Модельный закон «О персональных данных»


Настоящий Закон определяет операции с персональными данными и их правовой режим с учетом общепризнанных норм международного права и обязательств по международным договорам.

Статья 1. Цель Закона

Целью закона является защита прав человека в отношении его персональных данных и операций с ними, определение правового режима использования персональных данных и функций их держателей.

Статья 2. Основные термины и определения

Персональные данные — информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.

Материальные носители — материальные объекты (в том числе физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов.

Субъект персональных данных (субъект) — человек, к которому относятся соответствующие персональные данные.

Держатель персональных данных (держатель) — органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие действия с персональными данными на законных основаниях.

Действия (операции) держателя с персональными данными — сбор, хранение, уточнение, передача, блокирование, обезличивание и уничтожение персональных данных.

Сбор персональных данных — документально оформленная процедура получения держателем персональных данных от субъектов этих данных.

Передача персональных данных — предоставление держателем персональных данных третьим лицам в соответствии с законом и международными договорами.

Трансграничная передача персональных данных — передача держателем персональных данных этих данных держателям, которые находятся под юрисдикцией другого государства.

Уточнение персональных данных — оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными национальным законодательством.

Блокирование персональных данных — временное прекращение передачи, уточнения и уничтожения персональных данных.

Уничтожение персональных данных — действия держателя персональных данных по приведению последних в состояние, не позволяющее восстановить их содержание.

Обезличивание персональных данных — изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.

База персональных данных — упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).

Режим конфиденциальности персональных данных — нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных.

Статья 3. Принципы правового регулирования персональных данных

1. Персональные данные должны быть получены и обработаны законным образом на основании действующего законодательства.

2. Персональные данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме.

3. Персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним.

4. Персональные данные, предоставляемые держателем, должны быть точными и в случае необходимости обновляться.

5. Персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежать уничтожению по достижении этой цели или при миновании надобности.

6. Должны приниматься меры для охраны персональных данных, исключающие случайное или несанкционированное разрушение или случайную их утрату, а равно несанкционированный доступ к ним, изменение, блокирование или передачу данных.

7. Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации.

8. Для лиц, занимающих высшие государственные должности, и кандидатов на эти должности национальным законодательством может быть установлен специальный правовой режим для их персональных данных, обеспечивающий открытость только общественно значимых данных.

Статья 4. Правовой режим персональных данных

1. Правовой режим персональных данных — нормативно установленные правила, определяющие условия доступа, хранения, уточнения, передачи, блокирования, обезличивания и уничтожения персональных данных.

2. Персональные данные, находящиеся в ведении держателя, относятся к конфиденциальной информации, кроме случаев, определенных настоящим Законом.

3. Режим конфиденциальности персональных данных снимается в случаях обезличивания персональных данных; требований субъекта в отношении своих персональных данных, не противоречащих национальному законодательству; включения персональных данных в общедоступные базы данных.

4. По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (био-, библиографические справочники, телефонные книги, адресные книги, частные объявления и т.д.).

5. С момента смерти субъекта персональных данных правовой режим персональных данных подлежит замене на режим архивного хранения или иной правовой режим, предусмотренный национальным законодательством.

6. Правовой режим для персональных данных, полученных в результате деятельности правоохранительных органов, устанавливается в соответствии с национальным законодательством.

7. Защита персональных данных умершего лица может осуществляться другими лицами, в том числе наследниками, в порядке, предусмотренном национальным законодательством о защите чести, достоинства, деловой репутации, личной и семейной тайн.

Статья 5. Основные формы государственного регулирования

Государство может осуществлять регулирование действий держателей персональных данных в формах:

— лицензирования действий с персональными данными;

— регистрации баз персональных данных;

— регистрации держателей персональных данных;

— сертификации информационных систем, предназначенных для обработки персональных данных.

Статья 6. Лицензирование действий (операций) с персональными данными

Путем лицензирования действий с персональными данными обеспечивается государственный контроль над деятельностью в этой сфере. Лицензия на действия с персональными данными выдается органами исполнительной власти, на которые возложены функции защиты прав субъектов персональных данных.

В лицензии на действия с персональными данными указываются:

— цели и способы получения и использования персональных данных, режимы и сроки их хранения;

— категории или группы субъектов персональных данных;

— перечень персональных данных;

— источники персональных данных;

— порядок информирования субъектов о получении их персональных данных;

— меры по обеспечению сохранности персональных данных и конфиденциальности обращения с ними;

— лица, непосредственно ответственные за работу с персональными данными;

— требование наличия сертификатов на информационные системы, предназначенные для обработки персональных данных, средств защиты информационных систем и персональных данных.

Информационные продукты, содержащие персональные данные, а также информация, предоставляемая субъекту персональных данных, должны содержать ссылку на выданную лицензию.

Лицензия не требуется:

— органам государственной власти и органам местного самоуправления, осуществляющим работу с персональными данными в соответствии со своей компетенцией;

— в случае работы с персональными данными для целей, исключающих передачу персональных данных иным юридическим и физическим лицам;

— в случае получения этих данных в личных целях, не предполагающих их распространения.

Статья 7. Регистрация баз персональных данных

Регистрация баз персональных данных обеспечивает их гласный учет и позволяет информировать граждан о возможностях доступа к своим персональным данным.

Базы персональных данных подлежат обязательной регистрации в органах исполнительной власти, на которые возложены функции защиты прав субъектов персональных данных.

При регистрации баз персональных данных фиксируются наименование баз персональных данных; цели получения и использования персональных данных; перечень собираемых персональных данных; категории или группы субъектов персональных данных; сроки хранения персональных данных.

Статья 8. Регистрация держателей персональных данных

Регистрация держателей персональных данных обеспечивает ведение общедоступного Реестра держателей персональных данных.

При регистрации держателей персональных данных указываются:

— цели и способы получения и использования персональных данных, режим и сроки их хранения;

— категории или группы субъектов персональных данных;

— источники персональных данных;

— порядок информирования субъектов о сборе их персональных данных;

— меры по обеспечению сохранности персональных данных и конфиденциальности действий с ними;

— лица, непосредственно ответственные за работу с персональными данными;

— требование наличия сертификатов на информационные системы, предназначенные для обработки персональных данных, средств защиты информационных систем и персональных данных.

Статья 9. Сертификация автоматизированных информационных систем, предназначенных для обработки персональных данных

Сертификация автоматизированных информационных систем, предназначенных для обработки персональных данных, осуществляется с целью обеспечения требуемого уровня безопасности персональных данных.

Сертификации подлежат предназначенные для обработки персональных данных автоматизированные информационные системы, а также средства защиты информационных систем и персональных данных. Сертификацию осуществляют органы по сертификации в соответствии с национальным законодательством.

Статья 10. Трансграничная передача персональных данных

1. Не может запрещаться или ставиться под специальный контроль трансграничная передача персональных данных, за исключением случаев, создающих угрозу национальной безопасности, и при необеспечении адекватного уровня защиты персональных данных.

2. Государство обеспечивает законные меры защиты находящихся на его территории или передаваемых через его территорию персональных данных, исключающие их искажение и несанкционированное использование.

3. При трансграничной передаче персональных данных передающая сторона исходит из того, что в соответствии с межгосударственными соглашениями либо национальным законодательством другая сторона обеспечивает адекватный уровень защиты прав субъектов персональных данных и охраны этих данных.

4. Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты этих данных, может иметь место при условии:

— явно выраженного согласия субъекта персональных данных на эту передачу;

— необходимости передачи персональных данных для заключения и (или) исполнения договора между субъектом и держателем персональных данных либо между держателем и третьей стороной в интересах субъекта персональных данных;

— если передача необходима для защиты жизненно важных интересов субъекта персональных данных;

— если персональные данные содержатся в общедоступной базе персональных данных.

.

Статья 11. Общедоступные базы персональных данных

1. В целях информационного обеспечения в стране могут создаваться общедоступные базы персональных данных (справочники, телефонные книги, адресные книги и т.д.).

2. В общедоступные базы персональных данных с письменного согласия субъекта могут включаться следующие персональные данные: фамилия, имя, отчество, год и место рождения, адрес, номер контактного телефона, сведения о профессии, иные сведения, предоставленные субъектом, сведения, полученные из открытых источников.

3. В случае, если персональные данные получены держателем из открытых источников либо иных общедоступных баз персональных данных, держатель общедоступной базы информирует субъекта о содержании его персональных данных и цели их использования.

4. Сведения о конкретных субъектах могут быть в любое время исключены из базы на основании:

— распоряжения субъекта персональных данных;

— решений правоохранительных органов.

5. Режим конфиденциальности для общедоступных баз персональных данных не устанавливается.

Статья 12. Права субъекта персональных данных

1. Субъект персональных данных самостоятельно решает вопрос о предоставлении кому-либо своих персональных данных за исключением случаев, предусмотренных частью 7 настоящей статьи.

2. В целях реализации своих прав и свобод субъект предоставляет необходимые персональные данные, а также сведения об их изменениях в соответствующие органы государственной власти в объемах, определяемых законодательством.

3. Субъект персональных данных имеет право знать о наличии у держателя относящихся к себе персональных данных и иметь к ним доступ.

Право па доступ может быть ограничено только в случаях, предусмотренных пунктом 7 настоящей статьи.

Указанная информация должна быть выдана субъекту персональных данных в доступной документированной форме, четко и ясно выраженной, и не должна содержать персональные данные, относящиеся к другим субъектам.

4. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения изменений в свои персональные данные.

5. В случае, если субъект персональных данных выявляет их недостоверность или оспаривает правомерность действий в отношении его персональных данных, он вправе потребовать от держателя блокирования этих данных.

6. Если субъект персональных данных считает, что в отношении его персональных данных совершены неправомерные действия, он вправе обжаловать эти действия в административном, судебном или ином порядке в соответствии с национальным законодательством.

В случае установления неправомерности действий при работе с персональными данными субъект данных имеет право на возмещение убытков и на иные формы обеспечения прав в соответствии с национальным законодательством.

7. Ограничение прав субъекта на свои персональные данные возможно в отношении:

а) права предоставления субъектом своих персональных данных для субъектов персональных данных, допущенных к сведениям, составляющим государственную тайну, — в пределах, установленных национальным законодательством о государственной тайне;

б) прав доступа к своим персональным данным, внесения в них изменений и их блокирования в отношении персональных данных, полученных в результате оперативно-розыскной деятельности, иных персональных данных в случаях, предусмотренных национальным законодательством.

Статья 13. Права и обязанности держателя персональных данных

1. Юридические и физические лица получают право на действия с персональными данными на основании лицензии или в соответствии с разрешительным порядком, предусмотренным национальным законодательством.

2. Держатель персональных данных обязан:

— получать персональные данные непосредственно от субъекта или из других источников с его согласия, за исключением случаев, предусмотренных действующим законодательством;

— обеспечивать режим конфиденциальности при использовании персональных данных в предусмотренных настоящим Законом случаях;

— документально определять порядок работы с персональными данными служащих, а также лиц, несущих юридическую ответственность за соблюдение режима конфиденциальности и сохранность персональных данных;

— обеспечивать сохранность персональных данных, их уточнение, а также установленный в нормативном порядке режим доступа к ним;

— сообщать субъекту по его требованию информацию о наличии персональных данных о нем, а также сами персональные данные, за исключением случаев, предусмотренных пунктом 7 статьи 11 настоящего Закона.

3. Лица, которым персональные данные становятся известными благодаря их должностным обязанностям, принимают на себя обязательства и несут ответственность за обеспечение конфиденциальности действий с этими персональными данными. Обязательства остаются в силе и после окончания работы с персональными данными в течение срока сохранения режима конфиденциальности.

4. В случаях выявления субъектом персональных данных их недостоверности или неправомерности действий с ними держатель обязан заблокировать эти персональные данные на период проверки, после которой исправить их, снять блокирование или уничтожить.

5. Передача персональных данных другому держателю возможна только в том случае, если цели использования персональных данных новым держателем соответствуют целям их получения. Передача персональных данных в целях, не соответствующих целям их получения, осуществляется либо с согласия субъекта, либо на основании закона. При передаче персональных данных другому держателю на него возлагается обязанность соблюдать режим конфиденциальности.

Статья 14. Обезличивание персональных данных

Для проведения статистических, социологических, медицинских и других исследований держатель персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. При этом правовой режим, установленный для персональных данных, снимается.

Обезличивание должно исключать возможность идентификации субъекта персональных данных.

Статья 15. Хранение и обновление персональных данных

1. Сроки хранения персональных данных определяются национальным законодательством с учетом целей их получения. Сроки хранения могут быть продлены только в интересах субъекта персональных данных или если это предусмотрено национальным законодательством. По истечении срока хранения или достижении целей получения персональных данных они подлежат уничтожению.

Определенные персональные данные (личные дела, метрические книги и т.д.) после того, как практическая надобность в них отпадает, могут оставаться на постоянном хранении, приобретая статус архивного документа либо иной статус, предусмотренный национальным законодательством.

2. Держатель персональных данных вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных:

— в случаях, предусмотренных законом;

— по собственной инициативе;

— по инициативе субъекта, персональные данные которого подлежат изменению.

Статья 16. Органы по защите прав субъектов персональных данных

1. Защита прав субъектов персональных данных осуществляется в общем порядке органами исполнительной власти, судебными органами, органами прокуратуры в соответствии с функциями и полномочиями, определенными для них национальным законодательством.

2. Для защиты прав субъектов персональных данных могут создаваться специальные органы, деятельность которых дополняет существующие возможности защиты прав субъектов.

Специальные органы по защите прав субъектов персональных данных осуществляют свою деятельность в пределах компетенции, установленной национальным законодательством, и не вправе принимать решения, отнесенные к компетенции держателей персональных данных.

3. На указанные органы могут быть возложены:

— лицензирование действий с персональными данными;

— регистрация баз персональных данных;

— регистрация держателей и ведение Регистра держателей персональных данных;

— представление интересов субъектов персональных данных в суде, расследование по фактам нарушения порядка работы с персональными данными по обращениям субъектов, а также на основании анализа других источников информации;

— информирование органов государственной власти и граждан о положении дел в области защиты персональных данных;

— представление в органы государственной власти предложений по развитию и совершенствованию нормативной базы, регламентирующей действия с персональными данными.

4. Во исполнение указанных функций органы по защите прав субъектов персональных данных могут наделяться следующими правами:

— беспрепятственно получать доступ к массивам персональных данных;

— запрашивать и получать от держателя персональных данных любые необходимые сведения, документы и материалы;

— проводить самостоятельно или совместно с уполномоченными органами и должностными лицами проверку деятельности держателей персональных данных, относительно которых имеется информация о нарушениях прав субъекта;

— вносить предложения об отзыве лицензии на проведение действий с персональными данными (если лицензирование действий с персональными данными осуществляет другой орган);

— в спорных случаях решать вопрос о снятии или установлении режима конфиденциальности;

— блокировать персональные данные.

Статья 17. Ответственность за нарушение Закона о персональных данных

За нарушение настоящего Закона виновное лицо несет ответственность в порядке, установленном национальным законодательством.

Принят на четырнадцатом пленарном заседании Межпарламентской ассамблеи государств — участников СНГ (постановление № 14-19 от 16 октября 1999 года)