9. Передача персональных данных российскими держателями (обладателями) массивов персональных данных в страны, не обеспечивающие адекватный российскому порядок защиты прав и свобод субъектов персональных данных, уровень охраны персональных данных возможен при условии:
явно выраженного согласия субъекта персональных данных на эту передачу;
необходимости передачи персональных данных для заключения и (или) исполнения контракта между субъектом и держателем (обладателем) массива персональных данных либо между держателем (обладателем) и третьей стороной в интересах субъекта персональных данных;
если передача необходима для защиты жизненно важных интересов субъекта персональных данных;
если персональные данные содержатся в общедоступном массиве персональных данных.
10. При передаче персональных данных по глобальной информационной сети (Интернет и т.п.) держатель (обладатель) массива персональных данных, передающий такие данные, обязан обеспечить передачу необходимыми средствами защиты, в том числе конфиденциальности.
11. Для проведения статистических, социологических, исторических, медицинских и других научных и практических исследований держатель (обладатель) массива персональных данных обезличивает используемые данные, придавая им форму анонимных сведений. Режим конфиденциальности, установленный для персональных данных, снимается. Обезличивание должно исключать возможность идентификации субъекта персональных данных.
12. Персональные данные не должны храниться дольше, чем это необходимо для выполнения целей их сбора или дольше срока, предусмотренного лицензией. Сроки хранения могут продлеваться только в интересах субъекта персональных данных или если это предусмотрено действующим законодательством. По истечении срока хранения, достижении целей сбора персональных данных, истечении срока действия лицензии они подлежат уничтожению в течение двух недель, что подтверждается актом.
13. В случае принятия в установленном порядке решения о необходимости сохранения персональных данных после истечения срока хранения, достижения целей их сбора или истечения срока действия лицензии, держатель (обладатель) массива персональных данных обязан обеспечивать соответствующий режим хранения персональных данных и извещать об этом субъекта данных.
14. Определенные персональные данные (личные дела, метрические книги и др.) по миновании практической надобности в них могут оставаться на постоянном хранении, приобретая статус архивного документа либо иной статус, предусмотренный действующим законодательством.
15. Держатель (обладатель) массива персональных данных вносит изменения в имеющиеся у него персональные данные при условии документального подтверждения достоверности новых данных:
в случаях, предусмотренных законом;
по собственной инициативе;
по инициативе субъекта персональных данных, персональные данные которого подлежат изменению.
16. По требованию субъекта персональных данных изменения вносятся не позднее месячного срока с момента подачи им заявления. Внесение изменений по инициативе держателя (обладателя) осуществляется в соответствии с внутренними правилами.
5.6. Государственное регулирование работы с персональными данными.
Государство регулирует работу с персональными данными в следующих формах:
лицензирование работы с персональными данными;
учет и регистрация массивов персональных данных и их держателей (обладателей);
сертификация информационных систем и информационных технологий, предназначенных для обработки персональных данных;
заключение межгосударственных соглашений и соглашений федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления с зарубежными организациями о трансграничной передаче персональных данных.
Лицензия на проведение работы с персональными данными выдается в порядке, установленном законодательством РФ, в ней указываются:
цели сбора и использования персональных данных, режимы и сроки их хранения;
категории или группы субъектов персональных данных;
перечень персональных данных;
источники сбора персональных данных;
порядок информирования субъектов о сборе и возможной передаче их персональных данных;
меры по обеспечению сохранности и конфиденциальности персональных данных;
лицо, непосредственно ответственное за работу с персональными данными;
требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, средства защиты информационных систем, информационных технологий и персональных данных.
Информационные продукты, содержащие персональные данные, а также информация, предоставляемая субъекту персональных данных, должны содержать указание (ссылку) на выданную лицензию.
Уполномоченный по правам субъектов персональных данных хранит сведения о держателях (обладателях) массивов персональных данных, которые получили лицензию.
Лицензия подлежит отзыву уполномоченным органом, выдавшим лицензию, в случаях:
нарушения условий лицензии;
подачи держателем (обладателем) массива персональных данных заявления о прекращении лицензируемой деятельности;
ликвидации и реорганизации в установленном действующим законодательством порядке юридического лица — держателя (обладателя) массива персональных данных;
по представлению органа по сертификации информационных систем, информационных технологий, предназначенных для обработки персональных данных;
по решению суда.
Массивы персональных данных и держатели (обладатели) этих массивов подлежат обязательной регистрации в уполномоченном органе государственной власти по персональным данным.
При регистрации фиксируются:
наименование массива персональных данных;
наименование и реквизиты держателя (обладателя) массива персональных данных, осуществляющего работу с массивом персональных данных (адрес, форма собственности, подчиненность, телефон, фамилия, имя, отчество руководителя, электронная почта, факс, адрес сервера в телекоммуникационной сети);
цели и способы сбора и использования персональных данных, режимы и сроки их хранения;
перечень собираемых персональных данных;
категории или группы субъектов персональных данных;
источники сбора персональных данных;
порядок информирования субъектов о сборе и возможной передаче их персональных данных;
меры по обеспечению сохранности и конфиденциальности персональных данных;
лицо, непосредственно ответственное за работу с персональными данными;
требования к наличию сертификатов на информационные системы, информационные технологии, предназначенные для обработки персональных данных, а также средства защиты информационных систем и персональных данных.
Массивы персональных данных, содержащие сведения, отнесенные к государственной тайне на основании Закона РФ «О государственной тайне», не регистрируются.
Уполномоченный по правам субъектов персональных данных ведет учет массивов персональных данных и держателей (обладателей) этих данных, включая и держателей массивов персональных данных, осуществляющих работу с персональными данными по лицензии.
Указанный орган ежегодно публикует Реестр держателей персональных данных для всеобщего сведения в средствах массовой информации.
Объединенный федеральный Реестр публикуется в общероссийских средствах массовой информации тиражом не менее 100 тыс. экземпляров.
Уполномоченный по правам субъектов персональных данных реализует государственные гарантии прав субъекта на защиту прав личности в области персональных данных в соответствии с общепризнанными принципами и нормами международного права, международными договорами, законами РФ.
Уполномоченный действует в пределах установленной компетенции и не вправе принимать решения, отнесенные к компетенции держателей (обладателей) массивов персональных данных.
Уполномоченный рассматривает конфликтные ситуации между держателем (обладателем) и субъектом персональных данных с использованием согласительных процедур.
Уполномоченный осуществляет:
регистрацию обращений к нему субъектов персональных данных;
расследования по фактам нарушения порядка работы с персональными данными по обращениям субъектов, а также на основании анализа других источников информации;
информирование органов государственной власти и общественности о положении дел в области защиты персональных данных;
представление Уполномоченному по правам человека в Российской Федерации предложений по развитию и совершенствованию нормативной базы, регламентирующей работу с персональными данными;
регистрацию массивов и держателей (обладателей) персональных данных — федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления, а также юридических и физических лиц, осуществляющих работу с персональными данными по лицензии;
ежегодную публикацию в средствах массовой информации с тиражом не менее 100 тыс. экземпляров объединенного Реестра держателей (обладателей) персональных данных Российской Федерации, включающего держателей (обладателей), осуществляющих работу с персональными данными по лицензии;
информирование Правительства РФ через Уполномоченного по правам человека в Российской Федерации о фактах работы с персональными данными вне компетенции федеральных органов государственной власти, органов государственной власти субъектов Федерации, органов местного самоуправления, о дублировании в сборе персональных данных.
Уполномоченный имеет право:
беспрепятственно получать доступ к массивам персональных данных;