Федеральный закон о персональных данных — Российская газета
Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
Глава 1. Общие положения
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее — государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее — муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основные понятия:
1) персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 4.
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные органы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.
Указанные нормативные правовые акты подлежат официальному опубликованию, за исключением нормативных правовых актов или отдельных положений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора.
Глава 2. Принципы и условия обработки персональных данных
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 настоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.
2. Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 настоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказывания того, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.
4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Федерации о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12. Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Статья 13. Особенности обработки персональных данных в государственных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных.
2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Глава 3. Права субъекта персональных данных
Статья 14. Право субъекта персональных данных на доступ к своим персональным данным
1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, полученных в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 15. Права субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности оператора
Статья 18. Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена федеральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персональных данных.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации в соответствии с частью 2 настоящей статьи, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Федерального закона, сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Статья 21. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации. Уведомление должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
8) дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований настоящего Федерального закона
Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных.
Статья 24. Ответственность за нарушение требований настоящего Федерального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Глава 6. Заключительные положения
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до дня вступления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Президент
Российской Федерации
В. Путин
Нормативно-правовые акты и документы по защите информации — ГАУЗ «ССМП» г. Орска
Федеральные законы Российской Федерации
1. «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» от 28.01.1981 г. (скачать)
2 . Федеральный закон от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» (скачать)
3. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (скачать)
4. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (скачать)
5. Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи» (скачать)
6. Федеральный закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (скачать)
7. Федеральный закон от 07.05.2013 г. № 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных» (скачать)
8. Федеральный закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (начало действия с 01.09.2015 г.) (скачать)
Постановления Правительства Российской Федерации
9. Постановление Правительства от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных» (скачать)
10. Постановление Правительства от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (скачать)
11. Постановление Правительства от 21.03.2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» (скачать)
12. Постановление Правительства от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (скачать)
Нормативно-правовые акты и документы ФСТЭК России
13. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены ФСТЭК России 14.02.2008 г. (скачать)
14. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены ФСТЭК России 15.02.2008 г. (скачать)
15. Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (скачать)
16. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (скачать)
17. «Методический документ. Меры защиты информации в государственных информационных системах», утверждены ФСТЭК России 11.02.2014 г. (скачать)
Нормативно-правовые акты и документы ФСБ России
18. Приказ ФАПСИ при Президенте Российской Федерации от 13.06.2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» (скачать)
19. Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (скачать)
20. «Типовые требования по организации функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены руководством 8 Центра ФСБ России от 21.02.2008 г. № 149/6/6-622 (носят рекомендательный характер) (скачать)
21. «Методические рекомендации по обеспечению безопасности персональных данных с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России от 21.02.2008 г. № 149/54-144 (носят рекомендательный характер) (скачать)
22. «Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержден руководством 8 Центра ФСБ России от 08.08.2009 г. № 149/7/2/6-1173 (скачать)
23. Приказ ФСБ России от 10.07.2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» (скачать)
24. «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утверждены руководством 8 Центра ФСБ России от 31.03.2015 г. №149/7/2/6-432 (скачать)
Нормативно-правовые акты и документы Роскомнадзора
25. Приказ Роскомнадзора от 16.07.2010 г. № 482 «Об утверждении образца формы уведомления об обработке персональных данных» (скачать)
26. Приказ Минкомсвязи России от 14.11.2011 г. № 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных» (скачать)
27. Приказ Минкомсвязи России от 21.12.2011 г. № 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных» (скачать)
28. Приказ Роскомнадзора от 03.12.2012 г. № 1255 «Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций» (скачать)
29. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.12.2012 г. (скачать)
30. Приказ Роскомнадзора от 15.03.2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных» (скачать)
31. «О вопросах отнесения фото- и видео- изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.08.2013 г. (скачать)
32. Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных» (скачать)
33. «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных», утверждены Роскомнадзором 13.12.2013 г. (скачать)
34. «Временные рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утверждены Роскомнадзором 30.12.2014 г. (скачать)
35. «Федеральный закон «О персональных данных»: научно-практический комментарий», под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжаевой – 2015 г. (подробнее)
Нормативно-методические документы министерства здравоохранения Оренбургской области
Политика в отношении обработки персональных данных министерства здравоохранения Оренбургской области (утв. распоряжением Министерства здравоохранения Оренбургской области от 27.02.2014 г. № 372) (скачать)
Нормативно-методические документы ГАУЗ «ССМП» г. Орска»
Политика в отношении обработки персональных данных в ГАУЗ «ССМП» г. Орска (утв. приказом главного врача от 08.09.2021 №217) (скачать)
Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных государственного автономного учреждения здравоохранения «Станция скорой медицинской помощи» города Орска (утв. приказом главного врача от 08.09.2021 №218) (скачать)
Нормативные документы по ИБ. Часть 3. Обзор российского и международного законодательства в области защиты персональных данных
Руслан Рахметов, Security Vision
Наряду с рассмотренными в предыдущих публикациях нормативными документами, регламентирующими защиту информации в банковской сфере, неизменно актуальными на протяжении последних 10 лет являются законодательные и подзаконные акты по теме защиты персональных данных. Данный вопрос, поднимающийся в самых высоких кабинетах как в России, так и за рубежом, является животрепещущим по очевидной причине — он касается каждого из нас, вне зависимости от гражданства и должности.
Защита персональных данных, в зарубежной интерпретации privacy, уходит корнями в обеспечение неотъемлемых прав и свобод граждан развитых стран — например, в некоторых европейских странах достаточно спорным был вопрос указания имени и фамилии проживающих рядом с почтовыми ящиками и дверными звонками. С приходом информационных технологий защита личных данных стала еще более актуальной. Так появилась «Конвенция №108 Совета Европы о защите физических лиц при автоматизированной обработке персональных данных», подписанная в 1981 году и ратифицированная Российской Федерацией в 2001 году. Уже на тот момент были заложены международные основы законной обработки персональных данных, применяемые и по сей день: использование персональных данных только для определенных целей и в пределах определенных сроков, неизбыточность и актуальность обрабатываемых персональных данных и особенности их трансграничной передачи, защита данных, гарантированные права гражданина — обладателя личных данных. В этом же документе дано и само определение персональных данных, которое затем «перекочует» в первую редакцию отечественного Федеральный закон №152 «О персональных данных» от 27.07.2006: «персональные данные» означают любую информацию об определенном или поддающемся определению физическом лице. Целью ратификации данной Конвенции было выполнение международных нормативных требований при вступлении России в ВТО (Всемирная Торговая Организация), которое состоялось в 2012 году.
Совместная работа стран-участников Конвенции продолжается и по сей день. Так, в конце 2018 года Российская Федерация совместно с другими странами-участницами подписала «Протокол №223 о внесении изменений в Конвенцию Совета Европы о защите персональных данных», который актуализирует Конвенцию в части соответствия вызовам текущего времени: защита биометрических и генетических данных, новые права физических лиц в контексте алгоритмического принятия решений искусственным интеллектом, требования защиты данных уже на этапе проектирования информационных систем, обязанность уведомлять уполномоченный надзорный орган об утечках данных. Граждане отныне имеют возможность получать квалифицированную защиту по вопросам их персональных данных со стороны надзорного органа, а российские компании, вынужденные соответствовать требованиям европейских норм GDPR (General Data Protection Regulation, мы поговорим о них далее), не будут вынуждены применять дополнительные меры по защите, поскольку соответствие нормам Конвенции означает, что страна-участник обеспечивает адекватный правовой режим обработки персональных данных.
Итак, в 2006 году был принят 152-ФЗ «О персональных данных», который не только во многом соответствовал и повторял требования Конвенции, но и вносил дополнительные определения и требования, касающиеся обработки персональных данных (далее — ПДн). Со временем в Федеральный Закон вносились изменения, основные из которых были введены 261-ФЗ от 25.07.2011 и 242-ФЗ от 21.07.2014. Первый закон внес существенные изменения в базовые постулаты защиты ПДн, а второй запретил первичную обработку ПДн за пределами территории РФ.
Далее будут рассматриваться самые актуальные на настоящий момент версии документов. Следует отметить, что уполномоченным государственным органом по защите прав субъектов ПДн является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), подчиняющаяся Министерству цифрового развития, связи и массовых коммуникаций Российской Федерации.
Здесь стоит сделать небольшое отступление от темы ПДн и рассказать об основополагающем документе, на который ссылается 152-ФЗ и который регламентирует порядок работы с различной информацией, в т.ч. и с ПДн — речь идет о Федеральном Законе №149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006. Данный документ содержит в себе базовые понятия и определения, которые используются во всех нормативных правовых актах, касающихся защиты информации, а также, помимо прочего, вводит понятие категории информации (общедоступная информация и информация ограниченного распространения) и типа информации (свободно распространяемая, предоставляемая на основании договора, подлежащая распространению в соответствии с Законодательством, информация ограниченного доступа/распространения и запрещенная к распространению). В частности, персональные данные классифицируются как информация ограниченного доступа, и в соответствии со ст.9 п.2 данного Закона соблюдение конфиденциальности такой информации является обязательным, вследствие чего государство устанавливает нормы и правила обработки ПДн, обязательные к выполнению. К сожалению, не со всеми видами информации ограниченного распространения есть подобная определенность — например, по сей день отсутствует законодательный классификатор видов тайн, можно выделить лишь некоторые из них: государственная, коммерческая, налоговая, банковская, аудиторская, врачебная, нотариальная, адвокатская тайна, тайна связи, следствия, судопроизводства, инсайдерская информация и т.д.
Кроме информации ограниченного распространения в 149-ФЗ (ст.8 п.4) есть также и классификатор видов информации, доступ к которой, напротив, не может быть ограничен — например, к нормативным правовым актам, информации о деятельности государственных органов, состоянии окружающей среды и т.д. К сожалению, не все организации, выполняющие работы по защите коммерческой тайны в соответствии с 98-ФЗ «О коммерческой тайне», учитывают данный аспект, зачастую неправомерно ограничивая доступ к такой информации.
Кроме этого, в 149-ФЗ (ст.13. п.1) содержится важное определение государственных информационных систем (далее — ГосИС) как федеральных информационных систем и региональных информационных систем, созданных на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.
Ст. 14 п.8 данного Федерального Закона гласит, что все технические средства и средства защиты информации, применяемые в ГосИС, должны соответствовать Федеральному Закону №184-ФЗ «О техническом регулировании» от 27.12.2002, где в статье 20 описаны три допустимые формы подтверждения соответствия: добровольная сертификация, декларирование соответствия, обязательная сертификация.
| 1 | Приказ об ответственном за организацию обработки защищаемой информации, не содержащей сведения, составляющие государственную тайну | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» | |||
| Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |||
| 2 | Приказ об ответственном за обеспечение безопасности персональных данных и за защиту информации в информационных системах | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |||
| 3 | Приказ о комиссии по определению класса государственных информационных систем и уровня защищенности персональных данных при их обработке в информационных системах | Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | |
| Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |||
| 4 | Приказ об утверждении перечня информационных систем, обрабатывающих защищаемую информацию, не содержащую сведения, составляющие государственную тайну, и перечня защищаемой информации, не содержащей сведения, составляющие государственную тайну, обрабатываемой в программных комплексах, входящих в состав информационных систем | Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» | |
| Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |||
| Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» | |||
| Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |||
| 5 | Приказ об утверждении перечня обрабатываемых персональных данных | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» | |||
| 6 | Приказ о сотрудниках, осуществляющих обработку защищаемой информации, не содержащей сведения, составляющие государственную тайну, и имеющих доступ к обрабатываемой защищаемой информации, не содержащей сведения, составляющие государственную тайну | Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» | |
| Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |||
| Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | |||
| Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» | |||
| 7 | Приказ об ответственном за планирование и контроль мероприятий по защите информации в информационных системах | Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |
| 8 | Приказ об ответственном за управление (администрирование) системой защиты информации информационных систем | Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |
| 9 | Приказ о сотрудниках, которым разрешены действия по внесению изменений в базовую конфигурацию информационных систем и системы защиты информации | Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |
| Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» | |||
| 10 | Приказ о сотрудниках, ответственных за выявление инцидентов информационной безопасности и реагирование на них | Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |
| Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» | |||
| 11 | Приказ об обеспечении безопасности материальных носителей защищаемой информации, не содержащей сведения, составляющие государственную тайну | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» | |||
| Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |||
| Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» | |||
| 12 | Приказ об обеспечении безопасности помещений, в которых размещены информационные системы и сохранности носителей защищаемой информации | Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» | |
| Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | |||
| Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |||
| Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» | |||
| 13 | Приказ о введении в действие документов, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| 14 | Приказ об утверждении форм документов, необходимых в целях выполнения требований законодательства в области защиты информации | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | |||
| Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» | |||
| Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |||
| 15 | Приказ об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации в области защиты информации с использованием средств криптографической защиты | Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну» | |
| Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» | |||
| 16 | Приказ об утверждении перечня мер, направленных на выполнение требований законодательства Российской Федерации при ведении журнала, содержащего персональные данные, необходимые для однократного пропуска субъекта персональных данных на территорию организации (в случае наличия пропускного режима) | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» | |||
| 17 | Приказ о системе разграничения доступа в информационных системах | Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |
| Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» | |||
| 18 | Приказ о сотрудниках, имеющих доступ к содержанию электронного журнала сообщений (в случае, если установленный уровень защищенности ПДн при их обработке в ИСПДн имеет значение 1 или 2) | Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | |
| 19 | Приказ о комиссии по уничтожению защищаемой информации, не содержащей сведения, составляющие государственную тайну | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» | |||
| Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» | |||
| Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» | |||
| Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |||
| 20 | Политика в отношении обработки персональных данных | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| 21 | Положение по организации и проведению работ по обеспечению безопасности защищаемой информации, не содержащей сведения, составляющие государственную тайну, при ее обработке в информационных системах | Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» | |
| Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |||
| Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | |||
| Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» | |||
| Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |||
| 22 | Порядок хранения, использования и передачи персональных данных сотрудников | Трудовой кодекс Российской Федерации от 30.12.2001 № 197-ФЗ (ТК РФ) — глава 14 «Защита персональных данных работника» | |
| 23 | Модель угроз безопасности информации в информационных системах | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» | |||
| Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | |||
| Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» | |||
| Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |||
| Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных (выписка). ФСТЭК России, 2008 год (действует, не применяется) | |||
| Методика оценки угроз безопасности информации. ФСТЭК России, 2021 год | |||
| Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности от 31 марта 2015 г. № 149/7/2/6-432 | |||
| 24 | Акт определения класса защищенности информационной системы | Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |
| 25 | Акт определения уровня защищенности персональных данных в информационных системах персональных данных | Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | |
| 26 | Рекомендации по внесению изменений в должностные инструкции персонала | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| 27 | Рекомендации по принятию организационных мер по обеспечению безопасности персональных данных | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | |||
| Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» | |||
| 28 | Рекомендации по выполнению требований по обеспечению безопасности персональных данных в информационных системах персональных данных, эксплуатируемых с использованием криптосредств | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» | |||
| Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» | |||
| 29 | Технический паспорт информационной системы | Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |
| ГОСТ РО 0043-004-2013. Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний | |||
| Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России от 30 августа 2002 г. № 282 | |||
| 30 | Техническое задание на создание подсистемы обеспечения информационной безопасности | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» | |
| Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» | |||
| Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» | |||
| Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности» | |||
| Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» | |||
| Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» | |||
| 31 | Уведомление об обработке (о намерении осуществлять обработку) персональных данных / Информационное письмо о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных | Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» |
Архивное законодательство — ОСГ Россия
Ниже представлены законы Российской Федерации и другие нормативные акты, регулирующие деятельность в сфере архивного хранения, персональных данных, защиты информации, документооборота и бухгалтерского учета, электронной подписи, а также других смежных сферах.
В целях реализации Федерального закона «О персональных данных» Правительство Российской Федерациипостановляет: 1. Утвердить прилагаемое Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации. 2. Федеральным органам исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с настоящим…
Читать полностьюЗарегистрирован в Минюсте РФ 20 мая 2011 г. Регистрационный N 20831 В целях обеспечения хранения, комплектования, учета и использования архивных документов, образующихся в научно-технической и производственной деятельности организаций, руководствуясь требованиями части четвертой Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 2006, N 52 (1 ч. ), ст. 5496; 2007, N…
Читать полностьюПриказ Министерства культуры РФ от 31 марта 2015 г. N 526 «Об утверждении правил организации хранения, комплектования, учёта и использования документов Архивного фонда Российской Федерации и других архивных документов в органах государственной власти, органах местного самоуправления и организациях» В соответствии с пунктом 2 части 1 статьи 4, частью 5…
Читать полностьюЧем регламентируются сроки хранения документов в организации В Федеральном законе от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации» в ст. 17 говорится: Государственные органы, органы местного самоуправления, организации и граждане, занимающиеся предпринимательской деятельностью без образования юридического лица, обязаны обеспечивать сохранность архивных документов, в том числе документов по личному составу,…
Читать полностьюФедеральный закон от 08.02.1998 N 14-ФЗ (ред. от 29.12.2015) «Об обществах с ограниченной ответственностью» Статья 50. Хранение документов общества и предоставление обществом информации (в ред. Федерального закона от 19.07.2009 N 205-ФЗ) Общество обязано хранить следующие документы: договор об учреждении общества, за исключением случая учреждения общества одним лицом, решение об…
Читать полностьюВступает в силу: 27 октября 2004 г. С изменениями и дополнениями от: 4 декабря 2006 г., 1 декабря 2007 г., 13 мая 2008 г., 8 мая, 27 июля 2010 г., 11 февраля 2013 г., 4 октября 2014 г., 28 ноября 2015 г., 2 марта 2016 г. Принят Государственной Думой 1…
Читать полностьюВторник, 09 Сентября 2014 Принят Государственной Думой 8 июля 2006 года Одобрен Советом Федерации 14 июля 2006 года Статья 1. Сфера действия настоящего Федерального закона 1. Настоящий Федеральный закон регулирует отношения, возникающие при: 1) осуществлении права на поиск, получение, передачу, производство и распространение информации; 2) применении информационных технологий; 3) обеспечении…
Читать полностьюПринят Государственной Думой 8 июля 2006 года Одобрен Советом Федерации 14 июля 2006 года Глава 1. Общие положения Статья 1. Сфера действия настоящего Федерального закона 1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами…
Читать полностьюПринят Государственной Думой 9 июля 2004 года Одобрен Советом Федерации 15 июля 2004 года Статья 1. Цели и сфера действия настоящего Федерального закона 1. Настоящий Федеральный закон регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности в целях обеспечения баланса интересов обладателей информации, составляющей…
Читать полностьюВступил в силу: 8 апреля 2011 г. Принят Государственной Думой 25 марта 2011 года Одобрен Советом Федерации 30 марта 2011 года Статья 1. Сфера действия настоящего Федерального закона Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и…
Читать полностьюПринят Государственной Думой 22 ноября 2011 года Одобрен Советом Федерации 29 ноября 2011 года Глава 1. Общие положения Статья 1. Цели и предмет настоящего Федерального закона 1. Целями настоящего Федерального закона являются установление единых требований к бухгалтерскому учету, в том числе бухгалтерской (финансовой) отчетности, а также создание правового механизма регулирования…
Читать полностьюФедеральный закон от 03.04.2020 № 105-ФЗ . Таможенные документы
Принят Государственной Думой 1 апреля 2020 года
Одобрен Советом Федерации 2 апреля 2020 года
Статья 1
Пункт 1 части 5 статьи 15.1 Федерального закона от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, N 31, ст. 3448; 2012, N 31, ст. 4328; 2013, N 14, ст. 1658; N 52, ст. 6963; 2014, N 30, ст. 4223; 2016, N 52, ст. 7491; 2017, N 24, ст. 3478; N 31, ст. 4827; 2018, N 18, ст. 2572; N 49, ст. 7523; N 52, ст. 8101; 2019, N 18, ст. 2214) дополнить подпунктом «з» следующего содержания:
«з) информации, содержащей предложение о розничной торговле лекарственными препаратами, в том числе дистанционным способом, розничная торговля которыми ограничена или запрещена в соответствии с законодательством об обращении лекарственных средств, и (или) информации, содержащей предложение о розничной торговле лекарственными препаратами, в том числе дистанционным способом, лицами, не имеющими лицензии и разрешения на осуществление такой деятельности, если получение лицензии и разрешения предусмотрено законодательством об обращении лекарственных средств;».
Статья 2
Внести в Федеральный закон от 12 апреля 2010 года N 61-ФЗ «Об обращении лекарственных средств» (Собрание законодательства Российской Федерации, 2010, N 16, ст. 1815; N 31, ст. 4161; 2011, N 50, ст. 7351; 2012, N 26, ст. 3446; 2013, N 27, ст. 3477; N 48, ст. 6165; 2014, N 52, ст. 7540; 2015, N 29, ст. 4367, 4388; 2016, N 27, ст. 4238; 2017, N 31, ст. 4791; 2018, N 1, ст. 9; N 49, ст. 7521; 2019, N 23, ст. 2917; N 31, ст. 4456; N 52, ст. 7793) следующие изменения:
1) в статье 4:
а) пункт 33 после слов «розничную торговлю лекарственными препаратами,» дополнить словами «в том числе дистанционным способом,»;
б) пункт 35 после слов «розничную торговлю лекарственными препаратами,» дополнить словами «в том числе дистанционным способом,»;
в) пункт 36 после слов «розничную торговлю лекарственными препаратами,» дополнить словами «в том числе дистанционным способом,»;
2) пункт 24 статьи 5 изложить в следующей редакции:
«24) принятие решений, являющихся основаниями для включения доменных имен и (или) указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет», а также сетевых адресов в единую автоматизированную информационную систему «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено», в отношении информации, содержащей предложение о розничной торговле лекарственными препаратами, в том числе дистанционным способом, розничная торговля которыми ограничена или запрещена в соответствии с настоящим Федеральным законом, и (или) информации, содержащей предложение о розничной торговле лекарственными препаратами, в том числе дистанционным способом, лицами, не имеющими лицензии и разрешения на осуществление такой деятельности, если получение лицензии и разрешения предусмотрено законодательством об обращении лекарственных средств;»;
3) в статье 55:
а) дополнить частью 1.1 следующего содержания:
«1.1. Розничная торговля лекарственными препаратами для медицинского применения (за исключением лекарственных препаратов, отпускаемых по рецепту на лекарственный препарат, наркотических лекарственных препаратов и психотропных лекарственных препаратов, а также спиртосодержащих лекарственных препаратов с объемной долей этилового спирта свыше 25 процентов) может осуществляться аптечными организациями дистанционным способом. Розничную торговлю лекарственными препаратами для медицинского применения дистанционным способом могут осуществлять аптечные организации, имеющие лицензию на фармацевтическую деятельность и соответствующее разрешение федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере здравоохранения. Порядок выдачи разрешения на осуществление розничной торговли лекарственными препаратами дистанционным способом, требования к аптечным организациям, которые могут осуществлять такую торговлю, и порядок ее осуществления, а также правила доставки лекарственных препаратов гражданам устанавливаются Правительством Российской Федерации. Информация об оплаченных (отпущенных) и полученных лекарственных препаратах вносится в систему мониторинга движения лекарственных препаратов для медицинского применения в порядке, предусмотренном частью 7 статьи 67 настоящего Федерального закона.»;
б) в части 5 слова «(за исключением наркотических лекарственных препаратов и психотропных лекарственных препаратов)» исключить;
в) часть 7 после слов «и продавать» дополнить словами «, в том числе дистанционным способом,»;
г) дополнить частью 9 следующего содержания:
«9. В условиях чрезвычайной ситуации и (или) при возникновении угрозы распространения заболевания, представляющего опасность для окружающих, Правительство Российской Федерации при необходимости вправе установить временный порядок розничной торговли лекарственными препаратами для медицинского применения (за исключением наркотических лекарственных препаратов и психотропных лекарственных препаратов, а также спиртосодержащих лекарственных препаратов с объемной долей этилового спирта свыше 25 процентов) дистанционным способом, порядок выдачи разрешения на осуществление торговли, предусмотренной настоящей частью, требования к аптечным организациям, которые могут осуществлять такую торговлю, а также временные правила доставки лекарственных препаратов гражданам.».
Статья 3
1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования.
2. Положение части 9 статьи 55 Федерального закона от 12 апреля 2010 года N 61-ФЗ «Об обращении лекарственных средств» применяется до 31 декабря 2020 года включительно.
С 2021 года ФЗ-152 «О персональных данных» существенно изменен
В канун Нового года Президент РФ В.В.Путин подписал принципиальные изменения в ФЗ-152 «О персональных данных», вступающие в силу 1 марта 2021 года (Федеральный закон от 30.12.2020 N 519-ФЗ «О внесении изменений в Федеральный закон «О персональных данных»).
Закон в новой редакции полностью переписал нормы статьи 8 закона, приняв отдельную статью 10.1 об особенностях обработки персональных данных при их распространении.
В законе вводится понятие отдельного письменном согласия (письменного) при распространении персональных данных субъектов, и тем самым разграничиваются такие понятия, как «наличие согласия», «согласие в письменной форме».
Форму данного отдельного согласия должен в ближайшее время утвердить Роскомнадзор, а это означает, что каждая организация, размещающая, например, персональные данные своих работников, клиентов, граждан на сайте, иных Интернет ресурсах, обязана после 1 марта получить отдельное согласие и тем самым отказаться от укоренившейся практики так называемых «общих» согласий. Каждая компания, которая использовала персональные данные граждан, взяв их из открытых источников, должна также получить отдельное согласие гражданина (субъекта персональных данных). При этом, если в прошлой редакции статьи 6 ФЗ-152 «О персональных данных» существовала норма, позволяющая любой организации свободно использовать персональные данные граждан, которые они самостоятельно разместили, например, в Интернете, то с 1 марта 2021 года это запрещено. Операторам ПДн теперь придется доказывать, что у них есть законное основание на последующее распространение таких персональных данных.
Законом определены 2 случая предоставления согласия:
- непосредственно от субъекта (работника/гражданина/клиента)
- с использованием информационной системы Роскомнадзора.
Надеемся, что в ближайшие недели мы получим разъяснения от уполномоченного органа в области персональных данных по реализации такого решения, как использование ИС Роскомнадзора.
Закон запрещает используемый сегодня операторами персональных данных подход : «что не запрещено, то разрешено». Отныне организация (оператор персональных данных) не имеет права распространять ПДн по умолчанию или бездействию человека.
Субъект персональных данных вправе установить запреты на передачу своих данных неопределенному кругу лиц, как это часто делают многие операторы в своих согласиях. Сегодня у гражданина часто не остается выбора и он вынужден подписывать такие согласия.
Для оператора законом определен 3-х дневный срок прекращения обработки персональных данных при обращении субъекта персональных данных. Организация в 3-х дневный срок с момента получения согласия обязана опубликовать информацию об условиях обработки о запретах, разрешениях субъектов на распространение их персональных данных.
Федеральный закон от 30.12.2020 N 515-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения конфиденциальности сведений о защищаемых лицах и об осуществлении оперативно-розыскной деятельности» вводит требования по внедрению дополнительных мер защиты информационных систем: мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них.
Коротко оPIPEDA — Управление уполномоченного по вопросам конфиденциальности Канады
Исправлено: май 2019 г.
Для соблюдения закона существует ряд требований. Организации, на которые распространяется действие PIPEDA , как правило, должны получать согласие человека при сборе, использовании или раскрытии его личной информации. Люди имеют право на доступ к своей личной информации, хранящейся в организации.Они также имеют право оспорить его точность.
Личная информация может использоваться только в тех целях, для которых она была собрана. Если организация собирается использовать его для других целей, они должны снова получить согласие. Личная информация должна быть защищена соответствующими мерами безопасности.
На этой странице
Как применяется Закон
PIPEDA применяется к организациям частного сектора по всей Канаде, которые собирают, используют или раскрывают личную информацию в ходе коммерческой деятельности.
Закон определяет коммерческую деятельность как любую конкретную сделку, действие или поведение, или любое обычное поведение, имеющее коммерческий характер, включая продажу, обмен или сдачу в аренду доноров, членство или другие списки сбора средств.
Провинциальные законы о конфиденциальности
Альберта, Британская Колумбия и Квебек имеют свои собственные законы о конфиденциальности в частном секторе, которые были признаны в значительной степени аналогичными PIPEDA . Организации, подпадающие под действие аналогичного провинциального закона о конфиденциальности, как правило, освобождаются от действия PIPEDA в отношении сбора, использования или раскрытия личной информации, происходящей в пределах этой провинции.
Онтарио, Нью-Брансуик, Новая Шотландия, Ньюфаундленд и Лабрадор также приняли аналогичные законы относительно сбора, использования и раскрытия личной информации о здоровье.
Информация, выходящая за границы
Все предприятия, работающие в Канаде и обрабатывающие личную информацию, которые пересекают провинциальные или национальные границы в ходе коммерческой деятельности, подпадают под действие PIPEDA , независимо от провинции или территории, в которой они находятся (включая провинции с аналогичным законодательством).
Федеральные регулируемые организации
Федерально регулируемые организации, ведущие свою деятельность в Канаде, всегда подчиняются PIPEDA . Закон также применяется к личной информации их сотрудников.
К этим организациям относятся:
- аэропортов, самолетов и авиакомпаний;
- банков и уполномоченных иностранных банков;
- межобластных или международных транспортных компаний;
- телекоммуникационных компаний;
- морских буровых работ; и
- радио- и телеканалов.
ПРИМЕЧАНИЕ. Организации в Северо-Западных территориях, Юконе и Нунавуте считаются регулируемыми на федеральном уровне и, следовательно, также подпадают под действие PIPEDA .
Если вы не уверены, подпадает ли ваша компания под действие PIPEDA , обратитесь к разделу «Найдите подходящую организацию, к которой можно обратиться по вопросам конфиденциальности» на нашем веб-сайте.
Что такое личная информация?
Согласно PIPEDA , личная информация включает любую фактическую или субъективную информацию, записанную или нет, об идентифицируемом лице.Сюда входит информация в любой форме, например:
- возраст, имя, ID номера, доход, этническое происхождение или группа крови;
- мнений, оценок, комментариев, социального статуса или дисциплинарных взысканий; и
- досье сотрудников, кредитные истории, кредитные истории, медицинские записи, наличие спора между покупателем и продавцом, намерения (например, приобрести товары или услуги или сменить работу).
На что не распространяется действие
PIPEDA ?В некоторых случаях PIPEDA не применяется.Некоторые примеры включают:
- Личная информация, обрабатываемая организациями федерального правительства, перечисленными в соответствии с Законом о конфиденциальности
- Провинциальные или территориальные правительства и их агенты
- Деловая контактная информация, такая как имя сотрудника, должность, служебный адрес, номер телефона или адреса электронной почты, которая собирается, используется или раскрывается исключительно для связи с этим лицом в связи с его работой или профессией
- Сбор, использование или раскрытие личной информации физическим лицом исключительно в личных целях (например,грамм. список личных поздравительных открыток)
- Сбор, использование или раскрытие организацией личной информации исключительно в журналистских, художественных или литературных целях
Если они не занимаются коммерческой деятельностью, которая не является основной для их полномочий и не связана с личной информацией, PIPEDA обычно не применяется к:
Муниципалитеты, университеты, школы и больницы обычно подпадают под действие провинциальных законов. PIPEDA может применяться в определенных ситуациях.
Ваши обязанности согласно
PIPEDAКомпании должны следовать 10 принципам честной информации для защиты личной информации, которые изложены в Приложении 1 к PIPEDA .
Следуя этим принципам, вы внесете свой вклад в укрепление доверия к своему бизнесу и цифровой экономике.
Принципы:
- Отчетность
- Определение целей
- Согласие
- Ограничение сбора
- Ограничение использования, раскрытия и хранения
- Точность
- Гарантии
- Открытость
- Индивидуальный доступ
- Проблемы соответствия
1663.Защита государственной собственности — Защита государственных архивов и документов | JM
Изъятие публичных записей или документов запрещено 18 U.S.C. § 641. Уничтожение таких записей может быть достигнуто согласно 18 Свода законов США. § 1361. В обоих случаях, однако, может быть сложно доказать убыток в размере 100 долларов, что является предпосылкой для осуждения за уголовное преступление. Таким образом, ни один из этих законодательных актов не обеспечивает должной защиты государственных документов.
Необходимую меру защиты государственных документов и записей обеспечивает 18 U.S.C. § 2071. Раздел 2071 (a) содержит широкий запрет на уничтожение государственных документов или попытки уничтожить такие документы. В этом разделе предусмотрено, что кто угодно: умышленно и незаконно; скрывает, удаляет, калечат, стирает или уничтожает; или попытки скрыть, удалить, искалечить, стереть или уничтожить; или уносит с намерением скрыть, удалить, искалечить, стереть или уничтожить; любая запись, судебное разбирательство, карта, книга, бумага, документ или другая вещь, хранящаяся в любом государственном учреждении, может быть наказана тюремным заключением на срок до трех лет, штрафом в размере 2 000 долларов или и тем и другим.
Это правонарушение имеет несколько важных аспектов. Во-первых, это преступление с конкретным умыслом. Это означает, что ответчик должен действовать умышленно, зная, что он нарушает закон. См. США против Симпсона , 460 F.2d 515, 518 (9-й округ, 1972 г.). Более того, в одном деле предполагалось, что это конкретное намерение требует, чтобы ответчик знал, что задействованные документы являются общедоступными. См. United States v. DeGroat , 30 F.764, 765 (E.D. Мичиган, 1887 г.).
Действия, запрещенные этим разделом, имеют широкое определение. По сути, три типа поведения запрещены 18 Кодексом США. § 2071 (а). Это: (1) сокрытие, удаление, нанесение увечий, уничтожение или уничтожение записей; (2) любая попытка совершить эти запрещенные действия; и (3) унос любой записи с намерением скрыть, удалить, искалечить или уничтожить ее. Следует отметить, что все эти действия связаны либо с незаконным присвоением, либо с повреждением публичных архивов.Это привело к тому, что один суд пришел к выводу, что простое копирование этих записей не нарушает 18 Свода законов США. § 2071. См. США против Роснера , 352 F. Supp. 915, 919-22 (S.D.N.Y.1972).
Подраздел (b) 18 U.S.C. В § 2071 содержится аналогичный запрет, конкретно направленный на хранителей публичных архивов. Любой хранитель публичной записи, который «умышленно и незаконно скрывает, удаляет, калечат, стирает, фальсифицирует или уничтожает (любую запись), должен быть оштрафован на сумму не более 2000 долларов или лишен свободы на срок не более трех лет, либо и то, и другое; и лишается должности и быть лишенным права занимать какие-либо должности в Соединенных Штатах.<< Хотя круг действий, запрещенных этим подразделом, несколько уже, чем подраздел (а), он предусматривает дополнительное наказание в виде лишения должности в Соединенных Штатах.
Раздел 18 содержит два других положения несколько более узкого применения, которые относятся к публичным записям. Раздел 285 запрещает несанкционированное получение, использование и попытки использования любых документов, записей или файлов, относящихся к иску против Соединенных Штатов, для целей обеспечения выплаты по этому иску.Раздел 1506 запрещает кражу, изменение или фальсификацию любой записи или процесса в любом суде Соединенных Штатов. Оба эти раздела наказываются штрафом в размере 5000 долларов или тюремным заключением на срок до пяти лет.
[цитируется в JM 9-66.400]
Законы об использовании открытых записей и свободе информации
Законы об использовании открытых записей и свободе информации
Законы об открытых записях или Законы о свободе информации (FOIA) — это законы, дающие вам право доступа к публичным документам, то есть ко всему, что находится в ведении публичного агентства.Со времен войны во Вьетнаме и Уотергейта, когда государственная тайна вызвала столько народного гнева, американцы настаивали на своем праве знать, что делают государственные чиновники и агентства. Поскольку в очень немногих штатах полностью раскрывается информация о субсидиях, без законов об открытой отчетности не может быть подотчетности в области экономического развития.
В каждом штате есть закон, основанный на федеральном Законе о свободе информации, подтверждающий право общественности на ознакомление с правительственными документами. Федеральный закон о свободе информации разрешает «любому лицу» запрашивать доступ к данным агентства, включая граждан и неграждан, корпорации, университеты, а также правительства штатов и местные органы власти.В большинстве законов штатов есть такие же широкие определения.
Информация, подпадающая под действие закона
Каждый штат устанавливает свои собственные правила, но в целом закон об открытых записях применяется ко всем правительственным учреждениям. Акты об открытых записях также охватывают любую часть организации, которая тратит или поддерживается полностью или частично за счет государственных средств. Некоторые штаты предоставляют деньги частным некоммерческим организациям для управления экономическим развитием, включая набор сотрудников. Многие законы об открытых записях по-прежнему распространяются на информацию, находящуюся в руках таких агентств, потому что они финансируются за счет государственных денег, поэтому не стесняйтесь подавать запрос на открытые записи в такую организацию.
«Общедоступная информация» обычно означает информацию, собираемую, собираемую или поддерживаемую государственным органом, или собираемую, собираемую или поддерживаемую для государственного органа, если он владеет или имеет права доступа к этой информации. Как видите, это охватывает очень широкий спектр информации. Но цель именно в этом: налогоплательщики должны иметь возможность видеть любую информацию, которая используется людьми, действующими от имени общественности, если только их избранные представители не проголосовали за ограничение доступа к определенному типу документов.
Вы должны иметь возможность получать любую информацию, которая не исключается конкретно законом. Если части документа, запрошенного вами , освобождены от уплаты , федеральное FOIA требует, чтобы агентство предоставило вам отрывок из записи, то есть оно не может удержать весь документ только потому, что некоторые его части освобождены. Это правило действует и в штатах.
У каждого штата по закону о свободе информации есть некоторые исключения. Например, штаты обычно считают учетные записи по подоходному налогу с населения и записи об усыновлении закрытыми.Основное исключение, которое вас беспокоит, — это бизнес-информация, которая делится на две категории: коммерческая тайна и привилегированная или конфиденциальная информация . Что касается отчетов об экономическом развитии, исключения для информации, считающейся «частной финансовой» или «коммерческой тайной», предназначены для защиты компании от разглашения информации, которая в руках конкурента может нанести вред компании.
В законе каждого штата есть исключение для этого типа информации, но эти исключения не являются единообразными.Что еще более важно, эти исключения настолько широки, что на них всегда следует обращаться к генеральному прокурору штата для интерпретации того, как они применяются к любому конкретному запросу.
Ваша способность видеть информацию о сделках по экономическому развитию может также зависеть от , когда вы его запрашиваете. Во многих штатах информация о субсидиях доступна только после подписания соглашения о разработке. Компании (и некоторые государственные служащие) предлагают несколько оправданий такой секретности.Если компания играет на трех местах друг против друга, она может не захотеть, чтобы каждый город узнал личность своих конкурентов. Если сделка будет крупной и потребует значительного приобретения земли, компания может пожелать незаметно обезопасить землю до того, как известие о сделке приведет к росту цен на землю.
Однако некоторые обозреватели отмечают и другие корпоративные мотивы. Они отмечают, что секретность ставит каждый конкурирующий город перед «дилеммой заключенных». То есть, как и подозреваемый, которому полиция сообщила, что его сообщник признался, город, находящийся в неведении, не имеет возможности узнать, сколько субсидий предлагают конкурирующие города.Поскольку это не открытый аукцион, секретность позволяет компаниям получить больше субсидий. Они также отмечают, что секретность служит интересам компании, если она ожидает, что сделка будет противодействовать со стороны общественности из-за токсичных выбросов или других спорных результатов сделки.
Однако не думайте, что вы не сможете получить доступ к информации о сделке до ее подписания. Поскольку большинство сделок включают в себя дискреционные субсидии, которые требуют публичных слушаний и голосования в совете директоров, обычно между объявлением о сделке и ее официальным вступлением в силу проходит небольшой период, когда должна быть доступна некоторая информация (особенно когда ее опубликование необходимо для обеспечения существенного участия общественности).
Как подать запрос FOIA
Во многих случаях вы можете получить информацию, просто попросив агентство предоставить ее вам. Если вы точно знаете, какие документы ищете, узнайте, в каком агентстве они есть, позвоните им и попросите прислать их вам. Это лучший первый подход, поскольку получение ответа на официальный письменный запрос, скорее всего, займет несколько недель.
Если вы не уверены, какие документы существуют, или персонал агентства требует письменного запроса, вам нужно будет сделать так называемый запрос FOIA (или « FOIL » — Письмо о свободе информации).Запрос FOIA означает просто написание письма с запросом документов в соответствии с Законом о свободе информации.
Направьте свое письмо начальнику отдела агентства, предоставившего субсидию, сотруднику по запросу о свободе информации для этого агентства или, в случае запросов на заключение соглашений о местном развитии, клерку города или округа.
Укажите все применимые законы о свободе информации и опишите свои права в письме, чтобы продемонстрировать свое знакомство с законом.Если вам известен срок, в течение которого на запрос по закону о свободе информации должен быть дан ответ в вашем штате (7 дней, 10 дней и т. Д.), Укажите это также в своем письме.
Важно быть конкретным в вашем информационном запросе. Запрос информации широкого диапазона может задержать ответ агентства. Ваш запрос должен быть достаточно узким, чтобы сотрудник мог понять, какие документы вам нужны. По возможности цитируйте газетные статьи, законодательные отчеты или другие общедоступные документы, чтобы продемонстрировать, что запрашиваемые вами записи действительно существуют.
С другой стороны, вы не хотите быть настолько конкретным, чтобы исключить полезную информацию, о которой вы не знаете. Если вы не уверены в том, какие именно документы вам нужны, попросите «любые и все документы, касающиеся помощи в экономическом развитии компании X, включая, помимо прочего, [перечислить подробности]». Таким образом вы можете получить документы, о существовании которых вы не подозревали.
Вы также можете указать в своем письме, в какой форме вы хотите получить информацию — например, информацию в любом формате или только информацию, доступную в электронном виде.
Агентство может взимать плату за затраты на поиск документов, затраты на проверку документов, чтобы решить, должны ли они быть включены, а также затраты на копирование документов. С вас не могут взиматься расходы на проверку, если в вашем запросе указано, что информация не предназначена для коммерческого использования. Если ваш запрос направлен от имени образовательного или некоммерческого научного учреждения или в качестве представителя средств массовой информации, вы оплачиваете только расходы на дублирование. Многие общественные организации, распространяющие информацию среди населения, могут считаться представителями средств массовой информации.Вы должны указать это в своем письме. Прежде чем сделать запрос, спросите агентство, каков его график оплаты, а также попросите отказаться от него.
Чего ожидать в качестве ответа
Агентство должно ответить на ваше письмо в течение определенного количества дней, сроков, установленных законодательством каждого штата. Согласно федеральному закону, у агентства есть 10 рабочих дней на то, чтобы решить, следует ли ему подчиниться, и проинформировать лицо о решении и праве на подачу апелляции. У агентства есть 20 дней, чтобы ответить на апелляцию, и он должен проинформировать лицо о праве обжаловать его решение в федеральном суде.
Если ваш запрос будет удовлетворен, вам сообщат стоимость копирования информации (если таковая имеется) и инструкции по ее получению. Если ваш запрос будет отклонен, вы получите письмо с указанием причины. Основные причины отказа:
- Ваше описание запрашиваемого документа неадекватно;
- запрошенный материал не существует; или
- некоторые или все материалы не подлежат разглашению.
Если ваш запрос отклонен, потому что документы, которые вы хотите, подпадают под одно из исключений Закона об открытых записях, в письме должно быть указано, какое исключение это (обычно с обязательной ссылкой).В нем также должно быть объяснено ваше право на апелляцию.
Обжалование отказа
Агентство, в которое вы направляете свое письмо по закону о свободе информации, не является окончательным арбитром в отношении того, что является или не является публичным. Есть два пути для принятия решения по апелляции: первый — это генеральный прокурор, который может дать заключение о том, как следует толковать Закон; другой — государственные суды, которые могут рассматривать судебные дела, возбужденные гражданами, стремящимися получить доступ к публичным документам. В вашем письме будет объяснен процесс апелляции в вашем штате.
Когда ничего не помогает, вызовите адвоката. Попробуйте обратиться в Американский союз гражданских свобод или Национальную гильдию юристов в вашем районе. Как только адвокат будет задействован — даже если вы просто отправите ему копию по вашему информационному запросу, — официальные лица будут действовать более осторожно. Если они не думают, что вы подадите иск, они могут проигнорировать ваш запрос. Вы также можете попытаться связаться с дружелюбным местным чиновником, чтобы оказать давление на агентство, или попросить кого-нибудь сделать запрос, если вы считаете, что агентство настроено против вас или вашей организации.
Дополнительные ресурсы
У Репортерского комитета по свободе прессы есть отличное руководство по законам штата об открытых записях и открытых заседаниях на сайте www.rcfp.org/cgi-local/tapping/index.cgi, а также руководство по федеральной свободе. Закона об информации на www.rcfp.org/foiact/index.html.
Законы об удалении данных
Содержание
Контакт
Обзор
Личная идентификационная информация часто собирается предприятиями и правительством и хранится в различных форматах — цифровом и бумажном.По крайней мере, 35 штатов и Пуэрто-Рико приняли законы, требующие от частных или государственных организаций или от того и другого уничтожать, утилизировать или иным образом сделать личную информацию нечитаемой или неразборчивой.
Правило утилизации Федеральной торговой комиссии также требует надлежащего удаления информации в отчетах и записях потребителей для защиты от «несанкционированного доступа или использования информации». Правило применяется к отчетам потребителей или информации, полученной из отчетов потребителей. HIPAA также имеет требования по утилизации защищенной медицинской информации.
ОБРАТИТЕ ВНИМАНИЕ: NCSL обслуживает законодателей штата и их сотрудников. Этот сайт предоставляет только общую сравнительную информацию и не должен рассматриваться или толковаться как юридическая консультация.
Государство | Относится к правительству? | Применяется к предприятиям? | Устав |
|---|---|---|---|
Алабама | Есть | Есть | Ala.Кодекс § 8-38-10 |
Аляска | Есть | Есть | Аляска Стат. § 45.48.500 и след. |
Аризона 1 | Есть | Есть | Ariz. Rev. Stat. § 44-7601 |
Арканзас | Есть | Есть | Ark.Кодекс §§ 4-110-103, -104 |
Калифорния | № | Есть | Cal. Civ. Кодекс §§ 1798.81, 1798.81.5, 1798.84 |
Колорадо | № | Есть | Colo. Rev. Stat. § 6-1-713 |
Коннектикут | № | Есть | Conn.Gen. Stat. § 42-471 |
Делавэр 2 | № 2 | Есть | Код тит. 6 § 5001C до -5004C, Del. Code tit. 19 § 736 |
Флорида | № | Есть | Fla.Стат. Статья 501.171 (8) |
Грузия | № | Есть | Кодекс штата Вашингтон, § 10-15-2 |
Гавайи | Есть | Есть | Haw. Rev. Stat. §§ 487R-1, 487R-2, 487R-3, Haw. Rev. Stat. § 261-17.7 (d), Haw. Rev. Stat. § 52D-14 (с) 3 |
Иллинойс | Есть | Есть | 20 ILCS 450/20, 815 ILCS 530/30, 815 ILCS 530/40 |
Индиана | № | Есть | Ind.§§ 24-4-14-8, 24-4.9-3-3.5 (d) |
Канзас | Есть | Есть | Kan. Stat. § 50-6, 139b (2) |
Кентукки | № | Есть | Ky. Rev. Stat. § 365.725 |
Луизиана | № | Есть | La.Р.С. 51: 3074 (В) |
Мэриленд | Есть | Есть | Md. Com. Закон § 14-3502, Md. State Govt. Кодекс § 10-1303 |
Массачусетс | Есть | Есть | Mass. Gen. Laws Ch. 93I, § 2 |
Мичиган | Есть | Есть | MCL § 445.72а |
Монтана | № | Есть | Mont. Код Энн. § 30-14-1703 |
Небраска | № | Есть | Neb. Rev. Stat. § 87-808 (1) |
Невада | № | Есть | Нев.Rev. Stat. § 603A.200 |
Нью-Джерси | Есть | Есть | N.J. Stat. § 56: 8-161, -162 |
Нью-Мексико | № | Есть | N.M. Stat.§ 57-12C-3 |
Нью-Йорк | № | Есть | Н.Ю. Генерал Автобус. Закон § 399-H |
Северная Каролина | № | Есть | N.C. Gen. Stat. § 75-64 |
Орегон | Есть | Есть | Ore. Rev. Stat. § 646A.622 |
Род-Айленд | № | Есть | р.I. Общие законы § 6-52-2 |
Южная Каролина | Есть | Есть | Код S.C., § 37-20-190, Код S.C. 30-2-310 |
Теннесси | № | Есть | Кодекс штата Теннесси § 39-14-150 (g) |
Техас | № | Есть | текс.Автобус. & Com. Кодекс § 72.004, § 521.052 |
Юта | № | Есть | Кодекс штата Юта § 13-44-201 |
Вермонт | № | Есть | 9 Вт Стат. § 2445 |
Вирджиния | Есть | № | Va.Кодекс § 2.2-2009 (F) |
Вашингтон | Есть | Есть | Мойка. Кодекс поправки § 19.215.020 |
Висконсин 4 | № | Есть | Wisc. Стат. Статья 134.97 |
Пуэрто-Рико | Закон 2014 г. № 234-2014 |
1 Относится только к бумажным записям.
2 Относится к работодателям, включая правительство.
3 Требует от полиции и сотрудников аэропорта уничтожить личную информацию об утерянных устройствах до того, как устройство будет реализовано на аукционе.
4 Относится к финансовым учреждениям, медицинским предприятиям или предприятиям по подготовке налоговых деклараций.
Дополнительные ресурсы
Правило конфиденциальности HIPAA | HHS.gov
Правило конфиденциальности HIPAA устанавливает национальные стандарты защиты медицинских записей и другой личной медицинской информации и применяется к планам медицинского страхования, информационным центрам здравоохранения и тем поставщикам медицинских услуг, которые проводят определенные операции в области здравоохранения в электронном виде.Правило требует соответствующих мер безопасности для защиты конфиденциальности личной информации о здоровье и устанавливает ограничения и условия на использование и раскрытие такой информации без разрешения пациента. Правило также дает пациентам права на информацию о своем здоровье, включая право проверять и получать копии своих медицинских карт, а также запрашивать исправления.
Правило конфиденциальности находится в 45 CFR Часть 160 и Подразделах A и E Части 164.
Щелкните здесь, чтобы просмотреть объединенный текст всех правил административного упрощения HIPAA, содержащихся в 45 CFR 160, 162 и 164.
История правил конфиденциальности
- 10 декабря 2020 г. — Изменения в правиле конфиденциальности HIPAA для расширения возможностей пациентов, улучшения согласованного ухода и снижения нормативной нагрузки — предлагаемое правило *, **
- 14 декабря 2018 г. — Изменение правил HIPAA для улучшения скоординированного ухода — Запрос информации (https://www.govinfo.gov/content/pkg/FR-2018-12-14/pdf/2018-27162.pdf)
- 6 января 2016 г. — Правило конфиденциальности HIPAA и Национальная система мгновенной проверки криминального прошлого (NICS) — Окончательное правило
- 6 февраля 2014 г. — Доступ пациентов к отчетам об испытаниях в соответствии с Правилом конфиденциальности HIPAA и Поправками к программе улучшения клинических лабораторий 1988 г. (CLIA) — Окончательное правило
- 7 января 2014 г. — Правило конфиденциальности HIPAA и NICS — Предлагаемое правило
- 23 апреля 2013 г. — Правило конфиденциальности HIPAA и NICS — Предварительное уведомление о предлагаемом создании правил
- 25 января 2013 г. — Изменения в правилах HIPAA конфиденциальности, безопасности, правоприменения и уведомления о нарушениях в соответствии с Законом о медицинских информационных технологиях для экономического и клинического здоровья (HITECH) и Законом о недискриминации генетической информации, а также другие изменения — Окончательное правило (» Окончательное правило Omnibus HIPAA «)
- 14 сентября 2011 г. — Доступ пациентов к отчетам об испытаниях в соответствии с Правилом конфиденциальности HIPAA и Программой CLIA — Предлагаемое правило
- 31 мая 2011 г. — Правило конфиденциальности HIPAA Учет раскрытия информации в соответствии с Законом HITECH — Предлагаемое правило (https: // www.govinfo.gov/content/pkg/FR-2011-05-31/pdf/2011-13297.pdf)
- 14 июля 2010 г. — Изменения в правилах конфиденциальности, безопасности и правоприменения HIPAA в соответствии с Законом HITECH — Предлагаемое правило
- 3 мая 2010 г. — Правило конфиденциальности HIPAA Учет раскрытия информации в соответствии с Законом HITECH — Запрос информации (https://www.govinfo.gov/content/pkg/FR-2010-05-03/pdf/2010-10054.pdf )
- 7 октября 2009 г. — Правило конфиденциальности HIPAA; Изменения в соответствии с Законом о недискриминации в отношении генетической информации — предлагаемое правило
- 14 августа 2002 г. — Изменения правила конфиденциальности HIPAA — Окончательное правило (PDF)
- 27 марта 2002 г. — Изменения правила конфиденциальности HIPAA — Предлагаемое правило (PDF)
- 28 февраля 2001 г. — запрос комментариев от 28 декабря 2000 г., окончательное правило конфиденциальности HIPAA (PDF)
- 26 февраля 2001 г. — Исправлены даты вступления в силу и соответствия окончательного правила конфиденциальности HIPAA (PDF)
- 29 декабря 2000 г. — Технические поправки к окончательному правилу конфиденциальности HIPAA (PDF)
- 28 декабря 2000 г. — Правило конфиденциальности HIPAA — Окончательное правило (PDF)
- 3 ноября 1999 г. — Правило конфиденциальности HIPAA — Предлагаемое правило (PDF)
* Этот одобренный HHS документ передается в Управление Федерального реестра (OFR) для публикации и еще не был размещен для всеобщего обозрения или опубликован в Федеральном реестре.Этот документ может незначительно отличаться от опубликованного, если в процессе проверки OFR были внесены незначительные редакционные изменения. Документ, опубликованный в Федеральном реестре, является официальным документом, одобренным HHS.
** Люди, использующие вспомогательные технологии, могут не иметь полного доступа к информации в этом файле. За помощью обращайтесь в Управление по гражданским правам HHS по телефону (800) 368-1019, по бесплатному телефону TDD: (800) 537-7697 или по электронной почте [email protected].
Другие уведомления о правилах конфиденциальности
Другие правила административного упрощения
Эти основные юридические документы могут помочь защитить ваш бизнес в долгосрочной перспективе
Документация, хотя ее часто считают скучной и обыденной, играет ключевую роль в защите интересов вашего бизнеса, а также может защитить владельца бизнеса.Хотя один лист бумаги может показаться несущественным фактором успеха в бизнесе, он может обеспечить огромную защиту, если юридический вопрос поднимет его в будущем.
Несмотря на то, что эти документы полезны для установления, защиты и поддержания деловых отношений, а также общих бизнес-политик и процедур, они также могут принести пользу вашему бизнесу за пределами юридической сферы. Например, они могут служить важным ресурсом для ваших сотрудников и ассоциированных партнеров и помочь создать прочную основу для роста и успеха вашего бизнеса.
Вот некоторые из юридических документов, которые имеют жизненно важное значение для вашего бизнеса. Хотя сайты «сделай сам» могут стать отправной точкой, опытный юрист может обеспечить максимальную защиту и предложить дополнительную информацию, которую невозможно получить, ответив на несколько вопросов в режиме онлайн.
1. Документация по служебной деятельности и дисциплине сотрудниковПо мере роста вашего бизнеса количество сотрудников, вероятно, будет расти вместе с ним. Независимо от того, есть ли у вас пять или 50 сотрудников, владельцы бизнеса должны понимать важность документирования административных аспектов взаимоотношений между работодателем и сотрудником, таких как производительность и дисциплина сотрудников.
Документация, которая отслеживает и фиксирует производительность и дисциплину сотрудников, не только предоставляет ресурс в вашем бизнесе, чтобы помочь вашим сотрудникам расти в профессиональном плане с той же скоростью, что и ваш бизнес, этот тип документации также может помочь защитить ваш бизнес в случае возникновения проблем с сотрудниками. Как владелец бизнеса, что бы вы сделали, если бы один из ваших сотрудников начал со временем увольняться, что нанесло бы вашему бизнесу финансовый и репутационный ущерб? Разве вы не хотели бы иметь какой-то документ для проверки или поддержки принятых вами решений?
В случае, если сотрудник обещает изменить ситуацию, но не реализует этот план, последствия этих действий могут быть закреплены в судебном порядке, если они согласованы и установлены посредством правильной документации.Кроме того, надлежащая документация может помочь вам избежать ненужных расходов на ваш счет по безработице и поддержать эти дисциплинарные решения.
Никто и представить себе не может, что им придется подать иск против сотрудника или наоборот, но эти документы могут служить значимой защитой, а также сэкономить ваше рабочее время и деньги в долгосрочной перспективе.
2. Трудовые договоры с работникамиПисьменный трудовой договор разъясняет ожидания как работодателя, так и его работника, чтобы помочь избежать будущих конфликтов, затрагивая важные аспекты трудового договора.Трудовой договор обычно устанавливает компенсацию, льготы, обязанности, конфиденциальность и многое другое. Этот тип документации не только устанавливает официальные отношения между работодателем и лицом, с которым он стремится к сотруднику, но также служит источником и справкой в случае возникновения спора по поводу любого недоразумения в отношении условий найма. Кроме того, такие соглашения могут помешать сотруднику сбежать с вашими клиентами или вашими лучшими сотрудниками. Кто бы не захотел добавить этот уровень защиты?
3.Соглашения о конфиденциальностиВы когда-нибудь задумывались, как формула Coca-Cola остается секретом более века? Многие компании, у которых есть секреты своей продукции или торговли, обеспечивают соблюдение соглашений о конфиденциальности со своими сотрудниками и рабочими.
Соглашение или пункт о конфиденциальности были разработаны, чтобы удержать сотрудника от раскрытия секретов и информации компании конкурентам или третьим лицам. Сейчас, когда молодые сотрудники меняют работу чаще, чем когда-либо, безусловно, стоит подумать о соглашении о конфиденциальности, если вам нужно держать в секрете большую часть своих деловых операций и информации.То, как вы делаете то, что делаете, и кому вы предоставляете эту услугу, — это всего лишь два небольших примера типов информации, которую вы можете защитить с помощью Соглашения о конфиденциальности.
4. Справочник сотрудникаСправочник для сотрудников — это не просто документ, а сборник политик компании и рабочих мест, а также информация, в которой подробно описаны важные темы для ваших сотрудников и установлены нормы компании. Владельцы бизнеса обязаны информировать своих сотрудников об определенных правах и обязанностях.Их составление и занесение в справочник, который проверяется и становится доступным для сотрудников, — это распространенный метод, позволяющий избежать гражданских сборов и штрафов в вашем бизнесе.
Справочник сотрудника должен не только охватывать важные темы, но и служить справочником по политике на рабочем месте, хорошему и плохому поведению и многому другому. Хотя ни законы штата, ни федеральные законы не устанавливают, что должно включать в себя руководство для сотрудников, передовой опыт предполагает включение следующих тем:
- Компенсации и льготы
- Условия отпуска
- Стандарты поведения (например, использование компьютера и недопустимость кражи)
- Охрана и безопасность
- Политика преследования и недопущения дискриминации
Справочник сотрудника является важным инструментом в создании и применении этих политик сейчас и в будущем.Наличие этих деталей в справочнике для сотрудников также исключает возможность недопонимания между сотрудником и работодателем, тем самым ограничивая ответственность судебными процессами с участием этих субъектов.
5. Политика конфиденциальности и Условия использованияНекоторые из наиболее востребованных юридических документов в бизнесе — это условия обслуживания и политика конфиденциальности. Почему эти две правовые политики так важны для бизнеса? Во-первых, работодатели несут ответственность за защиту личной информации как сотрудников, так и клиентов.В политике конфиденциальности, например, четко указывается, какая информация может быть обнародована, а что требуется для сохранения конфиденциальности — например, медицинские записи сотрудников, номера телефонов, физические адреса или адреса электронной почты.
Во-вторых, политика условий обслуживания и политика конфиденциальности защищают ваш бизнес несколькими способами, включая ограничение или предотвращение судебных исков со стороны пользователей в отношении использования их информации, возможность принимать меры против пользователя, который злоупотребляет вашим веб-сайтом — будь то публикует что-то оскорбительное или оскорбительное, или взламывает веб-сайт.
Проактивность в оценке того, какие документы необходимо создать вашему бизнесу, имеет решающее значение для успеха бизнеса. Владельцы бизнеса, которые осознают необходимость этих документов, могут сэкономить время, деньги и головную боль в долгосрочной перспективе, избежав юридических проблем из-за недопонимания или отсутствия связи.
Кроме того, владельцы бизнеса должны понимать, что наличие опытного бизнес-юриста, составившего эти документы, может помочь им избежать катастрофы из-за неправильно составленного документа.
Вам нужна помощь в понимании того, какие документы необходимы вашему бизнесу для создания или в составлении этих юридических документов для вашего бизнеса? Свяжитесь с моим офисом сегодня.
Личная информация | Wex | Закон США
право на неприкосновенность частной жизни: доступ к личной информации
Право на неприкосновенность частной жизни эволюционировало, чтобы защитить способность людей определять, какая информация о себе собирается и как эта информация используется. Большинство коммерческих веб-сайтов используют файлы cookie, а также формы для сбора информации от посетителей, такой как имя, адрес, адрес электронной почты, демографические данные, номер социального страхования, IP-адрес и финансовая информация.Во многих случаях эта информация затем предоставляется третьим лицам в маркетинговых целях. Другие организации, такие как федеральное правительство и финансовые учреждения, также собирают личную информацию. Угрозы мошенничества и кражи личных данных, создаваемые этим потоком личной информации, стали стимулом для законодательства о праве на конфиденциальность, требующего раскрытия методов сбора информации, возможностей отказа, а также внутренней защиты собранной информации. Однако такие требования еще не достигли всех сегментов рынка.
15 U.S.C. В § 45 Федеральная торговая комиссия (FTC) обвиняется в предотвращении «недобросовестных методов конкуренции в сфере торговли или воздействия на нее, а также недобросовестных или обманных действий или практик в торговле или влияющих на нее». В вопросах конфиденциальности роль FTC заключается в обеспечении выполнения обещаний о конфиденциальности, данных на рынке. Несколько дополнительных законов образуют основу, на которой FTC выполняет это обвинение: Закон о конфиденциальности 1974 года (5 USC § 552a), Закон Грэмма-Лича-Блили (15 USC §§ 6801-6809), Закон о справедливой кредитной отчетности ( 15 U.S.C. § 1681 и последующие) и Закон о защите конфиденциальности детей в Интернете (15 U.S.C. §§ 6501-6506).
Закон о конфиденциальности 1974 года (5 U.S.C. § 552a) защищает личную информацию, находящуюся в распоряжении федерального правительства, предотвращая несанкционированное раскрытие такой информации. Частные лица также имеют право просматривать такую информацию, запрашивать исправления и получать информацию о любых раскрытиях. Закон о свободе информации облегчает эти процессы.
Закон Грэмма-Лича Блайли (также известный как Закон о финансовой модернизации 1999 г.) устанавливает руководящие принципы защиты личной финансовой информации.По закону (15 U.S.C. § 6803) финансовые учреждения обязаны предоставлять клиентам политику конфиденциальности, в которой объясняется, какие виды информации собираются и как эта информация используется. От таких организаций также требуется разработать меры безопасности для защиты информации, которую они собирают от клиентов.
Закон о справедливой кредитной отчетности (15 U.S.C. § 1681 и последующие) защищает личную финансовую информацию, собранную агентствами по предоставлению отчетов о потребителях. Закон ограничивает круг лиц, имеющих доступ к такой информации, а последующие поправки упростили процесс, с помощью которого потребители могут получать и исправлять собранную информацию о себе.FTC также активно применяет запреты на получение личной финансовой информации обманным путем — преступление, известное как «предлог».
Закон о защите конфиденциальности детей в Интернете (15 U.S.C. §§ 6501-6506) позволяет родителям контролировать, какая информация собирается об их ребенке (младше 13 лет) в Интернете. Операторы веб-сайтов, которые либо нацелены на детей, либо сознательно собирают личную информацию от детей, обязаны публиковать политики конфиденциальности, получать согласие родителей перед сбором информации от детей, позволять родителям определять, как такая информация используется, и предоставлять родителям возможность отказаться будущей коллекции от их ребенка.
Однако, несмотря на права, описанные выше, другие участники рынка не обязаны по закону разрабатывать аналогичные методы защиты и раскрытия информации. Скорее, в остальной части рынка FTC поощряет добровольный режим защиты конфиденциальности потребителей. Однако в двух отчетах Конгрессу (1998, 2000) FTC обнаружила, что большинство сайтов, не подпадающих под юрисдикцию установленных законов о праве на неприкосновенность частной жизни, не информируют потребителей надлежащим образом о методах сбора информации, и большинство сайтов не обеспечивают адекватной защиты конфиденциальности данных. личная информация посетителей.Похоже, что добровольный режим недостаточен, и перспектива дальнейшего принятия законодательства о праве на неприкосновенность частной жизни в области доступа к личной информации вполне реальна.
.