atsispindi didžiulis kiekis informacijos, kuri yra asmeninė informacija. Jų saugumas taip pat turi būti tinkamai užtikrintas. Visi šio proceso reikalavimai atsispindi Darbuotojų asmens duomenų apsaugos nuostatų turinyje, kurie turi būti rengiami kiekvienoje įmonėje individualiai. Pažymėtina, kad šio norminio akto yra viena rekomendacinė forma, kuri turi lokalinį pobūdį, tačiau joje didžiąja dalimi pateikiami pagrindiniai principai ir turinio reikalavimai. Jei pageidaujama, bet kuri įmonė gali priimti savo individualius darbuotojų asmens duomenų apsaugos nuostatus. Šio dokumento pavyzdyje nenumatyta konkrečios įmonės veiklos specifika, kuri gali būti koreguojama, jei bus parengtas ir priimtas atskiras dokumentas.
Siekiant užtikrinti informacijos saugumą ir apsaugoti darbuotojų asmens duomenis, šios funkcijos gali būti atliekamos tvarkant šifruotą duomenų bazę, kurioje įrašomi visi darbuotojų pateikti individualūs duomenys. Tokios informacinės sistemos, kaip taisyklė, yra vietinio arba sisteminio pobūdžio, be to, įmonėje jų gali būti kelios. Į tokias duomenų bazes įvedami duomenys paprastai apima duomenis apie pareigas, atlyginimą, pažymėjimus, akademinius vardus, apdovanojimus, individualių klientų sąrašą, socialinę padėtį ir kt.
Nuostatų ir susijusių dokumentų rengimas
Nagrinėjamo reglamento rengimo procesas taip pat nustatytas Federaliniame įstatyme „Dėl asmens duomenų apsaugos“. Įstatyme pažymėta, kad šis dokumentas turi būti parengtas ir priimtas susitarus dėl kiekvieno punkto. Pirmiausia reikėtų parengti dokumento projektą, kuriame būtų nurodytos visos pagrindinės nuostatos, tarp kurių būtina numatyti asmens informacijos apie darbuotojus tvarkymo tvarką.
Atsižvelgiant į tai, kad bet kuris asmeninės informacijos subjektas turi duoti leidimą tvarkyti savo asmens duomenis, visose įmonėse ir organizacijose turėtų būti plėtojami du papildomi projektai: sutikimas tvarkyti pateiktą informaciją, taip pat pranešimai, kad visi duomenys bus įtrauktas į bendrą bazę. Be to, įmonė privalo sukurti dokumentą, kurio turinys įpareigotų tinkamai saugoti ribotos prieigos statusą turinčią informaciją.
Turi būti išduotas įsakymas, kad įmonė tvarkys atitinkamą duomenų bazę, kurį turi pasirašyti vadovas arba įgaliotas asmuo. Jo tekste būtina nurodyti pačios bazės pavadinimą, patvirtinti reglamentą, kuris įvedamas struktūriniame padalinyje ar visoje įmonėje, taip pat nustatyti pareigūnų, kurių veikla yra tiesiogiai susijusi su asmens informacijos tvarkymas ir saugojimas.
Sudarius visus minėtus dokumentus, įmonėje turėtų būti suburta komisija juose pateiktoms nuostatoms aptarti. Tik po to, kai visi į komisiją įtraukti asmenys yra patenkinti kiekviena nuostata, dokumentai gali būti pasirašyti ir pradėti vykdyti.
Siekiant apsaugoti asmens duomenis, pakeitimai gali būti atliekami ir struktūriniuose įmonių padaliniuose. Dažnai šiam tikslui įvedamos naujos personalo pareigybės arba keičiamos esamas pareigas užimančių asmenų pareigos. „Asmens duomenų apsaugos įstatymas“ nenustato konkretaus darbuotojų, atsakingų už patikėtos informacijos saugą, sąrašo. Paprastai toks asmenų ratas yra nustatomas Nuostatuose kiekvienoje įmonėje atskirai.
Asmens duomenų apsaugos reglamento struktūra (pavyzdys)
Bet kurios įmonės darbuotojų asmens duomenys turi būti tinkamai apsaugoti. Būtent tam, kuriant įmonės nuostatus, būtina aiškiai žinoti, į kokius punktus jame reikia atsižvelgti. Taigi, panagrinėkime apytikslę Asmens duomenų apsaugos nuostatų struktūrą (pavyzdį).
Asmens duomenys, kurie yra saugomi ir priskiriami asmeninių kategorijai, turėtų būti tiksliai apibrėžti šiame dokumente. Paprastai daugumos įmonių vietiniuose aktuose jų sąrašas nurodomas iškart po įvadinės dalies, kurioje turėtų būti bendrosios nuostatos ir pagrindinės sąvokos, kurios gali būti naudojamos dokumente. Reglamente turėtų būti aiškiai apibrėžta tvarka, pagal kurią bus suteikta prieiga prie duomenų, taip pat asmenų, turinčių teisę ją gauti, ratas. Tuo atveju, kai įmonė ar organizacija turi tam tikrą asmens informacijos sąrašą, kuriam suteiktas ypatingos paslapties statusas, prieiga prie jų turi būti nustatoma atskirai.
Reglamente būtinai turi būti numatytas aiškus veiksmų ir priemonių, kuriais bus vykdoma duomenų apsauga, visuma, atsakomybė už nustatytų reikalavimų pažeidimą, bausmė už asmens duomenų atskleidimą, taip pat už tarnybinių pareigų, susijusių su duomenų gavimu, aplaidumą. , informacijos apdorojimas ir jų saugumo užtikrinimas .
Pavyzdiniame asmens duomenų apsaugos reglamente taip pat nurodyta, kad jo struktūroje turėtų būti skyrius apie darbuotojų teises ir pareigas, susijusias su jų asmens duomenų tvarkymu.
Prireikus, atsižvelgiant į įmonės specifiką, Nuostatuose gali būti nurodyti papildomi reikalavimai ir sąvokos.
Suteiktos asmens informacijos tvarkymo procese pažeidimų pašalinimas
Visa atsakomybė už subjekto asmeninės informacijos saugumo trūkumą pagal federalinį įstatymą „Dėl asmens duomenų apsaugos“ visiškai priskirta pačiam operatoriui, kuris gavo informaciją ir ją apdorojo. Pažeidus teisės aktų nustatytus reikalavimus, jis privalo imtis visų būtinų priemonių pažeidimui pašalinti.
Pagal federalinį įstatymą „Dėl asmens duomenų apsaugos“, jei subjektas kreipiasi į reguliavimo institucijas su skundu dėl netinkamo operatoriaus, priėmusio jo asmeninę informaciją, darbo, šie duomenys turi būti nedelsiant užblokuoti laikotarpiui, kol atliekama patikra. Nustačius pažeidimą, operatorius privalo pašalinti visus trūkumus – tai padaryti per tris dienas nuo priežiūros institucijos sprendimo priėmimo dienos. „Asmens duomenų apsaugos įstatyme“ nurodyta, kad pažeidimų šalinimas turi būti atliekamas ištrinant informaciją apie subjektą. Tą patį reikėtų daryti, jei tiriamasis atšaukė leidimą tvarkyti asmeninę informaciją. Taigi, pavyzdžiui, bet kuriame darbuotojų asmens duomenų apsaugos reglamente (pavyzdyje) būtinai turi būti taisyklės dėl informacijos apie darbuotoją, atšaukusį leidimą tvarkyti jo asmens duomenis, ištrynimo.
2017-07-01 įsigaliojo 2017-02-07 įstatymas „Dėl Rusijos Federacijos administracinių nusižengimų kodekso pakeitimo“. Pakeitimai palietė 13.11 straipsnį „Įstatymų nustatytos informacijos apie piliečius (asmens duomenis) rinkimo, saugojimo, naudojimo ar platinimo tvarkos pažeidimas“, taip pat Rusijos Federacijos administracinių nusižengimų kodekso 28.3 ir 28.4 straipsnius.
Anksčiau tokiais atvejais protokolus nagrinėdavo prokuratūra, dabar juos inicijuoja „Roskomnadzor“. Negana to, RKN jau dabar aktyviai atlieka patikrinimus, už kiekvieną pažeidimo punktą kaupia baudas, o sumos išaugo dešimteriopai.
Jei svetainėje nėra informacijos apie privatumo politiką, individualus verslininkas gali būti nubaustas 10 tūkstančių rublių, o įmone - 30 tūkst. Jei naujienų svetainė tvarko asmens duomenis be jos prenumeratorių sutikimo arba internetinė parduotuvė be klientų sutikimo, įmonės vadovui ar verslininkui bus skirta bauda iki 20 tūkstančių rublių, o juridiniam asmeniui - iki 75 tūkstančių rublių. . Baudų skaičius bus lygus pažeidimų skaičiui, vieną kartą mokėti už kelias klaidas nepavyks.
Kas kaltas?
Pagal federalinį įstatymą „Dėl asmens duomenų“ - „asmens duomenys yra bet kokia informacija, susijusi su fiziniu asmeniu, kurio tapatybė yra tiesiogiai ar netiesiogiai nustatyta arba kurio tapatybė gali būti nustatyta“.
Atsakomybė už naujojo įstatymo pažeidimą tenka vadinamiesiems „asmens duomenų operatoriams“.
Asmens duomenų valdytojas pagal tą patį įstatymą - „valstybės įstaiga, savivaldybės įstaiga, juridinis ar fizinis asmuo, organizuojantis ir (ar) vykdantis asmens duomenų tvarkymą, taip pat nustatantis asmens duomenų tvarkymo tikslus ir turinį“..
Visi svetainių, turinčių kontaktinę formą – anketą, registracijos formą, atsiliepimą, prenumeratą ar tiesiog atgalinio skambučio užsakymo mygtuką, kuriame prašoma nurodyti vardą ir pavardę bei kontaktinį telefono numerį, savininkai yra asmens duomenų valdytojai ir gali būti patraukti atsakomybėn už pažeidimus. įstatymas.
Tačiau įstatymai neapima jokios asmeninės informacijos, kurią ketinama naudoti asmeniniais ar šeimos tikslais, įrašymo ir saugojimo. Telefonų knyga išmaniajame telefone arba kontaktų sąrašas el. pašto programoje nedaro jūsų duomenų valdytoju. Tačiau jei šiuos duomenis perduosite asmeniui ar organizacijai, kuris pagal įstatymus yra asmens duomenų valdytojas arba skelbia informaciją, tai bus pažeidimas.
Ką daryti?
- Parengti viešus dokumentus apie asmens duomenų tvarkymo taisykles ir sąlygas ir patalpinti juos svetainėje, kad būtų galima pasiekti iš bet kurio puslapio. Tai gali būti pranešimas, vartotojo sutartis, pardavimo politika arba asmens duomenų tvarkymo politika. Svarbu ne pavadinimas, o turinys. Nekopijuokite kitų įmonių dokumentų neapdoroti. Jie gali būti naudojami kaip šablonas, tačiau užsirašykite duomenų sąrašą ir jų naudojimo tikslą.
Duomenų, kurių gali prireikti internetinei parduotuvei prekių pristatymui, nereikės norint užsiprenumeruoti informacinę svetainę. Kodėl tai svarbu – žiūrėkite kitą pastraipą.
- Sulygiuokite pačias kontaktines formas su viešuoju dokumentu. Turite prašyti tik tų asmens duomenų, kurių reikia norint dirbti su jūsų ištekliais. Pasirašykite, kodėl prašote šių duomenų, kad naudotojai jaustųsi patogiai juos palikę.
Nereikalingų duomenų prašymas gali būti laikomas teisės pažeidimu ir už tai gali būti skirta bauda.
- Įdiegti programinį sprendimą, garantuojantį vartotojo sutikimą tvarkyti asmens duomenis. Tai gali būti registracijos formoje esantis varnelis, kuriame reikia pažymėti varnelę, arba sutikimo su naudojimo sąlygomis mygtukas, kurio nesuaktyvinus asmuo negalės išsiųsti žinutės ar pateikti užsakymo.
Tuo atveju, jei asmens duomenys neturėtų būti skelbiami, o naudojami tik tvarkymui įmonės viduje, aiškiai apribokite asmens duomenų perdavimą be sutikimo juos tvarkyti. Pagal įstatymą pareiga įrodyti, kad vartotojas savo noru paliko savo duomenis, tenka operatoriui.
- Apsaugokite duomenų bazę. Parengti vidinius dokumentus, reglamentuojančius asmens duomenų tvarkymo ir saugojimo taisykles, darbuotojų, turinčių prieigą prie jų, atsakomybę, paskirti asmenį, atsakingą už asmens duomenų saugumą ir darbo su jais taisyklių, nustatytų federaliniame įstatyme N152, laikymąsi.
Net jei jūsų svetainę prižiūri kita įmonė ar užsakomasis specialistas, įmonei ar individualiam verslininkui, kuris svetainėje nurodytas kaip savininkas, taigi ir asmens duomenų gavėjas, bus skirta bauda už įstatymų pažeidimą.
Svarbu! Prieš gaudami asmens duomenis, kurie turėtų būti skelbiami viešuosiuose šaltiniuose ar perduodami trečiosioms šalims, gaukite kiekvieno lankytojo, kliento ar abonento raštišką sutikimą dėl jų tvarkymo, saugojimo ir platinimo.
Jei svetainei taikomi įstatymo reikalavimai, nusiųskite pranešimą Roskomnadzor.
Įspėjimas gali būti neteikiamas, jei:
- tvarkomi tik darbuotojo duomenys;
- asmens duomenys gaunami tik vykdant konkrečią sutartį su konkrečiu asmeniu ir nebus platinami ar kitaip naudojami;
- saugote tik visą kliento vardą ir pavardę;
- duomenis, paskelbtus viešoje erdvėje paties asmens arba kas nors jo vardu.
Jei esate tikri, kad jums nereikia siųsti pranešimo, sutvarkykite visą dokumentaciją taip, kad ji būtų suprantama ir įmanoma recenzentams. Naudotojo sutartyje nurodykite, kad duomenys yra atviri gavus vartotojo sutikimą, tačiau atminkite, kad tai turėsite įrodyti.
Pagal įstatymą asmens duomenų valdytojai privalo pranešti „Roskomnadzor“. Tai turėtų būti padaryta prieš pradedant duomenų apdorojimą arba netrukus po jo. „Roskomnadzor“ įves informaciją apie operatorių į Asmens duomenų operatorių registrą.
Be to, Jūs privalote vartotojo prašymu informuoti, kokius duomenis apie jį turite, kaip ir kodėl jie tvarkomi ir kam juos perdavėte, taip pat asmens, kurio asmens duomenys yra saugomi jūsų duomenų bazėje.
Pridėta 2017-04-07:
Gavome „Roskomnadzor“ darbuotojo komentarą:
„Tikrinant svarbu, kad galėtumėte patvirtinti sutikimą dėl duomenų rinkimo ir apdorojimo jūsų svetainėje – varnele ar kita forma, viešą dokumentą apie rinkimo tikslus, asmens duomenų tvarkymo tvarką ir jų saugumo užtikrinimą. , ir nuorodą į šį dokumentą formoje, kurioje renkamas PD. Asmens duomenimis laikome bet kokią informaciją, kurią asmuo paliko svetainėje, net jei ji neteisinga – slapyvardį, neteisingą telefono numerį ir pan. dokumentų su politika dėl asmens duomenų ar juose esančių klaidų nebuvimas.
Registracijos formos pavyzdys RIA Novosti svetainėje:
Svetainės registracijos forma
Kaip matote, nėra jokio vartotojo sutikimo tvarkyti asmens duomenis patvirtinimo varnelių ar mygtukų „sutinku“ pavidalu. Paspaudę nuorodą, galite pereiti į puslapį su privatumo politika, kur nurodyta, kad vartotojas duoda šį sutikimą užsiregistruodamas svetainėje:
Sutikti, kad svetainėje būtų tvarkomi konfidencialūs duomenys Kitas svetainės, kurioje registracijos formoje reikalaujama įvesti kelių tipų asmens duomenis, pavyzdys yra „Avito“:
Registracijos forma Yra tekstas, informuojantis vartotoją, kad registruodamasis jis sutinka su vartotojo sutarties sąlygomis, ir nuoroda į ją.
Sutarties tekste nėra informacijos apie asmens duomenų tvarkymą, išskyrus nurodymą, kad vartotojas savo duomenis paskelbia paviešindamas svetainėje skelbimą.
Sutarties tekstas „Avito“ asmens duomenų tvarkymo ir saugumo politika yra skiltyje „Sauga“, nuorodą rasite bet kuriame svetainės puslapyje.
Universalaus patarimo nėra. Kiekvienai svetainei, priklausomai nuo profesijos tipo, ji turi savo formą, todėl geriau pasikonsultuoti su Roskomnadzor.
Pilietybė
Kaip matyti iš Rusijos Federacijos oro kodekso 105 straipsnio 2 ir 3 dalių nuostatų, keleivio vežimo oro transportu sutartis, krovinio vežimo oro transportu sutartis arba pašto vežimo oro transportu sutartis atitinkamai patvirtinama bilietas ir bagažo čekis tuo atveju, jei keleivis vežasi bagažą, važtaraštis, pašto raštelis; bilietas, bagažo kvitas, kiti dokumentai, naudojami teikiant keleivių vežimo oro transportu paslaugas, gali būti išduodami elektronine forma (elektroninis pervežimo dokumentas) su informacija apie vežimo oro transportu sutarties sąlygas, patalpintą automatizuotoje oro transporto išdavimo informacinėje sistemoje. . Taigi, siekdami įgyvendinti minėtas įstatymo nuostatas, oro vežėjai privalo tvarkyti keleivių asmens duomenis, kad galėtų surašyti vežimo oro transportu sutarties sudarymą patvirtinančius dokumentus.
Vadovaujantis str. Rusijos Federacijos oro kodekso 85.1 punktu, siekdami užtikrinti aviacijos saugumą, vežėjai užtikrina orlaivių keleivių asmens duomenų perdavimą į automatizuotas centralizuotas keleivių asmens duomenų bazes pagal Rusijos Federacijos teisės aktus dėl transporto saugumo ir Rusijos Federacijos teisės aktai asmens duomenų srityje, tarptautinio oro susisiekimo srityje, taip pat užsienio valstybių įgaliotoms institucijoms pagal Rusijos Federacijos tarptautines sutartis arba išvykimo, paskirties ar tranzito užsienio valstybių teisės aktus tiek, kiek numatyta Rusijos Federacijos teisės aktai, jei Rusijos Federacijos tarptautinės sutartys nenustato kitaip. Tuo pačiu metu reikia turėti omenyje, kad Rusijos Federacija yra daugelio tarptautinių konvencijų, susijusių su oro susisiekimu, dalyvė, ypač Čikagos konvencija ( „Tarptautinės civilinės aviacijos konvencija“ buvo sudaryta Čikagoje 1944 m. gruodžio 7 d., Rusijos Federacijai įsigaliojo 2005 m. rugpjūčio 16 d. – „Rusijos Federacijos teisės aktų rinkinys“, 2006-10-30, Nr. 44), Varšuvos konvencija ( „Konvencija dėl tam tikrų taisyklių, susijusių su tarptautiniu oro susisiekimu, suvienodinimo“ buvo sudaryta Varšuvoje 1929 m. spalio 12 d., įsigaliojo 1933 m. vasario 13 d. valstijos, t. VIII, - M., 1935, p. 326–339.) ir Gvadadacharos konvencija ( 1961 m. rugsėjo 18 d. Gvadalacharoje sudaryta „Konvencija, papildanti Varšuvos konvenciją dėl tam tikrų taisyklių, susijusių su tarptautiniu vežimu oro transportu, kurį atlieka asmuo, kuris nėra susitariantis vežėjas, suvienodinimo“, SSRS įsigaliojo gruodžio 21 d. 1983, „SSRS ginkluotųjų pajėgų Vedomosti“, 1984-02-15, Nr. 7), kurios taip pat yra neatskiriama oro vežėjų veiklos ir susijusių informacinių procesų teisinio reguliavimo dalis.
Remiantis tuo, kas išdėstyta, reikalavimai 5 straipsnis. Federalinio įstatymo „Dėl asmens duomenų“ 18 straipsnis netaikomas Rusijos ir užsienio oro vežėjų veiklai, susijusiai su piliečių-keleivių asmens duomenų rinkimu ir tvarkymu lėktuvo bilietų (kelionės bilietų) užsakymo, išdavimo ir išdavimo tikslais, bagažo čekiai ir kiti gabenimo dokumentai, nes jiems taikoma išimtis, numatyta 1 straipsnio 1 dalies 2 punkte. Federalinio įstatymo „Dėl asmens duomenų“ 6 straipsnis.
Reikalavimai h 5 straipsnis. Federalinio įstatymo „Dėl asmens duomenų“ 18 straipsnis taip pat netaikomas asmenų, veikiančių oro vežėjo (įgaliotojo agento) vardu, veiklai, kurių veiklą numato Bendrųjų keleivių vežimo oro transportu taisyklių 6 punktas, Bagažas, kroviniai ir keleivių, siuntėjų, gavėjų aptarnavimo reikalavimai, patvirtinti 2007 m. birželio 28 d. Rusijos transporto ministerijos įsakymu Nr. 82 „Dėl Federalinių aviacijos taisyklių patvirtinimo“ Keleivių vežimo oru bendrosios taisyklės, Bagažas, kroviniai ir reikalavimai keleivių, siuntėjų, gavėjų aptarnavimui“, taip pat kitiems asmenims, dėl piliečių – keleivių asmens duomenų tvarkymo išimtinai oro bilietų (kelionės bilietų) užsakymo, išrašymo ir išdavimo tikslais, bagažo kvitai ir kiti gabenimo dokumentai, įskaitant elektroninę formą vidaus ir tarptautiniams skrydžiams, jei minėta šių asmenų veikla yra numatyta Rusijos Federacijos teisės aktuose arba atitinkamuose tarptautine sutartimi, įskaitant aviacijos saugumo užtikrinimo tikslus.
Jei asmens duomenų tvarkymui taikomos išimtys, numatytos Federalinio įstatymo „Dėl asmens duomenų“ 6 straipsnio 1 dalies 2, 3, 4, 8 dalyse, 152-FZ 18 straipsnio 5 dalies nuostatos taikomos. netaikyti. Asmens duomenų valdytojas, užtikrindamas (organizuodamas teikimą) tokį tvarkymą, atlieka tinkamą asmens duomenų tvarkymo veiksmų kvalifikavimą ir jų atitikimo įstatymų reikalavimams užtikrinimą. Minėtos kvalifikacijos ir apdorojimo užtikrinimo teisingumą konkrečioje situacijoje tikrina įgaliota federalinė institucija kontrolės priemonių metu.
Produktai ir paslaugos
Iš Federalinio įstatymo „Dėl asmens duomenų“ 18 straipsnio 5 dalies nuostatų visumos („rinkdamas asmens duomenis, taip pat per interneto informacijos ir telekomunikacijų tinklą, operatorius privalo užtikrinti įrašymą, sisteminimą, kaupimą, saugojimą , patikslinti (atnaujinti, pakeisti), gauti Rusijos Federacijos piliečių asmens duomenis naudojantis Rusijos Federacijos teritorijoje esančiomis duomenų bazėmis, išskyrus šio straipsnio 6 straipsnio 1 dalies 2, 3, 4, 8 punktuose nurodytus atvejus. Federalinis įstatymas) ir Federalinio įstatymo „Dėl asmens duomenų“ 6 straipsnio 1 dalies 2 punktas („asmens duomenis tvarkyti būtina siekiant Rusijos Federacijos tarptautinėje sutartyje ar įstatyme numatytų tikslų, vykdyti ir vykdyti funkcijas, įgaliojimus ir pareigas, Rusijos Federacijos teisės aktais priskirtas operatoriui“ reiškia, kad asmens duomenų tvarkymas nustatytais tikslais ir laikantis nustatytų reikalavimų yra patvirtintas. Rusijos Federacijos Europos Tarybos konvencija dėl asmenų apsaugos automatiniu būdu tvarkant asmens duomenis neprieštarauja Rusijos Federacijos teisės aktams, reglamentuojantiems santykius asmens duomenų apsaugos srityje. Be to, 18 152-FZ straipsnio 5 dalis neriboja tarpvalstybinio Rusijos Federacijos piliečių asmens duomenų perdavimo.
Įstatymas nenumato „pradinio rinkimo“ sąvokos, tačiau nustato asmens duomenų tvarkymo reikalavimus renkant informaciją, išryškindamas tokias operacijas su PD kaip informacijos, kurioje yra asmens duomenų, patikslinimas (atnaujinimas, keitimas). Įstatymo prasme informacijos rinkimo procesas apima ir informacijos saugojimo bei kaupimo procedūras, o tai savaime neleidžia vartoti tokios sąvokos kaip „pirminis rinkimas“. Taigi įstatymas nustato operatoriui pareigą, kai tvarkomi surinkti asmens duomenys sisteminant, kaupiant, kaupiant, tikslinant, ištraukiant, naudotis Rusijos Federacijos teritorijoje esančiomis duomenų bazėmis. Taigi, jei operatoriui, norėdamas parengti ataskaitas ar analizuoti informaciją, kurioje yra asmens duomenų, reikia atlikti minėtas asmens duomenų tvarkymo formas, tokie veiksmai turėtų būti atliekami naudojant duomenų bazes, esančias Rusijos Federacijos teritorijoje.
Pirminės kolekcijos aiškinimas yra neteisingas dėl toliau nurodytų priežasčių. Įstatymas nenumato „pradinio rinkimo“ sąvokos, tačiau nustato asmens duomenų tvarkymo reikalavimus renkant informaciją, išryškindamas tokias operacijas su PD kaip informacijos, kurioje yra asmens duomenų, patikslinimas (atnaujinimas, keitimas). Įstatymo prasme informacijos rinkimo procesas apima ir informacijos saugojimo bei kaupimo procedūras, o tai savaime neleidžia vartoti tokios sąvokos kaip „pirminis rinkimas“. Taigi įstatymas nustato operatoriui pareigą, kai tvarkomi surinkti asmens duomenys sisteminant, kaupiant, kaupiant, tikslinant, ištraukiant, naudotis Rusijos Federacijos teritorijoje esančiomis duomenų bazėmis.
Pagal 2006 m. liepos 27 d. Federalinio įstatymo Nr. 149-FZ „Dėl informacijos, informacinių technologijų ir informacijos apsaugos“ 16 straipsnio 4 dalies 7 punkto nuostatas informacijos savininkas, informacinės sistemos operatorius, Rusijos Federacijos teisės aktų nustatytais atvejais privalo užtikrinti, kad Rusijos Federacijos teritorijoje būtų informacijos duomenų bazės, kurios naudojamos rinkti, įrašyti, sisteminti, kaupti, saugoti, patikslinti (atnaujinti, keisti), ištraukti. Rusijos Federacijos piliečių asmens duomenys.
Taip pat atsižvelgiant į 2006 m. liepos 27 d. Federalinio įstatymo Nr. 152-FZ „Dėl asmens duomenų“ (galioja nuo 2015 m. rugsėjo 1 d.) 18 straipsnio 5 dalies nuostatas, nustatančias, kad renkant asmens duomenis, įskaitant informaciją telekomunikacijų tinklo internetas, operatorius yra įpareigotas užtikrinti Rusijos Federacijos piliečių asmens duomenų įrašymą, sisteminimą, kaupimą, saugojimą, patikslinimą (atnaujinimą, keitimą), ištraukimą naudojantis Rusijos Federacijos teritorijoje esančiomis duomenų bazėmis, manome, kad Rusijos Federacijos piliečių asmens duomenų tvarkymas kitos valstybės teritorijoje gali būti atliekamas tik Federalinio įstatymo „Dėl asmens“ 6 straipsnio 1 dalies 2, 3, 4, 8 dalyse numatytais atvejais. Duomenys“, kuriai 152-FZ 18 straipsnio 5 dalyje numatyta išimtis. Taip pat reikia nepamiršti, kad nėra teisinio suskirstymo į „pagrindinę“ asmens duomenų bazę ir jos „kopiją“. Abiem atvejais kalbame apie duomenų bazę, su kuria tvarkomi asmens duomenys. Tuo pačiu metu federaliniame įstatyme nėra nuorodų į bendrą draudimą tvarkyti Rusijos Federacijos piliečių asmens duomenis naudojant duomenų bazes, kurios nėra Rusijos Federacijos teritorijoje.
Šiuo atžvilgiu manome, kad Rusijos Federacijos piliečių asmens duomenų tvarkymas renkant, registruojant, sisteminant, kaupiant, saugojant, aiškinant, ištraukiant gali būti atliekamas naudojant duomenų bazes, kurios nėra Rusijos Federacijos teritorijoje. šiais atvejais:
- jei tokia veikla patenka į 152-FZ 6 straipsnio 1 dalies 2–4, 8 punktuose numatytus atvejus;
- jei tokia veikla nepatenka į 152-FZ 6 straipsnio 1 dalies 2–4, 8 punktuose numatytus atvejus, o Rusijos Federacijos teritorijoje yra duomenų bazių, naudojamų tokiam asmens duomenų tvarkymui, kuriuose yra didesnis asmens duomenų kiekis arba lygus esantiems už Rusijos Federacijos teritorijos ribų (šiuo atveju nepriimtina rasti asmens duomenų už Rusijos Federacijos teritorijos ribų, kurie tuo pačiu metu nėra Rusijos Federacijos teritorijoje).
Tarpvalstybinis asmens duomenų perdavimas nėra draudžiamas, jei laikomasi Federalinio įstatymo Nr. 152-FZ 12 straipsnyje nustatytų reikalavimų. Tuo pačiu metu tarpvalstybinis duomenų perdavimas turi turėti iš anksto nustatytą tvarkymo tikslą, kurį pasiekus asmens duomenų subjektui turi būti garantuotas perduodamų duomenų sunaikinimas užsienio valstybės teritorijoje. Jei yra įvykdyti nurodyti reikalavimai, už pavedimo sutartyje nustatytos tvarkos ir sąlygų pažeidimą operatoriui taikoma Rusijos teisės aktuose numatyta atsakomybė.
Pagal Federalinio įstatymo „Dėl asmens duomenų“ 3 straipsnio 2 dalies nuostatas operatorius yra valstybės įstaiga, savivaldybės įstaiga, juridinis asmuo arba fizinis asmuo, savarankiškai arba kartu su kitais asmenimis, organizuojančiais ir (ar) vykdančiais asmens duomenų tvarkymas, taip pat asmens duomenų tvarkymo tikslų, tvarkomų asmens duomenų sudėties, su asmens duomenimis atliekamų veiksmų (operacijų) nustatymas. Taigi, Federalinio įstatymo Nr. 242-FZ nuostatos taikomos visiems pirmiau minėtiems subjektams. Priimtas federalinis įstatymas neįpareigoja 152-FZ 18 straipsnio 5 dalies platinti tik operatoriams, kurių pagrindinė veikla yra asmens duomenų tvarkymas, arba operatoriams, kurie tvarko asmens duomenis tik naudodamiesi informaciniais ir telekomunikacijų tinklais.
Pagal Federalinio įstatymo „Dėl asmens duomenų“ 3 straipsnio 2 dalies nuostatas operatorius yra valstybės įstaiga, savivaldybės įstaiga, juridinis asmuo arba fizinis asmuo, savarankiškai arba kartu su kitais asmenimis, organizuojančiais ir (ar) vykdančiais asmens duomenų tvarkymas, taip pat asmens duomenų tvarkymo tikslų, tvarkomų asmens duomenų sudėties, su asmens duomenimis atliekamų veiksmų (operacijų) nustatymas. Taigi, Federalinio įstatymo Nr. 242-FZ nuostatos taikomos visiems pirmiau minėtiems subjektams. Priimtas federalinis įstatymas neįpareigoja 152-FZ 18 straipsnio 5 dalies platinti tik operatoriams, kurių pagrindinė veikla yra asmens duomenų tvarkymas, arba operatoriams, kurie tvarko asmens duomenis tik naudodamiesi informaciniais ir telekomunikacijų tinklais. Esamuose teisėkūros veiklos planuose nėra numatyta parengti federalinio įstatymo projektą, kuriuo būtų pataisyta ši nuostata.
Minėti įstatymo reikalavimai, be kita ko, taikomi operatoriaus atliekamam asmens duomenų, gautų renkant, tvarkymui, ty įrašymui, sisteminimui, kaupimui, saugojimui, patikslinimui (atnaujinimui, keitimui), ištraukimui.
Supratimas yra teisingas. 152-FZ neatskleidžia termino „asmens duomenų naudojimas“. Aiškinimo tikslais „asmens duomenų naudojimas“ gali būti suprantamas kaip veiksmai su asmens duomenimis, nesusiję su kitomis asmens duomenų tvarkymo formomis, įskaitant sprendimų, pagrįstų asmens duomenimis, priėmimą, kurių įgyvendinimui buvo renkami asmens duomenys. (asmens duomenų rinkimo tikslas turi atitikti asmens duomenų naudojimo tikslus).
„Operatoriaus“ sąvoka yra Įstatymo Nr. 152-FZ 3 straipsnyje, kuriame kalbama apie valstybės įstaigą, savivaldybės įstaigą, juridinį ar fizinį asmenį, savarankiškai arba kartu su kitais asmenimis, organizuojančiais ir (ar) tvarkančius asmens duomenis, kaip taip pat nustatyti asmens duomenų tvarkymo tikslus.duomenys, tvarkomų asmens duomenų sudėtis, su asmens duomenimis atliekami veiksmai (operacijos). Atsižvelgiant į tai, kad Įstatymo Nr. 152-FZ 3 straipsnyje nėra išimčių dėl asmens atliekamų tam tikrų asmens duomenų tvarkymo operacijų, taip pat kitų apibrėžimų, kurie skiriasi nuo operatoriaus, asmuo, kuris nustato asmens duomenų tvarkymo tikslas arba atlieka tam tikrus asmens duomenų tvarkymo veiksmus pagal Įstatymo Nr. 152-FZ nuostatas yra operatorius, tvarkantis asmens duomenis.
– Ar tikrai nereikalaujama pakartotinai ar papildomai pranešti apie asmens duomenų tvarkymą po 2015 m. rugsėjo 1 d. Ar reikia papildomai nurodyti, kur yra duomenų bazės?
Nėra sąvokos „pakartotinis“ arba „papildomas“ pranešimas. Federalinio įstatymo „Dėl asmens duomenų“ 22 straipsnis nustato operatoriaus pareigą prieš tvarkant asmens duomenis išsiųsti pranešimą. Šio straipsnio 2 dalyje yra keletas išimčių, kai tokio pranešimo nereikia. Federalinis įstatymas Nr. 242-FZ iš dalies keičiamas 3 dalimi, kurioje apibrėžiami pranešimo turinio reikalavimai. Jei organizacija anksčiau išsiuntė Roskomnadzor pranešimą apie asmens duomenų tvarkymą, tada įsigaliojus įstatymui operatoriai, vadovaudamiesi šio straipsnio 7 dalimi, per dešimt darbo dienų turi pateikti informaciją apie duomenų bazės vietą. .
– Ar pirminiam asmens duomenų rinkimui popieriuje ir vėlesniam jų įvedimui į elektroninę duomenų bazę taikomi Federalinio įstatymo Nr. 152-FZ 18 straipsnio 5 dalies reikalavimai?
Pagal Federalinio įstatymo Nr. 152-FZ 18 straipsnio 5 dalies reikalavimus, rinkdamas asmens duomenis, taip pat per informacinį ir telekomunikacijų tinklą „Internetas“, operatorius privalo užtikrinti duomenų įrašymą, sisteminimą, kaupimą, saugojimą, Rusijos Federacijos piliečių asmens duomenų patikslinimas (atnaujinimas, keitimas), paieška naudojant Rusijos Federacijos teritorijoje esančias duomenų bazes, išskyrus šio federalinio įstatymo 6 straipsnio 1 dalies 2, 3, 4, 8 punktuose nurodytus atvejus. Teisė. Pagrindinis asmens duomenų teisės principas yra principas, kad asmens duomenys turi būti tvarkomi tik siekiant konkrečių, iš anksto nustatytų ir teisėtų tikslų. Atsižvelgiant į tai, asmens duomenų įvedimas į asmens duomenų informacinę sistemą, naudojamą panašiais tikslais kaip duomenų rinkimas popieriuje, turėtų būti vertinamas kaip vientisas procesas, kurio įgyvendinimas turi būti vykdomas griežtai laikantis dalies reikalavimų. Federalinio įstatymo Nr. 152-FZ 18 straipsnio 5 dalis. Šio vieno proceso padalijimo į atskirus veiksmus nenumato Rusijos Federacijos teisės aktai asmens duomenų srityje. Taigi tam tikri asmens duomenų tvarkymo tipai, numatyti Federalinio įstatymo Nr. 152-FZ 18 straipsnio 5 dalyje, įskaitant asmens duomenų rinkimą popieriuje ir vėliau jų įvedimą į elektroninę duomenų bazę, turėtų būti atliekami kaip vienas procesas. teisės normos teisinėje srityje, įpareigojanti saugoti asmens duomenis Rusijos Federacijos teritorijoje.