Вниманию руководителей предприятий всех форм собственности городского округа город Уфа Республики Башкортостан

Дата: 11.01.2010
Сфера деятельности: Информационные технологии


В соответствии со ст.22 Федерального закона №152-ФЗ от 27.07.2006 г. «О персональных данных» учреждения и предприятия всех видов (операторы) обязаны до начала обработки персональных данных уведомить уполномоченный орган по защите субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Заполненные и подписанные руководителем уведомления должны быть направлены в адрес уполномоченного органа по защите субъектов персональных данных. На территории Республики Башкортостан уполномоченным органом по защите субъектов персональных данных является Управление Россвязькомнадзора по Республике Башкортостан, находящий по адресу: 450005, г.Уфа, ул.50 лет Октября, 20/1.

Форма уведомления и рекомендации по его заполнению размещены на сайте Управления Россвязькомнадзора по Республике Башкортостан http://02.rsoc.ru

Заместитель руководителя Управления Россвязькомнадзора по Республике Башкортостан М.Я.Хамитов

Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ О персональных данных
Опубликовано 29 июля 2006 г. Принят Государственной Думой 8 июля 2006 года
Одобрен Советом Федерации 14 июля 2006 года
Глава 1. Общие положения
Статья 1. Сфера действия настоящего Федерального закона
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Рос-сийской Федерации, иными государственными органами (далее - государст-венные органы), органами местного самоуправления, не входящими в систе-му органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с ис-пользованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соот-ветствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.
2. Действие настоящего Федерального закона не распространяется на отно-шения, возникающие при:
1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;
2) организации хранения, комплектования, учета и использования содержа-щих персональные данные документов Архивного фонда Российской Феде-рации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
3) обработке подлежащих включению в единый государственный реестр ин-дивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивиду-ального предпринимателя;
4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
Статья 2. Цель настоящего Федерального закона
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и се-мейную тайну.
Статья 3. Основные понятия, используемые в настоящем Федеральном законе
В целях настоящего Федерального закона используются следующие основ-ные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущест-венное положение, образование, профессия, доходы, другая информация;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе пере-дачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на пере-дачу персональных данных определенному кругу лиц (передача персональ-ных данных) или на ознакомление с персональными данными неограничен-ного круга лиц, в том числе обнародование персональных данных в средст-вах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных - действия (операции) с персональ-ными данными, совершаемые оператором в целях принятия решений или со-вершения иных действий, порождающих юридические последствия в отно-шении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных - временное прекращение сбора, сис-тематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных - действия, в результате которых не-возможно восстановить содержание персональных данных в информацион-ной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых не-возможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных - информационная систе-ма, представляющая собой совокупность персональных данных, содержа-щихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных - обязательное для соблюде-ния оператором или иным получившим доступ к персональным данным ли-цом требование не допускать их распространение без согласия субъекта пер-сональных данных или наличия иного законного основания;
11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта пер-сональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
Статья 4. Законодательство Российской Федерации в области персональ-ных данных
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных до-говорах Российской Федерации и состоит из настоящего Федерального зако-на и других определяющих случаи и особенности обработки персональных данных федеральных законов.
2. На основании и во исполнение федеральных законов государственные ор-ганы в пределах своих полномочий могут принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных. Нормативные правовые акты по отдельным вопросам, касающимся обработ-ки персональных данных, не могут содержать положения, ограничивающие права субъектов персональных данных.
Указанные нормативные правовые акты подлежат официальному опублико-ванию, за исключением нормативных правовых актов или отдельных поло-жений таких нормативных правовых актов, содержащих сведения, доступ к которым ограничен федеральными законами.
3. Особенности обработки персональных данных, осуществляемой без ис-пользования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона.
4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным за-коном, применяются правила международного договора.
Глава 2. Принципы и условия обработки персональных данных
Статья 5. Принципы обработки персональных данных
1. Обработка персональных данных должна осуществляться на основе прин-ципов:
1) законности целей и способов обработки персональных данных и добросо-вестности;
2) соответствия целей обработки персональных данных целям, заранее опре-деленным и заявленным при сборе персональных данных, а также полномо-чиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обра-ботки, недопустимости обработки персональных данных, избыточных по от-ношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2. Хранение персональных данных должно осуществляться в форме, позво-ляющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных может осуществляться оператором с со-гласия субъектов персональных данных, за исключением случаев, преду-смотренных частью 2 настоящей статьи.
2. Согласие субъекта персональных данных, предусмотренное частью 1 на-стоящей статьи, не требуется в следующих случаях:
1) обработка персональных данных осуществляется на основании федераль-ного закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработ-ке, а также определяющего полномочия оператора;
2) обработка персональных данных осуществляется в целях исполнения до-говора, одной из сторон которого является субъект персональных данных;
3) обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональ-ных данных;
4) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
5) обработка персональных данных необходима для доставки почтовых от-правлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;
6) обработка персональных данных осуществляется в целях профессиональ-ной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
7) осуществляется обработка персональных данных, подлежащих опублико-ванию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государ-ственной гражданской службы, персональных данных кандидатов на выбор-ные государственные или муниципальные должности.
3. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответст-венно статьями 10 и 11 настоящего Федерального закона.
4. В случае, если оператор на основании договора поручает обработку персо-нальных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональ-ных данных и безопасности персональных данных при их обработке.
Статья 7. Конфиденциальность персональных данных
1. Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за ис-ключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обеспечение конфиденциальности персональных данных не требуется:
1) в случае обезличивания персональных данных;
2) в отношении общедоступных персональных данных.
Статья 8. Общедоступные источники персональных данных
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчест-во, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных дан-ных.
2. Сведения о субъекте персональных данных могут быть в любое время ис-ключены из общедоступных источников персональных данных по требова-нию субъекта персональных данных либо по решению суда или иных упол-номоченных государственных органов.
Статья 9. Согласие субъекта персональных данных на обработку своих персональных данных
1. Субъект персональных данных принимает решение о предоставлении сво-их персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 на-стоящей статьи. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
2. Настоящим Федеральным законом и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персо-нальных данных своих персональных данных в целях защиты основ консти-туционного строя, нравственности, здоровья, прав и законных интересов дру-гих лиц, обеспечения обороны страны и безопасности государства.
3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, а в случае об-работки общедоступных персональных данных обязанность доказывания то-го, что обрабатываемые персональные данные являются общедоступными, возлагается на оператора.

4. В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной фор-ме субъекта персональных данных. Письменное согласие субъекта персо-нальных данных на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер ос-новного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых да-ется согласие, общее описание используемых оператором способов обработ-ки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
5. Для обработки персональных данных, содержащихся в согласии в пись-менной форме субъекта на обработку его персональных данных, дополни-тельное согласие не требуется.
6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта пер-сональных данных, если такое согласие не было дано субъектом персональ-ных данных при его жизни.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся ра-совой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не до-пускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обра-ботку своих персональных данных;
2) персональные данные являются общедоступными;
3) персональные данные относятся к состоянию здоровья субъекта персо-нальных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жиз-ненно важных интересов других лиц, и получение согласия субъекта персо-нальных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, ока-зания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимаю-щимся медицинской деятельностью и обязанным в соответствии с законода-тельством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объ-единения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при ус-ловии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законо-дательством Российской Федерации о безопасности, об оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
3. Обработка персональных данных о судимости может осуществляться го-сударственными органами или муниципальными органами в пределах пол-номочий, предоставленных им в соответствии с законодательством Россий-ской Федерации, а также иными лицами в случаях и в порядке, которые оп-ределяются в соответствии с федеральными законами.
4. Обработка специальных категорий персональных данных, осуществляв-шаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие ко-торых осуществлялась обработка.
Статья 11. Биометрические персональные данные
1. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персо-нальные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением пра-восудия, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, законодательством Российской Федерации об оперативно-розыскной деятельности, законодательством Российской Феде-рации о государственной службе, уголовно-исполнительным законодательст-вом Российской Федерации, законодательством Российской Федерации о по-рядке выезда из Российской Федерации и въезда в Российскую Федерацию.
Статья 12. Трансграничная передача персональных данных
1. До начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на терри-торию которого осуществляется передача персональных данных, обеспечи-вается адекватная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностран-ных государств, обеспечивающих адекватную защиту прав субъектов персо-нальных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена в целях защиты основ кон-ституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
3. Трансграничная передача персональных данных на территории иностран-ных государств, не обеспечивающих адекватной защиты прав субъектов пер-сональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных;
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уго-ловным делам;
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;
4) исполнения договора, стороной которого является субъект персональных данных;
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта пер-сональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.
Статья 13. Особенности обработки персональных данных в государст-венных или муниципальных информационных системах персональных данных
1. Государственные органы, муниципальные органы создают в пределах сво-их полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональ-ных данных.
2. Федеральными законами могут быть установлены особенности учета пер-сональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных спо-собов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных.
3. Права и свободы человека и гражданина не могут быть ограничены по мо-тивам, связанным с использованием различных способов обработки персо-нальных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных дан-ных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежно-сти персональных данных, содержащихся в государственных или муници-пальных информационных системах персональных данных, конкретному субъекту персональных данных.
4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муници-пальных информационных системах персональных данных может быть соз-дан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
Глава 3. Права субъекта персональных данных
Статья 14. Право субъекта персональных данных на доступ к своим пер-сональным данным
1. Субъект персональных данных имеет право на получение сведений об опе-раторе, о месте его нахождения, о наличии у оператора персональных дан-ных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 настоящей статьи. Субъект персональ-ных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно по-лученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3. Доступ к своим персональным данным предоставляется субъекту персо-нальных данных или его законному представителю оператором при обраще-нии либо при получении запроса субъекта персональных данных или его за-конного представителя. Запрос должен содержать номер основного докумен-та, удостоверяющего личность субъекта персональных данных или его за-конного представителя, сведения о дате выдачи указанного документа и вы-давшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответ-ствии с законодательством Российской Федерации.
4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персо-нальных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а так-же цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или ко-торым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получе-ния;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональ-ных данных может повлечь за собой обработка его персональных данных.
5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случае, если:
1) обработка персональных данных, в том числе персональных данных, по-лученных в результате оперативно-розыскной, контрразведывательной и раз-ведывательной деятельности, осуществляется в целях обороны страны, безо-пасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществив-шими задержание субъекта персональных данных по подозрению в соверше-нии преступления, либо предъявившими субъекту персональных данных об-винение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением преду-смотренных уголовно-процессуальным законодательством Российской Феде-рации случаев, если допускается ознакомление подозреваемого или обвиняе-мого с такими персональными данными;
3) предоставление персональных данных нарушает конституционные права и свободы других лиц.
Статья 15. Права субъектов персональных данных при обработке их пер-сональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации
1. Обработка персональных данных в целях продвижения товаров, работ, ус-луг на рынке путем осуществления прямых контактов с потенциальным по-требителем с помощью средств связи, а также в целях политической агита-ции допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признает-ся осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено.
2. Оператор обязан немедленно прекратить по требованию субъекта персо-нальных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
Статья 16. Права субъектов персональных данных при принятии реше-ний на основании исключительно автоматизированной обработки их персональных данных
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические по-следствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и закон-ные интересы, может быть принято на основании исключительно автомати-зированной обработки его персональных данных только при наличии согла-сия в письменной форме субъекта персональных данных или в случаях, пре-дусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
3. Оператор обязан разъяснить субъекту персональных данных порядок при-нятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого ре-шения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить субъ-екта персональных данных о результатах рассмотрения такого возражения.
Статья 17. Право на обжалование действий или бездействия оператора
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъ-ект персональных данных вправе обжаловать действия или бездействие опе-ратора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
2. Субъект персональных данных имеет право на защиту своих прав и закон-ных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Глава 4. Обязанности оператора
Статья 18. Обязанности оператора при сборе персональных данных
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ча-стью 4 статьи 14 настоящего Федерального закона.
2. Если обязанность предоставления персональных данных установлена фе-деральным законом, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
3. Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предос-тавлены оператору на основании федерального закона или если персональ-ные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его пред-ставителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные настоящим Федеральным законом права субъекта персо-нальных данных.
Статья 19. Меры по обеспечению безопасности персональных данных при их обработке
1. Оператор при обработке персональных данных обязан принимать необхо-димые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, из-менения, блокирования, копирования, распространения персональных дан-ных, а также от иных неправомерных действий.
2. Правительство Российской Федерации устанавливает требования к обеспе-чению безопасности персональных данных при их обработке в информаци-онных системах персональных данных, требования к материальным носите-лям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
3. Контроль и надзор за выполнением требований, установленных Прави-тельством Российской Федерации в соответствии с частью 2 настоящей ста-тьи, осуществляются федеральным органом исполнительной власти, уполно-моченным в области обеспечения безопасности, и федеральным органом ис-полнительной власти, уполномоченным в области противодействия техниче-ским разведкам и технической защиты информации, в пределах их полномо-чий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
4. Использование и хранение биометрических персональных данных вне ин-формационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой тех-нологии ее хранения, которые обеспечивают защиту этих данных от непра-вомерного или случайного доступа к ним, уничтожения, изменения, блоки-рования, копирования, распространения.
Статья 20. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представите-ля, а также уполномоченного органа по защите прав субъектов персо-нальных данных
1. Оператор обязан в порядке, предусмотренном статьей 14 настоящего Фе-дерального закона, сообщить субъекту персональных данных или его закон-ному представителю информацию о наличии персональных данных, относя-щихся к соответствующему субъекту персональных данных, а также предос-тавить возможность ознакомления с ними при обращении субъекта персо-нальных данных или его законного представителя либо в течение десяти ра-бочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъ-екта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в пись-менной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персо-нальных данных или его законного представителя.
3. Оператор обязан безвозмездно предоставить субъекту персональных дан-ных или его законному представителю возможность ознакомления с персо-нальными данными, относящимися к соответствующему субъекту персо-нальных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведе-ний, подтверждающих, что персональные данные, которые относятся к соот-ветствующему субъекту и обработку которых осуществляет оператор, явля-ются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесен-ных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, кото-рым персональные данные этого субъекта были переданы.
4. Оператор обязан сообщить в уполномоченный орган по защите прав субъ-ектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
Статья 21. Обязанности оператора по устранению нарушений законода-тельства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
1. В случае выявления недостоверных персональных данных или неправо-мерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномочен-ного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответст-вующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональ-ных данных или его законным представителем либо уполномоченным орга-ном по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявле-ния, обязан устранить допущенные нарушения. В случае невозможности уст-ранения допущенных нарушений оператор в срок, не превышающий трех ра-бочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допу-щенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного предста-вителя, а в случае, если обращение или запрос были направлены уполномо-ченным органом по защите прав субъектов персональных данных, также ука-занный орган.
4. В случае достижения цели обработки персональных данных оператор обя-зан незамедлительно прекратить обработку персональных данных и уничто-жить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъ-екта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защи-те прав субъектов персональных данных, также указанный орган.
5. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персо-нальных данных и уничтожить персональные данные в срок, не превышаю-щий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исклю-чением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной кото-рого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или ре-лигиозной организации и обрабатываемых соответствующими обществен-ным объединением или религиозной организацией, действующими в соот-ветствии с законодательством Российской Федерации, для достижения за-конных целей, предусмотренных их учредительными документами, при ус-ловии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
4) являющихся общедоступными персональными данными;
5) включающих в себя только фамилии, имена и отчества субъектов персо-нальных данных;
6) необходимых в целях однократного пропуска субъекта персональных дан-ных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизиро-ванных информационных систем, а также в государственные информацион-ные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Рос-сийской Федерации, устанавливающими требования к обеспечению безопас-ности персональных данных при их обработке и к соблюдению прав субъек-тов персональных данных.
3. Уведомление, предусмотренное частью 1 настоящей статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подпи-сью в соответствии с законодательством Российской Федерации. Уведомле-ние должно содержать следующие сведения:
1) наименование (фамилия, имя, отчество), адрес оператора;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание исполь-зуемых оператором способов обработки персональных данных;
7) описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
дата начала обработки персональных данных;
9) срок или условие прекращения обработки персональных данных.
4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персо-нальных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр опера-торов. Сведения, содержащиеся в реестре операторов, за исключением све-дений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.
5. На оператора не могут возлагаться расходы в связи с рассмотрением уве-домления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
6. В случае предоставления неполных или недостоверных сведений, указан-ных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов.
7. В случае изменения сведений, указанных в части 3 настоящей статьи, опе-ратор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений.
Глава 5. Контроль и надзор за обработкой персональных данных. Ответ-ственность за нарушение требований настоящего Федерального закона
Статья 23. Уполномоченный орган по защите прав субъектов персональ-ных данных
1. Уполномоченным органом по защите прав субъектов персональных дан-ных, на который возлагается обеспечение контроля и надзора за соответстви-ем обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти, осуществляю-щий функции по контролю и надзору в сфере информационных технологий и связи.
2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии со-держания персональных данных и способов их обработки целям их обработ-ки и принимает соответствующее решение.
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1) запрашивать у физических или юридических лиц информацию, необходи-мую для реализации своих полномочий, и безвозмездно получать такую ин-формацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обра-ботке персональных данных, или привлекать для осуществления такой про-верки иные государственные органы в пределах их полномочий;
3) требовать от оператора уточнения, блокирования или уничтожения недос-товерных или полученных незаконным путем персональных данных;
4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональ-ных данных, осуществляемой с нарушением требований настоящего Феде-рального закона;
5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персо-нальных данных и представлять интересы субъектов персональных данных в суде;
6) направлять заявление в орган, осуществляющий лицензирование деятель-ности оператора, для рассмотрения вопроса о принятии мер по приостанов-лению действия или аннулированию соответствующей лицензии в установ-ленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
7) направлять в органы прокуратуры, другие правоохранительные органы ма-териалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных дан-ных, в соответствии с подведомственностью;
вносить в Правительство Российской Федерации предложения о совер-шенствовании нормативного правового регулирования защиты прав субъек-тов персональных данных;
9) привлекать к административной ответственности лиц, виновных в нару-шении настоящего Федерального закона.
4. В отношении персональных данных, ставших известными уполномочен-ному органу по защите прав субъектов персональных данных в ходе осуще-ствления им своей деятельности, должна обеспечиваться конфиденциаль-ность персональных данных.
5. Уполномоченный орган по защите прав субъектов персональных данных обязан:
1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных;
2) рассматривать жалобы и обращения граждан или юридических лиц по во-просам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указан-ных жалоб и обращений;
3) вести реестр операторов;
4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных;
5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приос-тановлению или прекращению обработки персональных данных;
6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;
7) выполнять иные предусмотренные законодательством Российской Феде-рации обязанности.
6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.
7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собра-ние Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.
8. Финансирование уполномоченного органа по защите прав субъектов пер-сональных данных осуществляется за счет средств федерального бюджета.
9. При уполномоченном органе по защите прав субъектов персональных дан-ных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномо-ченным органом по защите прав субъектов персональных данных.
Статья 24. Ответственность за нарушение требований настоящего Феде-рального закона
Лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответст-венность.
Глава 6. Заключительные положения
Статья 25. Заключительные положения
1. Настоящий Федеральный закон вступает в силу по истечении ста восьми-десяти дней после дня его официального опубликования.
2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональ-ных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом.
3. Информационные системы персональных данных, созданные до дня всту-пления в силу настоящего Федерального закона, должны быть приведены в соответствие с требованиями настоящего Федерального закона не позднее 1 января 2010 года.
4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осу-ществлять такую обработку после дня его вступления в силу, обязаны напра-вить в уполномоченный орган по защите прав субъектов персональных дан-ных, за исключением случаев, предусмотренных частью 2 статьи 22 настоя-щего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года.
Президент
Российской Федерации
В. Путин
"Российская газета" - Федеральный выпуск №4131 от 29 июля 2006 г.

У меня жена владеет салоном красоты. В салоне установлена СРМ, где хранятся данные о клиентах. Т.е. ФИО, адрес, телефон.
Подпадает ли это под действие ФЗ и нужно ли вставать на учет?

не туда пишешь, здесь вряд ли помогут, иди на специализированные форумы.

Если коротко:
- Попадает полюбому.
- Подавать уведомление нужно обязательно, кроме случаев Статьи 22 п.2

попадает :rolleyes:

Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, в том числе:
- его фамилия, имя, отчество,
- год, месяц, дата и место рождения,
- адрес, семейное, социальное, имущественное положение, образование, профессия, доходы,
- другая информация (см. ФЗ-152, ст.3).

Например: паспортные данные, финансовые ведомости, медицинские карты, год рождения (для женщин), биометрия, другая идентификационная информация личного характера.

вот блин, усложнили жизнь !