5) обработка персональных данных, относящихся к состоянию здоровья, требуется в медицинских целях лицу, профессионально занимающемуся медицинской деятельностью и обязанному в соответствии с законодательством Российской Федерации сохранять профессиональную тайну;
6) обработка персональных данных, относящихся к судимости, осуществляется органами государственной власти Российской Федерации в сфере обороны страны, безопасности государства и охраны правопорядка при соблюдении права на неприкосновенность частной жизни.
3. Обработка персональных данных, относящихся к лицам, совершившим административные правонарушения или преступления, может осуществляться помимо органов, указанных в пункте 6 части 2 настоящей статьи, иными органами государственной власти в случае, если такое полномочие предоставлено им законом.
4. Обработка особых категорий персональных данных, производившаяся в случаях, допускаемых частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если исчезают причины, вследствие которых производилась обработка.
При этом оператор обязан произвести уничтожение особых категорий персональных данных, если субъект персональных данных не дает согласия на их хранение в информационной системе персональных данных оператора.
Статья 10. Передача персональных данных.
1. Передача персональных данных оператору третьими лицами, за исключением лиц, указанных в частях 4 и 5 статьи 8 настоящего Федерального закона, а равно передача персональных данных оператором любому третьему лицу допускаются только с письменного согласия субъекта персональных данных.
2. Согласие субъекта персональных данных на передачу его персональных данных не требуется, если:
1) передача персональных данных необходима для выполнения задач, возложенных на органы государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка в случаях, предусмотренных федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации;
2) передаются общедоступные персональные данные;
3) персональными данными обмениваются органы государственной власти и (или) органы местного самоуправления для выполнения возложенных на них функций при соблюдении требований, установленных настоящим Федеральным законом к информационным системам персональных данных указанных органов;
4) передача персональных данных необходима в целях сохранения жизни и здоровья субъекта персональных данных, а получение его согласия физически невозможно.
3. Согласие на передачу персональных данных может быть отозвано субъектом персональных данных.
В случае отзыва согласия субъекта персональных данных персональные данные не передаются, а третьи лица, которым стало известно о таком отзыве, получившие персональные данные до отзыва согласия, обязаны предпринять меры по их уничтожению.
Статья 11. Трансграничная передача персональных данных.
1. Трансграничная передача персональных данных осуществляется при соблюдении требований, установленных настоящим Федеральным законом к обработке и передаче персональных данных, с учетом особенностей, установленных настоящей статьей.
2. Трансграничная передача персональных данных может быть запрещена или ограничена нормативным правовым актом Российской Федерации:
1) если такая трансграничная передача создает угрозу национальной безопасности Российской Федерации;
2) при наличии явной угрозы нарушения прав субъектов персональных данных либо предоставления пониженных гарантий прав субъектов персональных данных по сравнению с гарантиями, установленными законодательством Российской Федерации, включая гарантии соблюдения конфиденциальности персональных данных.
3. При трансграничной передаче персональных данных оператор должен убедиться в том, что в соответствии с международными договорами либо законодательством другого государства, органу власти или лицу которого передаются персональные данные, обеспечивается адекватный уровень защиты прав субъектов персональных данных.
4. Оператор вправе передавать персональные данные органу власти или лицу другого государства, не обеспечивающего адекватный уровень защиты прав субъектов персональных данных, только при условии получения письменного согласия субъекта персональных данных на эту передачу либо в случае, если получение такого согласия физически невозможно, а передача персональных данных необходима для защиты жизни и здоровья субъекта персональных данных.
Глава 3. Права субъекта персональных данных
Статья 12. Право на доступ к персональным данным.
1. Субъект персональных данных имеет право знать о наличии у оператора относящихся к нему персональных данных, быть с ними ознакомлен, а также требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
2. Оператор обязан бесплатно предоставить субъекту персональных данных возможность ознакомления с его персональными данными, а также внести в них необходимые уточнения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных сведений, подтверждающих, что его персональные данные, включенные в информационную систему персональных данных, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О произведенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных и третьих лиц, которым персональные данные этого субъекта были переданы.
3. Информация о наличии персональных данных должна быть предоставлена субъекту персональных данных оператором в доступной форме и не должна содержать персональных данных, относящихся к другим субъектам персональных данных.
4. Предоставление персональных данных субъекту персональных данных производится оператором на основании письменного запроса и по предъявлении документа, удостоверяющего личность субъекта персональных данных.
Информация о наличии персональных данных и сами персональные данные предоставляются субъекту персональных данных в срок, не превышающий 10 рабочих дней с даты получения оператором соответствующего запроса, если при этом не возникает необходимости запросить требуемую информацию у третьих лиц. При необходимости запросить требуемую информацию у третьих лиц срок предоставления ее субъекту персональных данных не может быть более одного месяца.
5. Субъект персональных данных имеет право на получение по запросу следующей информации:
1) подтверждение факта обработки персональных данных, а также цель данной обработки;
2) способы обработки персональных данных;
3) сведения о лицах, имеющих доступ к его персональным данным;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных;
6) сведения о том, какие правовые последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
6. Право доступа субъекта персональных данных к персональным данным о себе ограничивается:
1) в отношении персональных данных, обрабатываемых в целях обороны страны, безопасности государства и охраны правопорядка, в том числе в отношении персональных данных, полученных в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности;
2) в отношении персональных данных, обрабатываемых органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения.
Статья 13. Право на возражение против обработки персональных данных.
1. Субъект персональных данных имеет право высказывать возражение против обработки своих персональных данных, если они используются оператором в целях политической агитации, рекламных или иных аналогичных целях.
Указанное возражение может также быть высказано, если у субъекта персональных данных есть основания полагать, что его персональные данные могут или будут использоваться оператором в таких целях.
2. Возражение против обработки своих персональных данных высказывается субъектом персональных данных оператору путем направления соответствующего заявления. По получении возражения субъекта персональных данных оператор обязан прекратить обработку персональных данных.
3. Субъект персональных данных имеет право высказать возражение против обработки своих персональных данных с применением средств автоматизации, если какое-либо решение, имеющее существенные последствия для такого субъекта персональных данных, может быть принято исключительно на основе персональных данных, явившихся результатом их автоматизированной обработки.
Если иное не предусмотрено нормативным правовым актом Российской Федерации или договором, заключаемым с субъектом персональных данных, оператор, получив возражения против обработки персональных данных с применением средств автоматизации, должен получить от субъекта персональных данных, высказавшего возражение, согласие на обработку его персональных данных иным способом либо прекратить обработку персональных данных.
Статья 14. Право на обжалование.
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением права на неприкосновенность частной жизни, в том числе с нарушением требований настоящего Федерального закона, и не удовлетворяет его требования устранить нарушения, он вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных.
2. В случае установления уполномоченным органом по защите прав субъектов персональных данных неправомерности действий оператора субъект персональных данных имеет право на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности оператора
Статья 15. Получение оператором персональных данных.
1. При получении персональных данных от субъекта персональных данных оператор обязан предоставить субъекту персональных данных следующую информацию:
1) сведения, идентифицирующие оператора;
2) цель обработки данных и правовое обоснование такой цели;
3) предполагаемые пользователи персональных данных;
4) сведения о правах субъекта персональных данных, установленных настоящим Федеральным законом.
Если обязанность предоставления персональных данных установлена федеральным законом, оператор должен сообщить субъекту персональных данных о правовых последствиях отказа предоставить персональные данные.
2. В случае проведения научных, статистических и иных исследований оператор обязан осуществить обезличивание получаемых персональных данных.
Защита результатов обработки обезличенных данных в случае их отнесения к сведениям, составляющим государственную тайну, осуществляется в соответствии с законодательством Российской Федерации о государственной тайне.
Статья 16. Регистрация информационных систем персональных данных.
1. Оператор до начала обработки персональных данных обязан зарегистрировать информационную систему персональных данных в уполномоченном органе по защите прав субъектов персональных данных.
Обработка персональных данных без регистрации информационной системы персональных данных не допускается, за исключением случаев, установленных в настоящей статье.
2. Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка исключительно персональных данных:
1) относящихся к государственной тайне в соответствии с законодательством Российской Федерации о государственной тайне;
2) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
3) необходимых для достижения законных целей некоммерческих организаций и их объединений и относящихся к членам этих организаций и их объединений, при условии, что персональные данные не раскрываются третьей стороне без согласия субъектов персональных данных;
4) относящихся к общедоступной информации;
5) включающих только фамилию, имя и отчество субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию оператора или в иных аналогичных целях.
Не требуется регистрация информационной системы персональных данных, в которой осуществляется обработка персональных данных без использования средств автоматизации, если нормативным правовым актом Россииской Федерации установлены иные требования, обеспечивающие целостность и сохранность персональных данных при их обработке в такой информационной системе.
Не требуется регистрация информационной системы персональных данных, если условием получения лицензии на осуществление оператором деятельности, предусматривающей обработку персональных данных, является запрет на передачу персональных данных третьим лицам без письменного согласия субъекта персональных данных.
Правительство Российской Федерации вправе установить дополнительные случаи, при которых не требуется регистрация информационных систем персональных данных применительно к определенным информационным системам персональных данных и (или) максимальному числу субъектов, персональные данные которых обрабатываются в таких информационных системах.
3. Регистрация информационных систем персональных данных производится бесплатно.
4. Регистрация информационной системы персональных данных осуществляется на основании заявления оператора, в котором должна содержаться следующая информация:
1) сведения, идентифицирующие оператора;
2) цель обработки персональных данных;
3) категории персональных данных, обрабатываемых в такой информационной системе;
4) категория субъектов, персональные данные которых обрабатываются в такой информационной системе;
5) правовое основание создания информационной системы персональных данных;
6) общее описание мер по обеспечению целостности и сохранности персональных данных, которые оператор обязуется осуществлять при эксплуатации информационной системы персональных данных;
7) дата начала обработки персональных данных.
Указанная информация включается в реестр информационных систем персональных данных.
5. Заявление о регистрации информационной системы персональных данных должно быть направлено в письменной форме и подписано уполномоченным лицом (либо в электронной форме и подписано электронной подписью, если предусмотрена такая возможность).
6. В случае возникновения изменений в сведениях, содержащихся в заявлении о регистрации информационной системы персональных данных, оператор в течение 3 дней с даты возникновения таких изменений письменно уведомляет уполномоченный орган по защите прав субъектов персональных данных о произошедших изменениях.
7. Порядок регистрации информационных систем персональных данных и особенности такой регистрации для информационных систем персональных данных органов государственной власти в сфере обороны страны, безопасности государства и охраны правопорядка устанавливаются Правительством Российской Федерации.
Статья 17. Требования к обеспечению целостности и сохранности персональных данных.
1. Оператор обязан принимать необходимые меры технического (программно-технического) и организационного характера, в том числе с использованием шифровальных (криптографических) средств, которые гарантировали бы целостность персональных данных и их сохранность от случайных или несанкционированных уничтожения, утраты, доступа, изменения или раскрытия. 2. С учетом требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных разрабатывает и утверждает требования к процедурам хранения, обмена и защиты персональных данных и иные условия, которым должны отвечать информационные системы персональных данных.
Статья 18. Особенности регистрации информационных систем персональных данных, реализующих требования к обеспечению целостности и сохранности персональных данных с помощью шифровальных (криптографических) средств.
1. Информационные системы персональных данных, в которых требования к обеспечению целостности и сохранности персональных данных реализуются с помощью сертифицированных шифровальных (криптографических) средств, регистрируются в упрощенном порядке.
2. Упрощенный порядок регистрации информационных систем персональных данных устанавливается Правительством Российской Федерации.
Статья 19. Обязанности оператора по уточнению, блокированию и уничтожению персональных данных.
1. В случае выявления недостоверности персональных данных или неправомерности действий с ними оператора по заявлению субъекта персональных данных оператор обязан заблокировать его персональные данные с момента получения такого заявления на период его проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор обязан на основании документов, представленных субъектом персональных данных, исправить их и снять блокирование.
3. В случае установления неправомерности действий с персональными данными либо достижения цели их обработки оператор обязан уничтожить соответствующие данные в срок, не превышающий 3 дней с даты такого установления, и официально уведомить об этом субъекта персональных данных, если иное не предусмотрено федеральными законами.
Статья 20. Обязанности оператора персональных данных, касающиеся ответа на запрос субъекта персональных данных.
1. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение 10 дней с даты получения запроса в порядке, предусмотренном статьей 12 настоящего Федерального закона.
2. В случае отказа в предоставлении субъекту персональных данных по его требованию информации о наличии персональных данных о нем, а также самих персональных данных оператор обязан дать письменный мотивированный ответ, содержащий ссылку на положение, указанное в статье 12 настоящего Федерального закона или в иных федеральных законах, являющееся основанием для такого отказа, в срок, не превышающий 7 дней с даты получения запроса субъекта персональных данных.