Содержание

Реквизиты документа

Вид: Модельный закон
Постановление
Принят: Межпарламентская Ассамблея государств-участников СНГ 29.11.2018
Номер: 48-9
Редакция от: 29.11.2018
Дата вступления в силу: 29.11.2018
Статус: Действует
Опубликован: Информационный бюллетень. Межпарламентская Ассамблея государств-участников Содружества Независимых Государств. 2019. N 70 (часть 2),
сайт Межпарламентской Ассамблеи СНГ

Постановление Межпарламентской Ассамблеи государств-участников СНГ от 29.11.2018 N 48-9

"О новой редакции Модельного закона "О персональных данных"

Редакция от 29.11.2018 — Действует с 29.11.2018

МЕЖПАРЛАМЕНТСКАЯ АССАМБЛЕЯ ГОСУДАРСТВ-УЧАСТНИКОВ СОДРУЖЕСТВА НЕЗАВИСИМЫХ ГОСУДАРСТВ

ПОСТАНОВЛЕНИЕ
N 48-9

О НОВОЙ РЕДАКЦИИ МОДЕЛЬНОГО ЗАКОНА "О ПЕРСОНАЛЬНЫХ ДАННЫХ"

(Санкт-Петербург, 29 ноября 2018 года)

Рассмотрев представленный Постоянной комиссией МПА СНГ по культуре, информации, туризму и спорту проект новой редакции модельного закона "О персональных данных", Межпарламентская Ассамблея постановляет:

1. Принять модельный закон "О персональных данных" в новой редакции (прилагается).

2. Направить указанный модельный закон в парламенты государств - участников Межпарламентской Ассамблеи СНГ и рекомендовать для использования в национальном законодательстве.

3. Рекомендовать использовать ранее принятую редакцию модельного закона "О персональных данных" (постановление МПА СНГ от 16 октября 1999 года N 14-19) в части, не противоречащей настоящему модельному закону.

Председатель
Совета Ассамблеи
В.И. МАТВИЕНКО

Приложение

Принят
на сорок восьмом
пленарном заседании
Межпарламентской Ассамблеи
государств - участников СНГ
(постановление N 48-9
от 29 ноября 2018 года)

МОДЕЛЬНЫЙ ЗАКОН О ПЕРСОНАЛЬНЫХ ДАННЫХ (НОВАЯ РЕДАКЦИЯ)

Глава 1. ОБЩИЕ ПОЛОЖЕНИЯ

Статья 1. Цели и сфера регулирования настоящего Закона

Целью настоящего Закона является гармонизация законодательства в части соблюдения прав и законных интересов человека и гражданина в сфере оборота персональных данных и их обработки (в том числе права на неприкосновенность личной жизни, личную и семейную тайну, защиту чести, достоинства и репутации), определение правового режима оборота персональных данных, прав и обязанностей операторов персональных данных.

Настоящий Закон применяется к отношениям, связанным с оборотом и обработкой персональных данных, которые осуществляются органами государственной власти, органами местного самоуправления, иными государственными и муниципальными органами, юридическими лицами и физическими лицами, как с использованием средств автоматизации (в том числе в информационно-телекоммуникационных сетях), так и без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе (носителях), и (или) доступ к ним.

Статья 2. Основные понятия

В настоящем Законе используются следующие понятия:

персональные данные - информационные данные о личности, то есть информация, которая позволяет прямо или косвенно определить физическое лицо (субъекта персональных данных) или может быть отождествлена с ним;

анкетные персональные данные - данные, определяющие основные идентификационные параметры личности, в том числе фамилия, имя (имена), отчество, изображение внешности, иные биографические или опознавательные данные, личные характеристики, сведения о семейном, социальном, служебном и финансовом положении, образовании, профессии, состоянии здоровья и прочая информация, указываемая субъектом персональных данных в анкетной документации;

служебные персональные данные - данные (в том числе анкетные), указываемые субъектом персональных данных в документации, связанной с исполнением им должностных (служебных) обязанностей, указание которых необходимо в связи с осуществлением субъектом персональных данных таких обязанностей;

биометрические персональные данные - данные, содержащие параметры биометрической идентификации субъекта персональных данных, то есть сведения о физиологических и биологических особенностях, на основании которых можно установить его личность, и обрабатываемые с применением технических средств (в том числе средств автоматизированной обработки персональных данных);

оборот персональных данных - действие либо совокупность действий, совершаемые с персональными данными (в том числе с использованием информационно-телекоммуникационных систем), включающие в себя сбор, запись (фиксацию), накопление, извлечение, предоставление, обеспечение доступа, распространение, обработку (в том числе автоматическую), изменение (модификацию), блокирование, удаление, уничтожение персональных данных;

обработка персональных данных - действие либо совокупность действий, совершаемые оператором персональных данных с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись (фиксацию), систематизацию (классификацию), накопление, копирование, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, обеспечение доступа), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - часть оборота персональных данных, представляющая собой раскрытие (предоставление) персональных данных третьим лицам оператором либо субъектом персональных данных, в том числе посредством информационно-телекоммуникационных сетей;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу (определенному кругу лиц) по его (их) запросу;

доступ к персональным данным - возможность ознакомления с персональными данными, включая визуальное ознакомление и (или) копирование персональных данных;

оператор персональных данных - физическое либо юридическое лицо, орган государственной власти (орган местного самоуправления), его структурные подразделения, осуществляющие оборот либо обработку персональных данных; к операторам персональных данных не относятся лица, осуществляющие законный доступ к персональным данным, если он не предполагает последующую обработку персональных данных лицом, осуществившим доступ;

держатель персональных данных - оператор персональных данных, совершающий действия с персональными данными на основании осуществленного им сбора и фактического хранения персональных данных;

информационная система, содержащая персональные данные (далее - информационная система), - совокупность информационных технологий и технических средств (в том числе программно-технических), позволяющих осуществлять сбор, обработку, распространение, предоставление содержащихся в ней персональных данных, доступ к ним, а также иные действия с ними, в том числе в автоматическом режиме;

база персональных данных - упорядоченный массив однородных персональных данных, в котором осуществляется хранение персональных данных;

конфиденциальность персональных данных - режим оборота персональных данных, не являющихся общедоступными, позволяющий обеспечить их предоставление, распространение либо доступ к ним только тем лицам, которым предоставление, распространение персональных данных либо доступ к персональным данным разрешены субъектом персональных данных либо в порядке, установленном действующим законодательством;

общедоступные персональные данные - персональные данные, доступ к которым в соответствии с национальным законодательством имеет или может получить любое лицо;

общедоступные источники персональных данных - любые источники информации, содержащие персональные данные (в том числе информационные системы и базы персональных данных), право на доступ к которым не ограничено служебным положением и (или) специальными полномочиями;

системы поиска персональных данных - автоматизированные системы, позволяющие пользователю осуществлять поиск персональных данных либо определенных сведений в указанных персональных данных как в информационных системах и базах персональных данных, так и в иных источниках информации;

ограничение оборота персональных данных - режим оборота персональных данных, предусматривающий запрет свободного и (или) немотивированного доступа к персональным данным (предоставления, распространения персональных данных) отдельных категорий лиц на основании закона или законного распоряжения, обязательного для субъекта или оператора персональных данных, в том числе в течение определенного периода времени;

блокирование персональных данных - прекращение доступа к персональным данным без их фактического удаления или уничтожения;

удаление персональных данных - совокупность действий, направленных на исключение персональных данных из информационной системы или базы персональных данных;

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе или базе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным определить принадлежность персональных данных конкретному субъекту персональных данных;

выпуск персональных данных в оборот (публикация персональных данных) - действия, в результате которых персональные данные становятся доступными для оборота и (или) обработки после их сбора;

сбор персональных данных - действия, направленные на получение персональных данных о субъекте (субъектах) персональных данных;

трансграничный оборот персональных данных - режим оборота персональных данных, при котором обеспечивается их доступность лицам, идентифицируемым как находящиеся за пределами государства хранения и (или) выпуска в оборот таких данных.

Статья 3. Законодательство в области персональных данных

Национальное законодательство в области персональных данных основывается на конституции государства - участника СНГ, а также действующих международных договорах и включает в себя как специальный закон о персональных данных, так и положения иных национальных законов.

Глава 2. РЕГУЛИРОВАНИЕ ОБОРОТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 4. Принадлежность персональных данных

Субъект персональных данных является единственным субъектом, правомочным принимать решение о предоставлении кому-либо своих персональных данных и об их нахождении в обороте, за исключением случаев, указанных в статье 15 настоящего Закона.

Национальным законодательством устанавливается минимальный возраст, по достижении которого субъект персональных данных вправе самостоятельно принимать решение о предоставлении своих персональных данных и об их нахождении в обороте. Интересы лиц, не обладающих полной гражданской дееспособностью (в том числе несовершеннолетних, не достигших указанного минимального возраста) в части принятия решения о предоставлении персональных данных и их нахождении в обороте, представляют их законные представители в соответствии с национальным гражданским законодательством.

Статья 5. Основные принципы оборота и обработки персональных данных

Оборот и обработка персональных данных производятся исключительно на основании настоящего Закона.

Сбор персональных данных, их оборот и обработка осуществляются исключительно для достижения конкретных и законных целей, определенных на момент начала сбора персональных данных. Использование персональных данных в целях, не определенных на момент начала сбора персональных данных, не допускается.

Не допускается объединение информационных систем и (или) баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

Запрещается обусловливать оказание услуг предоставлением субъектами их персональных данных, за исключением случаев, когда предоставление определенных категорий анкетных персональных данных при оказании услуги требуется в соответствии с национальным законодательством.

Обороту и обработке подлежат только персональные данные, которые отвечают целям их оборота и обработки. Содержание и объем собираемых и обрабатываемых персональных данных должны соответствовать заявленным целям обработки, при этом находящиеся в обороте (обрабатываемые) персональные данные не должны быть избыточными (излишними) по отношению к заявленным целям их оборота (обработки). Не допускаются сбор и оборот персональных данных, в результате которых причиняется вред правам и законным интересам субъекта персональных данных или других лиц.

При обработке персональных данных и выпуске их в оборот должны быть обеспечены точность, достаточность персональных данных, а при необходимости актуальность по отношению к целям оборота (обработки) персональных данных. Оператор персональных данных должен принимать необходимые меры по удалению или уточнению неполных и неточных данных либо обеспечивать принятие этих мер.

Оборот либо хранение персональных данных должны осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели оборота либо обработки персональных данных, если срок хранения персональных данных не установлен законом либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено национальным законодательством.

Статья 6. Особенности сбора персональных данных отдельными категориями операторов персональных данных

Сбор персональных данных операторами персональных данных, являющимися органами государственной власти (органами местного самоуправления) или их структурными подразделениями, осуществляется в соответствии с национальным законодательством, в том числе требованиями статьи 5 настоящего Закона, а также установленной национальным законодательством процедурой (регламентом) и с использованием прошедших регистрацию, сертификацию либо иной предусмотренный законом учет программно-технических средств, информационных систем и баз персональных данных. Возможность неправомерного вмешательства третьих лиц в процесс сбора персональных данных с целью получения доступа к ним должна быть исключена.

Статья 7. Специальные категории персональных данных

К числу специальных категорий персональных данных относятся:

- персональные данные (в том числе служебные), собираемые в рамках законной деятельности, связанной с защитой государственной тайны, работой правоохранительных органов, органов государственной власти (органов местного самоуправления), охраной здоровья граждан, обеспечением обороны и безопасности государства;

- персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни субъекта персональных данных.

В национальном законодательстве могут предусматриваться особые меры защиты специальных категорий персональных данных, их оборота и обработки.

Статья 8. Общедоступные источники персональных данных

Общедоступные источники персональных данных могут создаваться для информационного обеспечения. Размещение персональных данных в общедоступных источниках допускается исключительно с согласия субъекта персональных данных. Персональные данные, указанные в статье 7 настоящего Закона, не могут быть размещены в общедоступных источниках персональных данных.

Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию указанного субъекта либо по решению суда или иных уполномоченных органов государственной власти.

За неисполнение требования субъекта персональных данных об исключении его персональных данных из общедоступных источников оператор информационной системы, базы персональных данных несет ответственность в соответствии с национальным законодательством.

Статья 9. Системы поиска персональных данных

Поиск персональных данных либо определенной информации в указанных персональных данных в системах поиска персональных данных должен быть прекращен по требованию субъекта персональных данных либо по решению суда или иных уполномоченных органов государственной власти. Субъект персональных данных вправе потребовать прекращения выдачи ссылок на отдельные либо все источники информации, содержащие его персональные данные, в том числе анкетные и служебные персональные данные.

За неисполнение требования субъекта персональных данных о прекращении выдачи ссылок на источники информации, содержащие его персональные данные, оператор системы поиска персональных данных несет ответственность в соответствии с национальным законодательством.

Статья 10. Хранение персональных данных

Хранение персональных данных осуществляется держателем персональных данных с исключением возможности неправомерных доступа, распространения, копирования, изменения, блокирования, удаления, уничтожения хранимых персональных данных. Требования к безопасности хранения персональных данных устанавливаются национальным законодательством.

Сроки хранения персональных данных определяются национальным законодательством с учетом целей их получения в соответствии с требованиями статьи 5 настоящего Закона. Сроки хранения могут быть продлены только в интересах субъекта персональных данных. По истечении срока хранения или по достижении целей получения персональные данные подлежат уничтожению либо обезличиванию.

Анкетные персональные данные и иные отдельные категории персональных данных после отпадения практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа либо иной аналогичный статус, предусмотренный национальным законодательством. Распространение таких персональных данных может осуществляться с согласия субъекта персональных данных либо его наследника (наследников). Доступ к таким персональным данным без согласия субъекта персональных данных либо его наследника (наследников) также может осуществляться уполномоченными национальным законодательством лицами в целях национальной безопасности, здоровья граждан, общественной нравственности, оперативно-разыскной деятельности либо в соответствии с национальным законодательством о гражданстве.

Статья 11. Обновление, замена, восстановление персональных данных

Оператор (держатель) персональных данных осуществляет обновление либо замену имеющихся у него персональных данных в связи с установлением их неточности (в том числе недостоверности, некорректности) при условии документального подтверждения достоверности новых данных.

Восстановление персональных данных производится оператором персональных данных в случае утраты, в том числе удаления, уничтожения, персональных данных, если удаление или уничтожение персональных данных не было осуществлено во исполнение национального законодательства.

Обновление либо замена персональных данных производится:

- в случаях, предусмотренных национальным законодательством;

- по инициативе оператора (держателя) персональных данных, если это разрешено национальным законодательством;

- по инициативе субъекта, персональные данные которого подлежат обновлению либо замене.

Статья 12. Обмен персональными данными

Обмен персональными данными может производиться между информационными системами, содержащими персональные данные, и (или) базами персональных данных. Обмен персональными данными представляет собой доступ (в том числе с последующим копированием) информационной системы или базы персональных данных к персональным данным, находящимся в обороте в другой информационной системе либо базе персональных данных, в том числе в автоматическом режиме.

Обмен персональными данными осуществляется с применением предусмотренных национальным законодательством мер и средств (в том числе программно-технических) защиты от несанкционированного доступа, копирования, изменения, удаления и уничтожения персональных данных.

Статья 13. Трансграничный оборот персональных данных

Трансграничный оборот персональных данных не может быть запрещен или ограничен, за исключением случаев необходимости обеспечения национальной безопасности, прав и законных интересов субъектов персональных данных и иных лиц.

Государство обеспечивает законные меры защиты находящихся на его территории или передаваемых через его территорию персональных данных, исключающие искажение и несанкционированное использование указанных данных.

До начала осуществления трансграничной передачи персональных данных оператор персональных данных обязан убедиться в том, что иностранным государством, на территорию которого планируется передача указанных данных, обеспечивается адекватная защита прав субъектов персональных данных. Проверка уровня защиты прав субъектов персональных данных в соответствующем иностранном государстве осуществляется путем получения информации из перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Указанный перечень формируется уполномоченным органом по защите прав субъектов персональных данных, на который национальным законодательством возлагается обязанность по проверке (экспертизе) адекватности защиты прав субъектов персональных данных в иностранных государствах для целей безопасной трансграничной передачи персональных данных. Перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, должен быть общедоступным.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

- определенно выраженного согласия субъекта персональных данных на эту передачу;

- необходимости передачи персональных данных для заключения и (или) исполнения договора между субъектом и оператором (держателем) персональных данных либо между оператором (держателем) персональных данных и третьей стороной в интересах субъекта персональных данных;

- необходимости передачи персональных данных для защиты жизненно важных интересов субъекта персональных данных, в том числе его жизни и здоровья;

- содержания персональных данных в общедоступном источнике персональных данных, если при этом не нарушены требования к их обороту или выпуску в оборот.

Статья 14. Особенности оборота и обработки биометрических персональных данных

Оборот и обработка биометрических персональных данных могут осуществляться только при наличии согласия в письменной форме субъекта персональных данных. Оборот и обработка биометрических персональных данных могут совершаться без согласия субъекта персональных данных в связи с реализацией международных договоров о реадмиссии, осуществлением правосудия и исполнением судебных актов, а также в случаях, прямо предусмотренных национальным законодательством об обороне, о безопасности (в том числе транспортной и авиационной безопасности), противодействии терроризму, противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, гражданстве, порядке выезда из государства или въезда в государство и национальным уголовно-исполнительным законодательством.

Глава 3. ЗАЩИТА ПРАВ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 15. Право субъекта персональных данных на предоставление и выпуск в оборот персональных данных

Персональные данные могут быть предоставлены и (или) выпущены в оборот при наличии информированного добровольного согласия субъекта персональных данных, за исключением следующих случаев:

1) для сбора персональных данных:

- если персональные данные собираются законным и обоснованным образом в рамках оперативно-разыскной или иной правоохранительной деятельности;

- если предоставление персональных данных необходимо для исполнения органом государственной власти (органом местного самоуправления) по запросу или в интересах субъекта персональных данных предусмотренной законом функции, при условии что ее исполнение без предоставления персональных данных невозможно;

2) для выпуска персональных данных в оборот:

- если оборот персональных данных осуществляется в статистических целях при условии обезличивания персональных данных;

- если оборот персональных данных осуществляется в научных, художественных, иных культурных или творческих целях, а также в рамках журналистской деятельности и не причиняет вреда субъекту персональных данных или третьим лицам.

Национальным законодательством могут быть установлены иные основания для предоставления и выпуска в оборот персональных данных, при условии соблюдения принципов оборота персональных данных, определенных в статье 5 настоящего Закона.

Форма выражения субъектом согласия на сбор и выпуск в оборот персональных данных должна соответствовать требованиям, указанным в статье 16 настоящего Закона.

Статья 16. Согласие субъекта персональных данных на оборот, обработку персональных данных, обмен ими и доступ третьих лиц к персональным данным

Оборот, обработка персональных данных и обмен ими осуществляются исключительно с прямого согласия субъекта персональных данных на совершение указанных действий с его персональными данными, за исключением случаев, указанных в статьях 17 и 24 настоящего Закона. Согласие на оборот, обработку персональных данных и (или) обмен ими, а также на сбор персональных данных и выпуск их в оборот субъект персональных данных выражает при сборе персональных данных или при получении уведомления об обработке персональных данных в соответствии со статьей 18 настоящего Закона в форме, позволяющей зафиксировать его прямое согласие на указанные действия. Национальным законодательством могут быть установлены требования о предоставления такого согласия в письменной форме на бумажном носителе либо в форме электронного документа, заверенного электронной подписью.

Согласие субъекта персональных данных распространяется на информационные системы и базы персональных данных, прямо указанные в таком согласии, либо на общедоступный оборот его персональных данных.

Статья 17. Обязательное предоставление персональных данных субъектом персональных данных

Обязательное предоставление персональных данных субъектом персональных данных может быть предусмотрено национальным законодательством в случаях, когда это необходимо для защиты государственной и общественной безопасности, а также при исполнении органом государственной власти (органом местного самоуправления) по запросу или в интересах субъекта персональных данных определенной законом функции, если ее исполнение без предоставления персональных данных (в том числе анкетных) невозможно.

Статья 18. Право субъекта персональных данных на уведомление об обработке персональных данных

Оператор персональных данных либо держатель персональных данных обязан уведомить субъекта персональных данных о намерении выпустить в оборот (начать обработку) его персональные данные в целях получения согласия.

В уведомлении указываются:

- анкетные данные субъекта персональных данных (фамилия, имя, отчество);

- цель оборота или обработки персональных данных;

- исчерпывающий перечень персональных данных, которые планируется выпустить в оборот (обработку);

- правовые основания для оборота (обработки) персональных данных в соответствии с национальным законодательством;

- перечень действий, которые будут совершены с персональными данными;

- круг третьих лиц, которые могут получить доступ к персональным данным;

- сведения об операторе (держателе) персональных данных, который будет осуществлять оборот (обработку) персональных данных (наименование, юридический и фактический адрес юридического лица, органа государственной власти (органа местного самоуправления) или его структурного подразделения; фамилия, имя, отчество, место жительства физического лица);

- срок действия запрашиваемого согласия, а также разъяснение порядка и последствий его отзыва.

Для получения согласия субъекта персональных данных должен быть установлен разумный срок. Неполучение ответа субъекта персональных данных не может означать его согласия на оборот (обработку) персональных данных.

Статья 19. Право субъекта персональных данных на конфиденциальность персональных данных

Субъект персональных данных имеет право на конфиденциальность своих персональных данных, за исключением случаев, когда указанный субъект дал согласие на оборот персональных данных в общедоступных информационных системах, базах персональных данных, либо случаев, прямо предусмотренных национальным законодательством.

Статья 20. Право субъекта персональных данных на отзыв согласия на оборот, обработку персональных данных, обмен персональными данными и доступ к ним

Субъект персональных данных имеет право отозвать свое согласие на оборот, обработку персональных данных, обмен персональными данными и доступ к ним в любое время после его предоставления. Отзыв согласия субъекта персональных данных осуществляется в той же форме, в какой было дано согласие, а при невозможности ее использования - в письменной форме.

Отзыв согласия должен содержать фамилию, имя, отчество субъекта персональных данных, иные предусмотренные национальным законодательством анкетные данные, дату отзыва согласия, сведения о действиях, информационных системах и базах персональных данных, на которые распространяется отзыв согласия.

Право субъекта персональных данных на отзыв согласия может быть ограничено в соответствии с основаниями, указанными в статье 21 настоящего Закона.

Бремя доказывания наличия согласия субъекта персональных данных на оборот, обработку персональных данных, обмен персональными данными, доступ к ним, а также на их сбор или выпуск в оборот возлагается на оператора персональных данных.

Субъект персональных данных имеет право требовать прекращения оборота, обработки персональных данных, обмена персональными данными и доступа к персональным данным, на которые не получено его согласие, а также прекращения оборота персональных данных, который осуществляется с нарушением законодательства и (или) требований конфиденциальности. Национальным законодательством предусматриваются правовые механизмы, обеспечивающие быстрое выполнение такого требования субъекта персональных данных.

Статья 21. Ограничение права субъекта персональных данных на прекращение оборота, обработки персональных данных и доступа к ним

Право субъекта персональных данных на прекращение оборота, обработки персональных данных и доступа к ним может быть ограничено национальным законодательством в случаях, если персональные данные были собраны для обеспечения государственной тайны, обороны и безопасности государства или в целях, предусмотренных национальным законодательством об оперативно-разыскной и иной правоохранительной деятельности, до истечения сроков, установленных национальным законодательством для хранения таких персональных данных.

Право субъекта персональных данных на прекращение оборота, обработки его персональных данных и доступа к ним также может быть ограничено национальным законодательством в случае, если персональные данные содержат информацию о совершении субъектом персональных данных преступления либо о факте осуждения субъекта персональных данных за совершение преступления, до истечения установленных национальным законодательством сроков давности, снятия или погашения судимости либо установления в законном порядке факта отсутствия состава преступления или непричастности субъекта персональных данных к его совершению, в том числе оправдания указанного субъекта в суде.

Статья 22. Права субъекта персональных данных при обработке его персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации

Оборот либо обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных на такое использование его персональных данных. Указанный оборот (обработка) персональных данных признается осуществляемым без предварительного согласия субъекта персональных данных, если оператор (держатель) персональных данных не докажет, что такое согласие было получено. Оператор (держатель) персональных данных обязан немедленно прекратить по требованию субъекта персональных данных оборот и (или) обработку его персональных данных.

Статья 23. Реализация субъектом персональных данных своих прав при принятии решений при полностью автоматизированной обработке персональных данных

В национальном законодательстве должен быть предусмотрен запрет принятия решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных, за исключением случаев, когда субъект персональных данных предоставил свое информированное добровольное согласие на принятие таких решений на основе исключительно автоматизированной обработки его персональных данных.

При этом устанавливается обязанность оператора персональных данных разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и юридические последствия такого решения, предоставить возможность отказа от согласия на принятие решений в результате исключительно автоматизированной обработки персональных данных, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.

Глава 4. ОПЕРАТОР (ДЕРЖАТЕЛЬ) ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 24. Основные права и обязанности оператора (держателя) персональных данных

Оператор (держатель) персональных данных обязан:

- строго следовать требованиям национального, а в определенных случаях также международного законодательства о персональных данных;

- получать персональные данные непосредственно от субъекта персональных данных или с его согласия из других законных источников в порядке, установленном национальным законодательством;

- соблюдать режим конфиденциальности при использовании персональных данных в предусмотренных настоящим Законом случаях;

- обеспечивать сохранность персональных данных, их уточнение, а также соблюдение установленного в нормативном порядке режима доступа к ним;

- сообщать субъекту персональных данных по его требованию информацию о наличии персональных данных о нем, а также сами персональные данные, за исключением случаев обработки персональных данных в целях обеспечения государственной тайны, обороны и безопасности государства, осуществления оперативно-разыскной деятельности и (или) предварительного расследования (судебного процесса).

Оператор персональных данных - юридическое лицо, орган государственной власти (орган местного самоуправления) или его структурное подразделение - документально определяет порядок работы сотрудников, осуществляющих обработку персональных данных и (или) имеющих доступ к обрабатываемым персональным данным в любой форме, а также лиц, несущих юридическую ответственность за соблюдение режима конфиденциальности и сохранность персональных данных.

Оператор (держатель) персональных данных вправе передать персональные данные для обработки (оборота) другому оператору (держателю) персональных данных в случае, если цели использования персональных данных новым оператором (держателем) соответствуют целям получения указанных данных. Передача персональных данных для использования в целях, не соответствующих целям их получения, осуществляется либо с согласия субъекта, либо в случаях, прямо предусмотренных национальным законодательством. При передаче персональных данных другому оператору (держателю) на него возлагается обязанность соблюдать режим конфиденциальности.

Статья 25. Устранение нарушений законодательства в области оборота, хранения, обработки персональных данных

При выявлении случаев неправомерного оборота (обработки) персональных данных при обращении субъекта персональных данных либо уполномоченного органа по защите прав субъектов персональных данных оператор (держатель) персональных данных обязан осуществить блокирование персональных данных, оборот которых осуществляется неправомерно, или, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора (держателя), обеспечить их блокирование с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных в результате исполнения запроса субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных оператор персональных данных обязан осуществить блокирование таких персональных данных или, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора (держателя), обеспечить их блокирование с момента получения запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных путем получения сведений, представленных субъектом персональных данных либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов оператор (держатель) персональных данных обязан уточнить персональные данные или, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора, обеспечить их уточнение в течение разумного срока со дня представления таких сведений и снять блокирование персональных данных.

При выявлении случаев неправомерной обработки персональных данных, осуществляемой оператором (держателем) или лицом, действующим по его поручению, оператор (держатель) обязан незамедлительно прекратить неправомерную обработку персональных данных или обеспечить ее прекращение лицом, действующим по его поручению. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в тот же срок обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных, а в случае, если запрос был направлен уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае достижения цели обработки персональных данных оператор (держатель) обязан прекратить обработку персональных данных или, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора (держателя), обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором между оператором и субъектом персональных данных либо национальным законодательством.

В случае отзыва субъектом персональных данных согласия на оборот (обработку) его персональных данных оператор (держатель) обязан незамедлительно прекратить их оборот (обработку) или обеспечить прекращение их оборота (обработки), если оборот (обработка) персональных данных осуществляется другим лицом, действующим по поручению оператора (держателя). В случае если сохранение персональных данных более не требуется для целей обработки персональных данных, оператор персональных данных обязан также уничтожить такие персональные данные или, если оборот (обработка) персональных данных осуществляется другим лицом, действующим по поручению оператора (держателя), обеспечить их уничтожение в разумный срок, не превышающий 30 календарных дней с момента получения указанного отзыва, если иное не предусмотрено договором между оператором и субъектом персональных данных либо национальным законодательством.

При отсутствии возможности уничтожения персональных данных в течение установленного срока оператор (держатель) осуществляет блокирование таких персональных данных или, если оборот (обработка) персональных данных осуществляется другим лицом, действующим по поручению оператора (держателя), обеспечивает их блокирование и уничтожение в срок не более чем шесть месяцев, если иной срок не установлен национальным законодательством.

Статья 26. Лицензирование деятельности, связанной с обработкой, оборотом, защитой персональных данных

Национальным законодательством может быть установлена обязанность по лицензированию деятельности, связанной с обработкой, оборотом и (или) хранением персональных данных или отдельных категорий персональных данных, а также с производством и (или) обслуживанием средств обеспечения конфиденциальности персональных данных.

Статья 27. Обеспечение оператором и держателем персональных данных конфиденциальности и безопасности персональных данных

Оператор (держатель) персональных данных при обороте и (или) обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним (если персональные данные не являются общедоступными), уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных или с их использованием.

Оператор (держатель) персональных данных в целях обеспечения безопасности персональных данных:

- определяет угрозы безопасности персональных данных при их обработке или обороте;

- применяет необходимые для выполнения установленных законодательством требований к защите персональных данных организационные и технические меры по обеспечению безопасности персональных данных при их обработке или обороте;

- применяет установленную в национальном законодательстве процедуру оценки соответствия средств защиты информации, если это предусмотрено национальным законодательством;

- производит оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы, базы персональных данных;

- осуществляет учет машинных (в том числе электронных) носителей персональных данных и контроль за их использованием;

- выявляет факты неправомерного доступа к персональным данным и принимает меры для восстановления режима конфиденциальности и безопасности персональных данных, а также для устранения вреда, нанесенного в результате неправомерного доступа к персональным данным;

- осуществляет восстановление персональных данных, модифицированных или уничтоженных вследствие неправомерного доступа к ним;

- устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе, базе персональных данных, а также в определенных законом случаях обеспечивает регистрацию и учет всех действий, совершаемых с персональными данными в информационной системе, базе персональных данных;

- осуществляет контроль за принимаемыми мерами по обеспечению безопасности персональных данных и соответствующего уровня защищенности информационных систем, баз персональных данных.

Статья 28. Исполнение оператором (держателем) персональных данных требования субъекта персональных данных о прекращении оборота либо обработки персональных данных

Оператор (держатель) персональных данных обязан исполнить требование субъекта персональных данных о прекращении оборота (обработки) его персональных данных, за исключением случаев, когда такое требование не может быть исполнено в силу положений настоящего Закона или соответствующих ему положений национального законодательства, в том числе:

- прекратить оборот (в том числе публичный) персональных данных путем блокирования доступа к ним третьих лиц либо уничтожения персональных данных;

- перевести персональные данные в режим архивного хранения, лишив третьих лиц возможности доступа к ним;

- прекратить выдачу ссылок на персональные данные, в том числе в системах поиска персональных данных.

Оператор (держатель) персональных данных обязан предоставлять публичную информацию о способе и порядке направления требований субъектов персональных данных о прекращении оборота (обработки) персональных данных, в том числе на официальном сайте оператора (держателя) персональных данных в Интернете.

Требование субъекта персональных данных о прекращении оборота персональных данных должно быть исполнено в максимально короткий срок.

При получении требования субъекта персональных данных о прекращении оборота персональных данных оператор (держатель) персональных данных вправе:

- провести проверку полноты предоставленных субъектом персональных данных сведений, обязательность предоставления которых установлена национальным законодательством;

- однократно запросить у субъекта персональных данных дополнительную информацию при выявлении факта неполноты предоставленных сведений. При этом срок исполнения требования субъекта персональных данных приостанавливается до момента получения от него дополнительной информации;

- отказать субъекту персональных данных в удовлетворении его требования в случае сохраняющейся неполноты предоставленных сведений.

Исполнение требования о прекращении оборота (обработки) персональных данных должно исключать возможность доступа к персональным данным, оборот (обработка) которых прекращен, третьих лиц, находящихся в юрисдикции государства, на территории которого находится оператор (держатель) персональных данных и (или) субъект персональных данных.

За неисполнение или ненадлежащее исполнение требования субъекта персональных данных о прекращении оборота (обработки) персональных данных национальным законодательством устанавливается ответственность, уровень которой достаточен для понуждения операторов (держателей) персональных данных, а также операторов систем поиска персональных данных добросовестно исполнять требования субъектов персональных данных.

Статья 29. Обезличивание персональных данных и связанные с этим правовые последствия

Для проведения статистических, социологических, медицинских и других аналогичных исследований оператор (держатель) персональных данных обязан обезличить используемые персональные данные, придав им форму анонимных сведений. При этом правовой режим, установленный для защиты персональных данных, отменяется.

Обезличивание должно исключать возможность идентификации субъекта персональных данных. Режим, установленный для защиты персональных данных, не отменяется в случае, если после совершения действий, направленных на обезличивание, возможность идентификации субъекта персональных данных сохраняется.

Статья 30. Обязанности должностных лиц и иных лиц, осуществляющих обработку персональных данных, в связи с получением доступа к персональным данным

Лица, которым персональные данные становятся известны благодаря их должностным обязанностям или иным обязанностям, связанным с участием указанных лиц в обороте (обработке) персональных данных, не являющихся общедоступными, принимают на себя обязательства обеспечить конфиденциальность персональных данных и несут ответственность за их исполнение. Обязательства остаются в силе и после окончания работы с персональными данными в течение срока сохранения режима конфиденциальности.

Статья 31. Блокирование и уничтожение персональных данных операторами (держателями) персональных данных

Блокирование и уничтожение персональных данных операторами (держателями) персональных данных осуществляются:

- при неправомерном сборе, выпуске в оборот, использовании, обороте персональных данных, в том числе третьими лицами с использованием возможностей, предоставляемых оператором в информационных системах;

- по истечении сроков хранения персональных данных, если национальное законодательство не предусматривает возможности их хранения в качестве архивных документов;

- при достижении целей сбора и (или) оборота персональных данных, если национальное законодательство не предусматривает возможности их хранения в качестве архивных документов.

Глава 5. ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ ОБОРОТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Статья 32. Органы по защите прав субъектов персональных данных

Национальным законодательством устанавливается государственный орган, уполномоченный выполнять функции надзора и контроля за соблюдением законодательства о персональных данных, защиты прав субъектов персональных данных, в том числе по запросам субъектов персональных данных.

Статья 33. Права и обязанности уполномоченных органов по защите прав субъектов персональных данных

Уполномоченные органы по защите прав субъектов персональных данных имеют следующие права и обязанности:

- право запрашивать у физических или юридических лиц, а также органов государственной власти (органов местного самоуправления) и их структурных подразделений информацию, необходимую для реализации полномочий, и безвозмездно получать такую информацию;

- право осуществлять проверку сведений, содержащихся в уведомлении о намерении выпуска в оборот (обработки) персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

- право требовать от оператора персональных данных уточнения, блокирования либо уничтожения недостоверных или полученных незаконным путем персональных данных;

- право ограничивать доступ к информации, оборот (обработка) которой осуществляется с нарушением законодательства о персональных данных, в административном порядке, установленном национальным законодательством;

- право принимать в установленном национальным законодательством порядке иные меры по приостановлению или прекращению оборота (обработки) персональных данных, осуществляемого с нарушением требований национального законодательства;

- право обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;

- право направлять заявление в орган, осуществляющий лицензирование деятельности оператора (держателя) персональных данных, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном национальным законодательством порядке в случае выявления существенных нарушений в его деятельности в сфере персональных данных, в том числе если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия субъекта персональных данных;

- обязанность по запросу направлять в государственный орган, уполномоченный в области обеспечения национальной безопасности и (или) технической защиты информации, сведения, необходимые для его эффективной деятельности;

- обязанность направлять в правоохранительные органы в соответствии с подведомственностью материалы для решения вопроса о возбуждении уголовных дел либо дел об административных правонарушениях, связанных с нарушением прав субъектов персональных данных, либо при наличии соответствующих полномочий самостоятельно привлекать нарушителей к ответственности;

- обязанность организовывать в соответствии с требованиями национального законодательства защиту прав субъектов персональных данных;

- обязанность рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с оборотом (обработкой) персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;

- обязанность вести реестр операторов (держателей) персональных данных, если наличие такого реестра предусмотрено национальным законодательством;

- обязанность осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;

- обязанность принимать в установленном национальным законодательством порядке по представлению государственного органа, уполномоченного в области обеспечения национальной безопасности и (или) технической защиты информации, меры по приостановлению или прекращению оборота (обработки) персональных данных;

- обязанность информировать государственные органы, а также субъектов персональных данных по их запросам о положении дел в области защиты прав субъектов персональных данных;

- иные права и обязанности, предусмотренные национальным законодательством.

Статья 34. Программно-техническая защита персональных данных

Для защиты персональных данных, сбор, хранение и распространение которых осуществляются в электронной форме, национальное законодательство предусматривает использование программно-технических средств защиты, препятствующих неправомерному доступу к персональным данным, копированию, изменению, распространению и (или) уничтожению персональных данных. Для специальных категорий персональных данных национальным законодательством предусматривается обязательное использование таких средств, прошедших сертификацию в соответствии с национальным законодательством.

Статья 35. Правовые механизмы защиты персональных данных

Национальное законодательство предусматривает эффективные правовые механизмы защиты персональных данных и законных интересов субъектов и операторов персональных данных. Национальным законодательством устанавливаются требования к сбору, обороту, распространению, предоставлению, сохранению целостности и неприкосновенности, прекращению оборота персональных данных, обмену персональными данными, эффективные механизмы приема и обработки жалоб в отношении действий с персональными данными, должный уровень ответственности за нарушение законодательства о персональных данных (в том числе за нарушение правомерных требований субъектов персональных данных).

Статья 36. Блокирование и уничтожение персональных данных

Блокирование персональных данных осуществляется в соответствии с национальным законодательством при выявлении факта нарушения правил их сбора и (или) оборота.

Уничтожение персональных данных производится по истечению сроков их хранения и (или) при достижении целей, для которых были собраны персональные данные, а также при неправомерном хранении (использовании) персональных данных физическими лицами, юридическими лицами, органами государственной власти (органами местного самоуправления) или их структурными подразделениями.

Статья 37. Ответственность за нарушение требований законодательства о персональных данных

За нарушение требований законодательства о персональных данных национальным законодательством устанавливается уголовная, административная, гражданская ответственность, соразмерная тяжести нанесенного вреда.