Конференция по вопросам информационной безопасности Суббота, 23.09.2017, 23:02
Меню сайта

Скачать

Поиск

Главная » Статьи » Законодательство о ПДн

Законопроект о ПДн 2010
Глобальные изменения в ФЗ "О персональных данных"


Вносится депутатом
Государственной Думы
Резником В.М.

Проект № ____________





ФЕДЕРАЛЬНЫЙ ЗАКОН

«О внесении изменений в Федеральный закон «О персональных данных»

Принят Государственной Думой 18 сентября 2009 года


Статья 1
Внести в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451) следующие изменения:
1) в статьей 1:
а) часть 1 изложить в следующей редакции:
«1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами.»;
б) пункт 3 части 2 исключить;
в) пункт 4 части 2 считать пунктом 3;
2) в статье 3:
а) пункт 2 изложить в следующей редакции:
«оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, осуществляющие обработку персональных данных, а также определяющие цели, содержание и порядок обработки персональных данных;»;
б) пункт 4 изложить в следующей редакции:
«4) распространение персональных данных - действия, направленные на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях, информационных системах, или предоставление доступа к персональным данным каким-либо иным способом;»;
в) пункт 5 исключить;
г) пункты 6 – 9 считать соответственно пунктами 5 – 8;
д) пункт 10 считать пунктом 9 и изложить его в следующей редакции:
«9) конфиденциальность персональных данных – условие обработки персональных данных, не допускающее их распространения;»;
е) пункт 11 считать пунктом 10 и изложить его в следующей редакции:
«10) трансграничная передача персональных данных – передача персональных данных через Государственную границу Российской Федерации;»
ж) пункт 12 считать пунктом 11 и изложить его в следующей редакции:
«11) общедоступные персональные данные – персональные данные, распространение которых осуществляется субъектом персональных данных или с его согласия, либо персональные данные на которые в соответствии с федеральными законами не распространяется требование о соблюдения конфиденциальности, или подлежащие обязательному опубликованию.»;
3) статью 4 изложить в следующей редакции:
«Статья 4. Законодательство Российской Федерации в области
персональных данных

1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других федеральных законов, определяющих случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных.
2. Федеральными законами, определяющими случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных, государственные органы, в пределах своих полномочий, могут наделяться правом принимать нормативные правовые акты по отдельным вопросам обработки персональных данных. Нормативные правовые акты государственного органа не могут содержать положения, ограничивающие права субъектов персональных данных.
3. Федеральными законами могут предусматриваться случаи обязательной обработки персональных данных, в том числе обязательного предоставления субъектом персональных данных своих персональных данных, в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
4. Федеральный закон, определяющий случаи обязательной обработки персональных данных должен устанавливать:
1) цель обработки персональных данных;
2) условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке;
3) объем и перечень обрабатываемых персональных данных;
4) соблюдение условия конфиденциальности обрабатываемых персональных данных или определение порядка их распространения;
5) порядок обработки персональных данных, в том числе ее способы и содержание, форма персональных данных, срок обработки и хранения, круг лиц осуществляющих обработку, возможность принятия решения на основании исключительно автоматизированной обработки персональных данных, порядок его принятия, и возможные юридические последствия такого решения, а также возможность привлечения для обработки других лиц или передачи персональных данных другим операторам;
6) перечень и характер мер, принимаемых оператором для обеспечения безопасности обрабатываемых персональных данных;
7) права и обязанности оператора и субъекта персональных данных, в том числе возможность и последствия отказа субъекта персональных данных предоставить свои персональные данные.
5. Федеральными законами могут устанавливаться особенности обработки персональных данных при установлении и реализации договорных отношений или возлагаться обязанности, связанные с обработкой персональных данных.
6. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.»;
4) часть 1 статьи 5 изложить в следующей редакции:
«1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей, способов, содержания и порядка обработки персональных данных;
2) добросовестности оператора и субъекта персональных данных;
3) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
4) соответствия объема, характера обрабатываемых персональных данных, и способов обработки персональных данных целям обработки персональных данных;
5) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
6) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.»;
5) статью 6 изложить в следующей редакции:
«Статья 6. Случаи обработки персональных данных

1. Обработка персональных данных может осуществляться оператором в следующих случаях:
1) установления или реализации договорных отношений, предполагающих обработку персональных данных;
2) выполнения требований федеральных законов, определяющих случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных;
3) удовлетворения собственных потребностей, предполагающее обработку персональных данных при условии, что при этом не нарушаются права субъекта персональных данных.
2. Обработка персональных данных при установлении и реализации договорных отношений должна осуществляться на основе согласия субъекта персональных данных на обработку его персональных данных и регулироваться соглашением, достигнутым между субъектом персональных данных и оператором по вопросам обработки персональных данных (далее - соглашение), если иное не установлено федеральным законом.
3. Соглашение предполагает урегулирование следующих аспектов обработки персональных данных:
1) цель обработки персональных данных;
2) объем и перечень обрабатываемых персональных данных;
3) соблюдение условия конфиденциальности обрабатываемых персональных данных или определение порядка их распространения;
4) порядок обработки персональных данных, в том числе ее способы и содержание, форма персональных данных, срок обработки и хранения, круг лиц осуществляющих обработку, возможность принятия решения на основании исключительно автоматизированной обработки персональных данных, порядок его принятия, и возможные юридические последствия такого решения, а также возможность привлечения для обработки других лиц или передачи персональных данных другим операторам, для установления или реализации иных договорных отношений;
5) перечень и характер мер, принимаемых оператором для обеспечения безопасности обрабатываемых персональных данных;
6) права и обязанности оператора и субъекта персональных данных, в том числе связанные с отзывом субъектом персональных данных согласия на обработку его персональных данных или прекращением оператором обработки персональных данных;
7) последствия отзыва субъектом персональных данных согласия на обработку его персональных данных.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
5. В случае, если в соответствии с законодательством Российской Федерации деятельность оператора предполагает соблюдение им профессиональной тайны, условия соглашения не могут снимать с него обязанность по соблюдению этой тайны.
6. Форма заключения соглашения выбирается по обоюдному согласию субъекта персональных данных и оператора, если иное не установлено федеральным законом. Соглашение может быть заключено в устной форме или посредством совершения конклюдентных действий, либо путем акцепта субъектом персональных данных условий договора, оферта которого предложена оператором.
7. Оператор вправе продекларировать условия соглашения путем его размещения в форме, доступной для ознакомления неограниченному кругу лиц, или путем его предоставления по требованию лица намерившегося вступить в отношения с оператором.»;
6) часть 2 статьи 7 дополнить пунктом 3 следующего содержания:
«3) в случаях, определенных соглашением субъекта персональных данных и оператора.»;
7) статью 8 изложить в следующей редакции:
«Статья 8. Общедоступные источники персональных данных

1. Общедоступными источниками персональных данных являются источники информации, выбранные субъектом персональных данных для распространения своих персональных данных, либо источники информации, на которые в соответствии с федеральными законами не распространяется требование о соблюдении конфиденциальности информации, содержащейся в них, или возложена обязательность их использования для опубликования персональных данных.
2. К обработке персональных данных осуществляемой в связи с формированием и с использованием общедоступных источников персональных данных применяются требования статьи 6 настоящего Федерального закона.»;
8) в статье 9:
а) части 1 и 2 изложить в следующей редакции:
«1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 3 статьи 4. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных, за исключением случаев установленных федеральными законами.
2. Лицо, предоставляющее персональные данные иного субъекта персональных данных должно подтвердить свои полномочия по передачи таких персональных данных или представить подтверждение получения согласия субъекта персональных данных на обработку его персональных данных, за исключением случаев установленных федеральными законами.»;
б) часть 4 изложить в следующей редакции:
«4. В случаях, предусмотренных настоящим Федеральным законом и иными федеральными законами, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:»;
9) в статье 10:
а) пункт 1 части 2 изложить в следующей редакции:
«1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных или обработка специальных категорий персональных данных осуществляется на основе соглашения;»;
б) часть 4 изложить в следующей редакции:
«4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.»;
10) в статье 12:
а) часть 1 изложить в следующей редакции:
«1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что получателем персональных данных или иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается защита прав субъектов персональных данных.»;
б) в части 2 слово «адекватную» исключить;
в) в части 3 слово «адекватной» исключить;
г) пункт 1 части 3 части изложить в следующей редакции:
«1) наличия согласия в письменной форме субъекта персональных данных или в случаях определенных соглашением;»;
11) в статье 13:
а) части 1 и 2 изложить в следующей редакции:
«1. В случаях, установленных федеральными законами, определяющими случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных, Государственные органы, муниципальные органы вправе создавать в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами, определяющими случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных, могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.»;
б) часть 4 исключить;
12) часть 5 статьи 14 изложить в следующей редакции:
«5. Право субъекта персональных данных на доступ к своим персональным данным может быть ограничено федеральными законами в случае, если:»;
13) в статье 16:
а)часть 2 изложить в следующей редакции:
«2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях определенных соглашением, а также в случаях предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.»;
б) часть 4 изложить в следующей редакции:
«4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения, если иное не определено соглашением.»;
14) часть1 статьи 17 изложить в следующей редакции:
«1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона, иных федеральных законов, соглашения, или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.»;
15) в статье 18:
а) часть 1 статьи 18 изложить в следующей редакции:
«1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона если иное не определено соглашением или федеральным законом.»;
б) часть 3 статьи 18 изложить в следующей редакции:
«3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными или персональные данные были предоставлены на основании соглашения для установления или реализации договорных отношений, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:»;
в) пункт 4 части 3 изложить в следующей редакции:
«4) источник получения персональных данных.»;
16) в статье 19:
а) части 1 и 2 изложить в следующей редакции:
«1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. В случая установленных федеральными законами, определяющими случаи обязательной обработки персональных данных и (или) особенности обработки персональных данных, Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.»;
б) дополнить часть5 следующего содержания:
«5. При обработке персональных данных на основе согласия перечень мер по обеспечению безопасности персональных данных при их обработке определяется соглашением оператора и субъекта персональных данных.»;
17) часть 1 статьи 20 изложить в следующей редакции:
«1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя, если иное не установлено федеральным законом или не определено соглашением.»;
18) в статье 21:
а) в части 3 слова «Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.» исключить;
б) часть 4 изложить в следующей редакции:
«4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами или не определено соглашением.»;
в) в части 5 слова «Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.» исключить.
19) пункт 6 части 5 статьи 23 изложить в следующей редакции:
«6) информировать государственные органы, а также субъектов персональных данных о положении дел в области защиты прав субъектов персональных данных;»;
20) часть 3 статьи 25 изложить в следующей редакции:
«3. Порядок обработки персональных данных с использованием информационных систем персональных данных, созданных до дня вступления в силу настоящего Федерального закона, должен быть приведен в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2011 года.».
Статья 2

Настоящий Федеральный закон вступает в силу с 1 июня 2010 года.



Президент
Российской Федерации
Д. Медведев
Категория: Законодательство о ПДн | Добавил: Kostik (19.04.2010)
Просмотров: 1945 | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Copyright Ivanov Konstantin © 2017Используются технологии uCoz