Действующий
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Статья 13.1. Особенности обработки персональных данных, полученных в результате обезличивания персональных данных, при формировании составов данных и предоставления доступа к ним
1. Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий (далее - уполномоченный орган в сфере регулирования информационных технологий), в целях повышения эффективности государственного и муниципального управления, а также в иных целях, предусмотренных федеральными законами, указанными в части 1 статьи 4 настоящего Федерального закона, в случаях, определяемых Правительством Российской Федерации, формирует составы персональных данных, полученных в результате обезличивания персональных данных, сгруппированные по определенному признаку, при условии, что последующая обработка таких данных не позволит определить принадлежность таких данных конкретному субъекту персональных данных (далее - составы данных). Не допускается формирование составов данных из персональных данных, указанных в статье 10 настоящего Федерального закона, за исключением персональных данных, предусмотренных частью 2.1 статьи 10 настоящего Федерального закона, и из персональных данных, указанных в статье 11 настоящего Федерального закона.
2. Для формирования составов данных уполномоченный орган в сфере регулирования информационных технологий направляет операторам, за исключением случаев, предусмотренных статьей 6.2 Федерального закона от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве, об особенностях обработки персональных данных при формировании региональных составов данных и предоставления доступа к региональным составам данных и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных", требование о предоставлении персональных данных, полученных в результате обезличивания персональных данных, в определяемую Правительством Российской Федерации государственную информационную систему уполномоченного органа в сфере регулирования информационных технологий. Указанное требование должно содержать перечень персональных данных, полученных в результате обезличивания персональных данных, которые предоставляются оператором для формирования составов данных, а также сроки их предоставления.
3. Оператор после получения требования, указанного в части 2 настоящей статьи, обязан обезличить обрабатываемые им персональные данные в соответствии с требованиями к обезличиванию персональных данных, методами обезличивания персональных данных и порядком обезличивания персональных данных, которые устанавливаются Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности (далее - требования к обезличиванию). Выполнение оператором требований к обезличиванию должно исключить наличие в персональных данных, полученных в результате обезличивания, информации, доступ к которой ограничен федеральными законами.
4. Оператор в соответствии с требованием, указанным в части 2 настоящей статьи, обязан предоставить персональные данные, полученные в результате обезличивания персональных данных, в государственную информационную систему уполномоченного органа в сфере регулирования информационных технологий. Порядок взаимодействия уполномоченного органа в сфере регулирования информационных технологий с операторами и порядок взаимодействия государственной информационной системы уполномоченного органа в сфере регулирования информационных технологий и информационных систем операторов устанавливаются Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности. Уполномоченный орган в сфере регулирования информационных технологий обязан обеспечивать конфиденциальность поступивших от операторов персональных данных, полученных в результате обезличивания персональных данных.
5. Уполномоченный орган в сфере регулирования информационных технологий после поступления от операторов персональных данных, полученных в результате обезличивания персональных данных, формирует составы данных в государственной информационной системе уполномоченного органа в сфере регулирования информационных технологий в соответствии с порядком формирования составов данных, устанавливаемым Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
6. Доступ к составам данных предоставляется пользователям государственной информационной системы уполномоченного органа в сфере регулирования информационных технологий в соответствии с порядком, устанавливаемым Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
7. Пользователями государственной информационной системы уполномоченного органа в сфере регулирования информационных технологий являются:
1) государственные органы и подведомственные им организации, муниципальные органы и подведомственные им организации, органы государственных внебюджетных фондов;
2) граждане Российской Федерации и российские юридические лица, которые соответствуют следующим требованиям:
а) сведения о гражданине Российской Федерации или юридическом лице внесены в реестр операторов в соответствии со статьей 22 настоящего Федерального закона;
б) юридическое лицо является российским юридическим лицом, которое, если иное не предусмотрено международным договором Российской Федерации, находится под контролем Российской Федерации, и (или) субъекта Российской Федерации, и (или) муниципального образования, и (или) гражданина Российской Федерации, не имеющего гражданства другого государства, и (или) контролируемых ими совместно или по отдельности лиц. При этом под контролем понимается возможность определять решения, принимаемые юридическим лицом, в силу наличия права прямо или косвенно распоряжаться более чем пятьюдесятью процентами общего количества голосов, приходящихся на голосующие акции (доли), составляющие уставный капитал данного юридического лица;
в) в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице;
г) сведения о гражданине Российской Федерации или юридическом лице, его единоличном исполнительном органе, членах коллегиального исполнительного органа не включены в перечень организаций и физических лиц, в отношении которых имеются сведения об их причастности к экстремистской деятельности или терроризму, или в перечни организаций и физических лиц, связанных с террористическими организациями и террористами или с распространением оружия массового уничтожения, указанные в Федеральном законе от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма";
д) отсутствие у гражданина Российской Федерации или единоличного исполнительного органа юридического лица гражданства иностранного государства;
е) отсутствие у гражданина Российской Федерации или единоличного исполнительного органа юридического лица неснятой или непогашенной судимости за совершение преступления;
ж) гражданин Российской Федерации или единоличный исполнительный орган юридического лица не привлекался в течение пяти лет, предшествующих дню предоставления доступа к государственной информационной системе уполномоченного органа в сфере регулирования информационных технологий, к уголовной ответственности в соответствии со статьями 183, 272, 273, 274.1, 283 и 283.1 Уголовного кодекса Российской Федерации.
8. Порядок проверки соответствия пользователей государственной информационной системы уполномоченного органа в сфере регулирования информационных технологий требованиям, указанным в части 7 настоящей статьи, устанавливается Правительством Российской Федерации по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
9. Доступ к составам данных, сформированным из персональных данных, полученных в результате обезличивания персональных данных, переданных операторами, не являющимися государственными органами и подведомственными им организациями, муниципальными органами и подведомственными им организациями, органами государственных внебюджетных фондов, в случае, если такие персональные данные собраны, уточнены (обновлены, изменены) указанными операторами в течение трех лет до дня предоставления в государственную информационную систему уполномоченного органа в сфере регулирования информационных технологий, предоставляется только пользователям, указанным в пункте 1 части 7 настоящей статьи. Пользователям, указанным в пункте 2 части 7 настоящей статьи, доступ к таким составам данных предоставляется по истечении одного года со дня предоставления персональных данных, полученных в результате обезличивания персональных данных, из которых они сформированы, в государственную информационную систему уполномоченного органа в сфере регулирования информационных технологий.
10. Обработка составов данных пользователями государственной информационной системы уполномоченного органа в сфере регулирования информационных технологий осуществляется только в указанной информационной системе. Не допускаются запись, извлечение, передача (распространение, предоставление, доступ) составов данных из государственной информационной системы уполномоченного органа в сфере регулирования информационных технологий.
11. Не допускаются обработка составов данных и получение результатов обработки составов данных, если использование таких составов данных и результатов их обработки может повлечь причинение вреда жизни, здоровью людей, оскорбление нравственности, нарушение прав и законных интересов граждан и организаций, причинение вреда (ущерба) окружающей среде, обороне страны и безопасности государства, объектам культурного наследия, иным охраняемым законом ценностям. В случае, если использование результатов обработки составов данных может повлечь причинение вреда обороне страны и безопасности государства, федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, вправе принять решение о запрете предоставлять такие результаты обработки составов данных.
12. Не допускается предоставление результатов обработки составов данных иностранным юридическим лицам, иностранным организациям, не являющимся юридическими лицами, иностранным гражданам и лицам без гражданства, за исключением случаев, определенных международным договором Российской Федерации, федеральным законом, решением Президента Российской Федерации.
1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в части 7 настоящей статьи, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 настоящего Федерального закона;
8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;