logo
071283_2E579_kopylov_v_a_informacionnoe_pravo

18.5. Права и обязанности держателя (обладателя) по работе с массивами персональных данных

Полномочия (права и обязанности) держателей (обладателей) массивов персональных данных

1. Федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления имеют право выступать в качестве держателей (обладателей) массивов персональных данных и на работу с персональными данными в соответствии со своей компетенцией, установленной действующим законодательством.

2. Юридические лица имеют право на работу с персональными данными на основании решения Правительства РФ.

Обязанности держателя (обладателя) массива персональных данных

Держатель (обладатель) массива персональных данных обязан: получать персональные данные непосредственно от субъекта персональных данных, его доверенных лиц или из других законных печников;

обеспечивать режим конфиденциальности персональных данных, 1редусмотренных законодательством РФ;

определять и документально оформлять порядок работы служащих организационной структуры, осуществляющих работу с персональными данными массива, а также лиц, несущих юридическую ответственность за соблюдение режима конфиденциальности и сохранности персональных данных;

обеспечивать сохранность и достоверность персональных данных, а также установленный в нормативном порядке режим доступа к ним;

сообщать субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставлять сами персональные данные в недельный срок после поступления от него запроса, за исключением случаев, предусмотренных законодательством РФ;

в случае отказа в предоставлении субъекту по его требовании) информации о наличии персональных данных о нем, а также самих персональных данных, выдавать письменный мотивированный ответ в срок, не превышающий двух недель с момента обращении субъекта;

в двухнедельный срок представлять по запросам уполномоченном! органа государственной власти по персональным данным или по правам человека информацию, необходимую для исполнения их полномочий.

2. Лица, которым персональные данные стали известны в силу их служебного положения, принимают на себя обязательства и несут ответственность по обеспечению конфиденциальности этих персональных данных. Такие обязательства остаются в силе и после окончании работы этих лиц с персональными данными в течение срока сохранения режима конфиденциальности.

Обязанности держателей (обладателей) персональных данных по составлению перечней персональных данных

1. Федеральные органы государственной власти, органы государственной власти субъектов Федерации, органы местного самоуправления или уполномоченные ими структуры - держатели (обладатели) осуществляющие работу с персональными данными в пределах компетенции, установленной действующим законодательством, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и руководствуются ими.

2. Указанные перечни согласовываются с Уполномоченным по правам субъектов персональных данных, регистрируются в этом перечне и публикуются в Реестре держателей (обладателей) массивов персональных данных, ежегодно издаваемом этим органом. Данные перечни устанавливают объем сведений, используемых федеральными органами государственной власти, органами государственной власти субъектов Федерации, органов местного самоуправления для реализации своей компетенции.

3. Порядок регистрации перечней персональных данных определяется Правительством РФ.

4. Держатели (обладатели) массивов персональных данных, осуществляющие работу с персональными данными по решению Правительства РФ, разрабатывают в соответствии со спецификой своей деятельности перечни персональных данных и согласовывают их с уполномоченным органом государственной власти по персональным данным.

5. Перечни персональных данных должны соответствовать целям сбора этих данных. Расширение установленных перечней для реализации целей иного характера не допускается.

Обязанности держателя (обладателя) массива персональных данных по блокированию, снятию блокирования и уничтожению персональных данных

1. В случае выявления субъектом персональных данных их недостоверности или неправомерности действий с ними держателя (обладателя) массива персональных данных субъект может подать заявление держателю (обладателю) массива этих данных или обратиться к Уполномоченному по персональным данным. Держатель (обладатель) обязан принять к производству заявление субъекта и заблокировать его Персональные данные с момента его получения на период проверки заявления.

2. В случае подтверждения недостоверности персональных данных держатель (обладатель) массива данных обязан на основании документов, представленных субъектом, исправить их и снять блокирование.

3. В случае установления неправомерности сбора персональных данных держатель (обладатель) обязан уничтожить соответствующие данные в срок, не превышающий трех дней с момента такого установления, и документально уведомить об этом субъекта персональных данных.

4. В случае взаимного признания правомерности действий с персональными данными или их достоверности держатель (обладатель) массива персональных данных обязан безотлагательно снять их блокирование.

5. В случае несогласия держателя (обладателя) массива персональных данных с заявлением субъекта персональных данных конфликтные ситуации рассматриваются Уполномоченным по правам субъектов персональных данных или в административном либо судебном по рядке.

При получении решения Уполномоченного по правам субъектов персональных данных, ответственного за ведение Регистра населения РФ, держатель (обладатель) обязан рассмотреть его, принять соответствующие меры и в месячный срок в письменной форме сообщить об этом Уполномоченному.

Обязанности органов государственной власти и органов местного самоуправления при взаимном обмене персональными данными

1. Органы государственной власти и органы местного самоуправления могут в своей деятельности использовать персональные данные находящиеся у других государственных держателей (обладателей) персональных данных.

Перечни используемых данных регистрируются Уполномоченным по правам субъектов персональных данных.

2. Формирование сводных массивов персональных данных, по лученных органами государственной власти или органами местного самоуправления от различных государственных держателей (обладателей) персональных данных, не допускается.

3. Контроль за использованием персональных данных, полученных органами государственной власти и органами местного само управления от других государственных держателей (обладателей) персональных данных, осуществляется Уполномоченным по правам субъектов персональных данных.

Организация государственного справочного обслуживания персональными данными

1. С целью организации справочного обслуживания физических и юридических лиц персональными данными Уполномоченный по правам субъектов персональных данных ведет регистр первичного учета физических лиц.

2. Уполномоченный по правам субъектов персональных данных организует справочное обслуживание физических и юридических лиц и органов государственной власти и органов местного самоуправление на основе данных регистра первичного учета персональных данных

Передача персональных данных

1. Держатель (обладатель) массива персональных данных вправе передавать эти данные другому держателю (обладателю) без согласия субъекта персональных данных в случаях: если цели использования персональных данных получателем этих данных соответствуют целям первоначального сбора данных; крайней необходимости для защиты жизненно важных интересов субъекта персональных данных; по запросу федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления, если запрашивающий орган компетентен запрашивать эти персональные данные; на основании закона.

2. Передача персональных данных по просьбе субъекта данных либо третьей стороны, которой передаются данные, возможна для заключения и (или) исполнения договора, в котором субъект данных является стороной, либо для принятия необходимых мер до заключения договора по просьбе субъекта персональных данных.

3. Подтверждение согласия субъекта персональных данных на передачу его персональных данных третьей стороне для использования в целях, не соответствующих целям первоначального сбора, не требуется только в том случае, если оно было получено в процессе сбора этих данных. Держатель (обладатель) массива персональных данных обязан информировать субъекта персональных данных о передаче его персональных данных третьей стороне в любой форме в недельный срок.

4. Персональные данные передаются держателем (обладателем) массива персональных данных получателю в минимальном объеме, необходимом для решения задач получателя. Передача производится во исполнение договора, заключаемого между держателем (обладателем) персональных данных и получателем, в котором документально фиксируются:

получатель информации;

основания для передачи персональных, данных; цель передачи;

состав и объем передаваемых данных;

сроки использования персональных данных в пределах, установленных для обладателя (держателя), условия актуализации и обеспечения сохранности персональных данных.

5. При передаче персональных данных на получателя данных возлагается обязанность соблюдения режима их конфиденциальности.

6. Персональные данные, собранные на средства государственного бюджета, передаются в органы государственной власти и организации бюджетной сферы бесплатно.

Трансграничная передана персональных данных

1. При трансграничной передаче персональных данных передающий данные российский держатель (обладатель) массива персональных данных исходит из наличия существующего соглашения между сторонами, согласно которому получающая сторона обеспечивает адекватный российскому уровень защиты прав и свобод субъектов персональных данных и охраны персональных данных.

2. Российская Федерация обеспечивает законные меры охраны находящихся на ее территории или передаваемых через ее территорию персональных данных, исключающие их искаженней несанкционированное использование.

3. Передача персональных данных российскими держателями (обладателями) массивов персональных данных в страны, не обеспечивающие адекватный российскому порядок зашиты прав и свобод субъектов персональных данных, уровень охраны персональных данных возможен при условии:

явно выраженного согласия субъекта персональных данных на эту передачу;

необходимости передачи персональных данных для заключения и (или) исполнения контракта между субъектом и держателем (обладателем) массива персональных данных либо между держателем (обладателем) и третьей стороной в интересах субъекта персональных данных;

если передача необходима для защиты жизненно важных интересов субъекта персональных данных;

если персональные данные содержатся в общедоступном массиве персональных данных.

4. При передаче персональных данных по глобальной информационной сети (Интернет и т.п.) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, в том числе конфиденциальности.

Обезличивание персональных данных

Для проведения статистических, социологических, исторических, медицинских и других научных и практических исследований держатель (обладатель) массива персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. Режим конфиденциальности, установленный для персональных данных, снимается. Обезличивание должно исключать возможность идентификации субъекта персональных данных.

Хранение персональных данных

1. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора или дольше срока, предусмотренного лицензией. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено действующим законодательством.

По истечении срока хранения, достижении целей сбора персональных данных, истечении срока действия лицензии они подлежат уничтожению в течение двух недель, что подтверждается актом.

2. В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения целей их сбора или истечения срока действия лицензии, держатель (обладатель) массива персональных данных обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных.

3. Определенные персональные данные (личные дела, метрические книги и др.) по миновании практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа либо иной статус, предусмотренный действующим законодательством.

Актуализация персональных данных

1. Держатель (обладатель) массива персональных данных вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных: в случаях, предусмотренных законом; по собственной инициативе; по инициативе субъекта персональных данных, персональные данные которого подлежат изменению.

2. По требованию субъекта персональных данных изменения вносятся не позднее месячного срока с момента подачи им заявления Внесение изменений по инициативе держателя (обладателя) осуществляется в соответствии с внутренними правилами.