Макс Каневский - Мобильный дозор. ОSMыSливая политику
2) цель обработки данных и правовое обоснование такой цели;
3) предполагаемые пользователи персональных данных;
4) сведения о правах субъекта персональных данных, установленных настоящим Федеральным законом.
Если обязанность предоставления персональных данных установлена федеральным законом, оператор должен сообщить субъекту персональных данных о правовых последствиях отказа предоставить персональные данные.
2. В случае проведения научных, статистических и иных исследований оператор обязан осуществить обезличивание получаемых персональных данных.
Защита результатов обработки обезличенных данных в случае их отнесения к сведениям, составляющим государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
Статья 16. Регистрация информационных систем персональных данных.
1. Оператор до начала обработки персональных данных обязан зарегистрировать информационную систему персональных данных в уполномоченном органе по защите прав субъектов персональных данных.
Обработка персональных данных без регистрации информационной системы персональных данных не допускается, за исключением случаев, установленных в настоящей статье.
2. Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка исключительно персональных данных:
1) относящихся к государственной тайне в соответствии с законодательством Российской Федерации о государственной тайне;
2) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
3) необходимых для достижения законных целей некоммерческих организаций и их объединений и относящихся к членам этих организаций и их объединений, при условии, что персональные данные не раскрываются третьей стороне без согласия субъектов персональных данных;
4) относящихся к общедоступной информации;
5) включающих только фамилию, имя и отчество субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию оператора или в иных аналогичных целях.
Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка персональных данных без использования средств автоматизации, если нормативным правовым актом Россииской Федерации установлены иные требования, обеспечивающие целостность и сохранность персональных данных при их обработке в такой информационной системе.
Не требуется регистрация информационной системы персональных данных, если условием получения лицензии на осуществление оператором деятельности, предусматривающей обработку персональных данных, является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных.
Правительство Российской Федерации вправе установить дополнительные случаи, при которых не требуется регистрация информационных систем персональных данных применительно к определенным информационным системам персональных данных и (или) максимальному числу субъектов, персональные данные которых обрабатываются в таких информационных системах.
3. Регистрация информационных систем персональных данных производится бесплатно.
4. Регистрация информационной системы персональных данных осуществляется на основании заявления оператора, в котором должна содержаться следующая информация:
1) сведения, идентифицирующие оператора;
2) цель обработки персональных данных;
3) категории персональных данных, обрабатываемых в такой информационной системе;
4) категория субъектов, персональные данные которых обрабатываются в такой информационной системе;
5) правовое основание создания информационной системы персональных данных;
6) общее описание мер по обеспечению целостности и сохранности персональных данных, которые оператор обязуется осуществлять при эксплуатации информационной системы персональных данных;
7) дата начала обработки персональных данных.
Указанная информация включается в реестр информационных систем персональных данных.
5. Заявление о регистрации информационной системы персональных данных должно быть направлено в письменной форме и подписано уполномоченным лицом (либо в электронной форме и подписано электронной подписью, если предусмотрена такая возможность).
6. В случае возникновения изменений в сведениях, содержащихся в заявлении о регистрации информационной системы персональных данных, оператор в течение 3 дней с даты возникновения таких изменений письменно уведомляет уполномоченный орган по защите прав субъектов персональных данных о произошедших изменениях.
7. Порядок регистрации информационных систем персональных данных и особенности такой регистрации для информационных систем персональных данных органов государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка устанавливаются Правительством Российской Федерации.
Статья 17. Требования к обеспечению целостности и сохранности персональных данных.
1. Оператор обязан принимать необходимые меры технического (программно-технического) и организационного характера, в том числе с использованием шифровальных (криптографических) средств, которые гарантировали бы целостность персональных данных и их сохранность от случайных или несанкционированных уничтожения, утраты, доступа, изменения или раскрытия. 2. С учетом требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных разрабатывает и утверждает требования к процедурам хранения, обмена и защиты персональных данных и иные условия, которым должны отвечать информационные системы персональных данных.
Статья 18. Особенности регистрации информационных систем персональных данных, реализующих требования к обеспечению целостности и сохранности персональных данных с помощью шифровальных (криптографических) средств.
1. Информационные системы персональных данных, в которых требования к обеспечению целостности и сохранности персональных данных реализуются с помощью сертифицированных шифровальных (криптографических) средств, регистрируются в упрощенном порядке.
2. Упрощенный порядок регистрации информационных систем персональных данных устанавливается Правительством Российской Федерации.
Статья 19. Обязанности оператора по уточнению, блокированию и уничтожению персональных данных.
1. В случае выявления недостоверности персональных данных или неправомерности действий с ними оператора по заявлению субъекта персональных данных оператор обязан заблокировать его персональные данные с момента получения такого заявления на период его проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор обязан на основании документов, представленных субъектом персональных данных, исправить их и снять блокирование.
3. В случае установления неправомерности действий с персональными данными либо достижения цели их обработки оператор обязан уничтожить соответствующие данные в срок, не превышающий 3 дней с даты такого установления, и официально уведомить об этом субъекта персональных данных, если иное не предусмотрено федеральными законами.
Статья 20. Обязанности оператора персональных данных, касающиеся ответа на запрос субъекта персональных данных.
1. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение 10 дней с даты получения запроса в порядке, предусмотренном статьей 12 настоящего Федерального закона.
2. В случае отказа в предоставлении субъекту персональных данных по его требованию информации о наличии персональных данных о нем, а также самих персональных данных оператор обязан дать письменный мотивированный ответ, содержащий ссылку на положение, указанное в статье 12 настоящего Федерального закона или в иных федеральных законах, являющееся основанием для такого отказа, в срок, не превышающий 7 дней с даты получения запроса субъекта персональных данных.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований по защите персональных данных
Статья 21. Уполномоченный орган по защите прав субъектов персональных данных.
1. Правительство Российской Федерации определяет уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона.