(제1조-제25조)
국 가 ‧ 지 역: 러시아 제 정 일: 2006.07.27 개 정 일: 2023.02.06
1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами с использованием средств автоматизации, в том числе в информационнотелекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ) 11. Положения настоящего Федерального закона применяются к обработке персональных данных граждан Российской Федерации, осуществляемой иностранными юридическими лицами или иностранными физическими лицами, на основании договора, стороной которого являются граждане Российской Федерации, иных соглашений между иностранными юридическими лицами, иностранными физическими лицами и гражданами Российской Федерации либо на основании согласия гражданина Российской Федерации на обработку его персональных данных. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) 2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при: 1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; 2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации; 3) (Пункт утратил силу - Федеральный закон от 25.07.2011 № 261-ФЗ) 4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну; 5) (Дополнение пунктом - Федеральный закон от 28.06.2010 № 123-ФЗ) (Утратил силу - Федеральный закон от 29.07.2017 № 223-ФЗ) 3. Предоставление, распространение, передача и получение информации о деятельности судов в Российской Федерации, содержащей персональные данные, ведение и использование информационных систем и информационно-телекоммуникационных сетей в целях создания условий для доступа к указанной информации осуществляются в соответствии с Федеральным законом от 22 декабря 2008 года № 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации". (Дополнение частью - Федеральный закон от 29.07.2017 № 223- ФЗ)
Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
В целях настоящего Федерального закона используются следующие основные понятия: 1) персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 11) персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом; (Дополнение пунктом - Федеральный закон от 30.12.2020 № 519- ФЗ) 2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; 3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 4) автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; 5) распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; 6) предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; 7) блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); 8) уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; 9) обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; 10) информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; 11) трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. Законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов. 2. На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее - нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных. Такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ) 3. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации, могут быть установлены федеральными законами и иными нормативными правовыми актами Российской Федерации с учетом положений настоящего Федерального закона. 31. Нормативные правовые акты, принимаемые в соответствии с частью 2 настоящей статьи, подлежат обязательному согласованию с уполномоченным органом по защите прав субъектов персональных данных в случаях, если указанные нормативные правовые акты регулируют отношения, связанные с осуществлением трансграничной передачи персональных данных, обработкой специальных категорий персональных данных, биометрических персональных данных, персональных данных несовершеннолетних, предоставлением, распространением персональных данных, полученных в результате обезличивания. Срок указанного согласования не может превышать тридцать дней с даты поступления соответствующего нормативного правового акта в уполномоченный орган по защите прав субъектов персональных данных. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) 4. Если международным договором Российской Федерации установлены иные правила, чем те, которые предусмотрены настоящим Федеральным законом, применяются правила международного договора. 5. Решения межгосударственных органов, принятые на основании положений международных договоров Российской Федерации в их истолковании, противоречащем Конституции Российской Федерации, не подлежат исполнению в Российской Федерации. Такое противоречие может быть установлено в порядке, определенном федеральным конституционным законом. (Дополнение частью - Федеральный закон от 08.12.2020 № 429-ФЗ)
1. Обработка персональных данных должна осуществляться на законной и справедливой основе. 2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. 3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой. 4. Обработке подлежат только персональные данные, которые отвечают целям их обработки. 5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки. 6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных. 7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом. (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях: 1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; 2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; 3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; (В редакции Федерального закона от 29.07.2017 № 223- ФЗ) 31) обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта); (Дополнение пунктом - Федеральный закон от 29.07.2017 № 223-ФЗ) 4) обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг; (В редакции Федерального закона от 05.04.2013 № 43-ФЗ) 5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Заключаемый с субъектом персональных данных договор не может содержать положения, ограничивающие права и свободы субъекта персональных данных, устанавливающие случаи обработки персональных данных несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации, а также положения, допускающие в качестве условия заключения договора бездействие субъекта персональных данных; (В редакции федеральных законов от 21.12.2013 № 363- ФЗ, от 03.07.2016 № 231-ФЗ, от 14.07.2022 № 266-ФЗ) 6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно; 7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; (В редакции Федерального закона от 03.07.2016 № 231-ФЗ) 8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных; 9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных; 91) обработка персональных данных, полученных в результате обезличивания персональных данных, осуществляется в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года № 123- ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года № 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами; (Дополнение пунктом - Федеральный закон от 24.04.2020 № 123-ФЗ) (В редакции Федерального закона от 02.07.2021 № 331- ФЗ) 10) (Пункт утратил силу - Федеральный закон от 30.12.2020 № 519-ФЗ) 11) осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. 11. Обработка персональных данных объектов государственной охраны и членов их семей осуществляется с учетом особенностей, предусмотренных Федеральным законом от 27 мая 1996 года № 57-ФЗ "О государственной охране". (Дополнение частью - Федеральный закон от 01.07.2017 № 148-ФЗ) 2. Особенности обработки специальных категорий персональных данных, а также биометрических персональных данных устанавливаются соответственно статьями 10 и 11 настоящего Федерального закона. 3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 181 настоящего Федерального закона, обязанность по запросу оператора персональных данных в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона, в том числе требование об уведомлении оператора о случаях, предусмотренных частью 31 статьи 21 настоящего Федерального закона. (В редакции Федерального закона от 14.07.2022 № 266-ФЗ) 4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. 5. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. 6. В случае, если оператор поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет оператор и лицо, осуществляющее обработку персональных данных по поручению оператора. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ) 2. Сведения о субъекте персональных данных должны быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов. (В редакции Федерального закона от 25.07.2011 № 261- ФЗ)
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором. (В редакции Федерального закона от 14.07.2022 № 266-ФЗ) 2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. 3. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона, возлагается на оператора. 4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности: 1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; 2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных); 3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных; 4) цель обработки персональных данных; 5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; 6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу; 7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом; 9) подпись субъекта персональных данных. 5. Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации. 6. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. 7. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни. 8. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона. 9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных. (Дополнение частью - Федеральный закон от 30.12.2020 № 519- ФЗ) (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 21 настоящей статьи. (В редакции Федерального закона от 24.04.2020 № 123- ФЗ) 2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если: 1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; 2) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 101 настоящего Федерального закона; (В редакции Федерального закона от 30.12.2020 № 519-ФЗ) 21) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии; (Дополнение пунктом - Федеральный закон от 25.11.2009 № 266-ФЗ) 22) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года № 8-ФЗ "О Всероссийской переписи населения"; (Дополнение пунктом - Федеральный закон от 27.07.2010 № 204-ФЗ) 23) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации; (Дополнение пунктом - Федеральный закон от 25.07.2011 № 261-ФЗ) (В редакции Федерального закона от 21.07.2014 № 216- ФЗ) 3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно; (В редакции Федерального закона от 25.07.2011 № 261-ФЗ) 4) обработка персональных данных осуществляется в медикопрофилактических целях, в целях установления медицинского диагноза, оказания медицинских и медикосоциальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну; 5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; 6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия; (В редакции Федерального закона от 25.07.2011 № 261-ФЗ) 7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовноисполнительным законодательством Российской Федерации; (В редакции Федерального закона от 25.07.2011 № 261- ФЗ) 71) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора; (Дополнение пунктом - Федеральный закон от 23.07.2013 № 205-ФЗ) 8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством; (Дополнение пунктом - Федеральный закон от 29.11.2010 № 313- ФЗ) (В редакции Федерального закона от 25.07.2011 № 261-ФЗ) 9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан; (Дополнение пунктом - Федеральный закон от 25.07.2011 № 261-ФЗ) 10) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации. (Дополнение пунктом - Федеральный закон от 04.06.2014 № 142-ФЗ) 21. Обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года № 123- ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года № 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами. (Дополнение частью - Федеральный закон от 24.04.2020 № 123-ФЗ) (В редакции Федерального закона от 02.07.2021 № 331- ФЗ) 3. Обработка персональных данных о судимости может осуществляться государственными органами или муниципальными органами в пределах полномочий, предоставленных им в соответствии с законодательством Российской Федерации, а также иными лицами в случаях и в порядке, которые определяются в соответствии с федеральными законами. 4. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных частями 2 и 3 настоящей статьи, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Оператор обязан обеспечить субъекту персональных данных возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения. 2. В случае раскрытия персональных данных неопределенному кругу лиц самим субъектом персональных данных без предоставления оператору согласия, предусмотренного настоящей статьей, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку. 3. В случае, если персональные данные оказались раскрытыми неопределенному кругу лиц вследствие правонарушения, преступления или обстоятельств непреодолимой силы, обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку. 4. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных согласился с распространением персональных данных, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без права распространения. 5. В случае, если из предоставленного субъектом персональных данных согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, не следует, что субъект персональных данных не установил запреты и условия на обработку персональных данных, предусмотренные частью 9 настоящей статьи, или если в предоставленном субъектом персональных данных таком согласии не указаны категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты в соответствии с частью 9 настоящей статьи, такие персональные данные обрабатываются оператором, которому они предоставлены субъектом персональных данных, без передачи (распространения, предоставления, доступа) и возможности осуществления иных действий с персональными данными неограниченному кругу лиц. 6. Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, может быть предоставлено оператору: 1) непосредственно; 2) с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных. 7. Правила использования информационной системы уполномоченного органа по защите прав субъектов персональных данных, в том числе порядок взаимодействия субъекта персональных данных с оператором, определяются уполномоченным органом по защите прав субъектов персональных данных. 8. Молчание или бездействие субъекта персональных данных ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных субъектом персональных данных для распространения. 9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается. 10. Оператор обязан в срок не позднее трех рабочих дней с момента получения соответствующего согласия субъекта персональных данных опубликовать информацию об условиях обработки и о наличии запретов и условий на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом персональных данных для распространения. 11. Установленные субъектом персональных данных запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных субъектом персональных данных для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации. 12. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъектом персональных данных для распространения, должна быть прекращена в любое время по требованию субъекта персональных данных. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) субъекта персональных данных, а также перечень персональных данных, обработка которых подлежит прекращению. Указанные в данном требовании персональные данные могут обрабатываться только оператором, которому оно направлено. 13. Действие согласия субъекта персональных данных на обработку персональных данных, разрешенных субъектом персональных данных для распространения, прекращается с момента поступления оператору требования, указанного в части 12 настоящей статьи. 14. Субъект персональных данных вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений настоящей статьи или обратиться с таким требованием в суд. Данное лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта персональных данных или в срок, указанный во вступившем в законную силу решении суда, а если такой срок в решении суда не указан, то в течение трех рабочих дней с момента вступления решения суда в законную силу. 15. Требования настоящей статьи не применяются в случае обработки персональных данных в целях выполнения возложенных законодательством Российской Федерации на государственные органы, муниципальные органы, а также на подведомственные таким органам организации функций, полномочий и обязанностей. (В редакции Федерального закона от 14.07.2022 № 266-ФЗ) (Дополнение статьей - Федеральный закон от 30.12.2020 № 519-ФЗ)
1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. 2. Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, в связи с проведением обязательной государственной дактилоскопической регистрации, обязательной государственной геномной регистрации, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, о государственной службе, уголовноисполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате. (В редакции федеральных законов от 04.06.2014 № 142-ФЗ, от 31.12.2017 № 498-ФЗ, от 27.12.2019 № 480-ФЗ, от 06.02.2023 № 8- ФЗ) 3. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных частью 2 настоящей статьи. Оператор не вправе отказывать в обслуживании в случае отказа субъекта персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. Трансграничная передача персональных данных осуществляется в соответствии с настоящим Федеральным законом и международными договорами Российской Федерации. 2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности персональных данных при их обработке. 3. Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 настоящего Федерального закона. 4. Уведомление, предусмотренное частью 3 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление о намерении осуществлять трансграничную передачу персональных данных должно содержать следующие сведения: 1) наименование (фамилия, имя, отчество), адрес оператора, а также дата и номер уведомления о намерении осуществлять обработку персональных данных, ранее направленного оператором в соответствии со статьей 22 настоящего Федерального закона; 2) наименование (фамилия, имя, отчество) лица, ответственного за организацию обработки персональных данных, номера контактных телефонов, почтовые адреса и адреса электронной почты; 3) правовое основание и цель трансграничной передачи персональных данных и дальнейшей обработки переданных персональных данных; 4) категории и перечень передаваемых персональных данных; 5) категории субъектов персональных данных, персональные данные которых передаются; 6) перечень иностранных государств, на территории которых планируется трансграничная передача персональных данных; 7) дата проведения оператором оценки соблюдения органами власти иностранных государств, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, конфиденциальности персональных данных и обеспечения безопасности персональных данных при их обработке. 5. Оператор до подачи уведомления, предусмотренного частью 3 настоящей статьи, обязан получить от органов власти иностранного государства, иностранных физических лиц, иностранных юридических лиц, которым планируется трансграничная передача персональных данных, следующие сведения: 1) сведения о принимаемых органами власти иностранного государства, иностранными физическими лицами, иностранными юридическими лицами, которым планируется трансграничная передача персональных данных, мерах по защите передаваемых персональных данных и об условиях прекращения их обработки; 2) информация о правовом регулировании в области персональных данных иностранного государства, под юрисдикцией которого находятся органы власти иностранного государства, иностранные физические лица, иностранные юридические лица, которым планируется трансграничная передача персональных данных (в случае, если предполагается осуществление трансграничной передачи персональных данных органам власти иностранного государства, иностранным физическим лицам, иностранным юридическим лицам, находящимся под юрисдикцией иностранного государства, не являющегося стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенного в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных); 3) сведения об органах власти иностранного государства, иностранных физических лицах, иностранных юридических лицах, которым планируется трансграничная передача персональных данных (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты). 6. В целях оценки достоверности сведений, содержащихся в уведомлении оператора о своем намерении осуществлять трансграничную передачу персональных данных, сведения, предусмотренные пунктами 1 - 3 части 5 настоящей статьи, предоставляются оператором по запросу уполномоченного органа по защите прав субъектов персональных данных в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных уведомления с указанием причин продления срока предоставления запрашиваемой информации. 7. Трансграничная передача персональных данных может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства, защиты экономических и финансовых интересов Российской Федерации, обеспечения дипломатическими и международноправовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене с даты принятия уполномоченным органом по защите прав субъектов персональных данных решения, предусмотренного частью 12 настоящей статьи. 8. Решение о запрещении или об ограничении трансграничной передачи персональных данных в целях защиты нравственности, здоровья, прав и законных интересов граждан принимается уполномоченным органом по защите прав субъектов персональных данных по результатам рассмотрения уведомления, предусмотренного частью 3 настоящей статьи 9. Решение, указанное в части 8 настоящей статьи, принимается уполномоченным органом по защите прав субъектов персональных данных в течение десяти рабочих дней с даты поступления уведомления, предусмотренного частью 3 настоящей статьи, в порядке, установленном Правительством Российской Федерации. В случае направления уполномоченным органом по защите прав субъектов персональных данных запроса в соответствии с частью 6 настоящей статьи рассмотрение такого уведомления приостанавливается до даты предоставления оператором запрошенной информации. 10. После направления уведомления, указанного в части 3 настоящей статьи, оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или включенных в предусмотренный частью 2 настоящей статьи перечень, до принятия решения, указанного в части 8 или 12 настоящей статьи. 11. После направления уведомления, предусмотренного частью 3 настоящей статьи, оператор до истечения сроков, указанных в части 9 настоящей статьи, не вправе осуществлять трансграничную передачу персональных данных на территории указанных в уведомлении иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в предусмотренный частью 2 настоящей статьи перечень, за исключением случая, если такая трансграничная передача персональных данных необходима для защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц. 12. Решение о запрещении или об ограничении трансграничной передачи персональных данных принимается уполномоченным органом по защите прав субъектов персональных данных в целях: 1) защиты основ конституционного строя Российской Федерации и безопасности государства - по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности; 2) обеспечения обороны страны - по представлению федерального органа исполнительной власти, уполномоченного в области обороны;
1. 개인정보는 이 연방법률과 러시아연 방 국제조약에 따라 국경 간 이전된다. 2. 정보주체의 권리 보호를 담당하는 위임기관은 정보주체의 권리를 적절하 게 보호하는 외국 국가의 목록을 정한 다. 정보주체의 권리를 적절하게 보호하 는 외국 국가의 목록에는 『개인정보의 자동처리와 관련된 개인의 보호를 위한 유럽회의 협약』의 회원국과 비회원국 이 포함되며, 이 경우 개인정보 처리와 관련된 해당 국가의 현행 법규범과 개 인정보의 비밀유지와 보안을 확보하기 위한 조치가 상기한 협약의 규정에 부 합하여야 한다. 3. 처리자는 개인정보를 국경 간 이전 하기 전 이전 의향에 관하여 정보주체 의 권리 보호를 담당하는 위임기관에 통지할 의무가 있다. 상기한 통지는 제 22조에 명시된 개인정보 처리 의향에 관한 통지서와 별도로 발송된다. 4. 제3항에 명시된 통지서는 담당자가 서명하여 서면이나 전자문서 형식으로 발송된다. 개인정보의 국경 간 이전 의 향에 관한 통지서에는 다음에 해당하는 내용이 포함되어야 한다. 1) 처리자의 명칭(성명, 부칭), 주소, 제22조에 따라 처리자가 미리 발송한 개인정보 처리 의향에 관한 통지서의 날짜와 번호 2) 개인정보 처리 담당자의 명칭(성명, 부칭), 전화번호, 주소, 전자메일 주소 3) 개인정보의 국경 간 이전 및 개인정 보의 향후 처리에 대한 법적 근거 및 목적 4) 이전 예정인 개인정보의 범주와 목 록 5) 이전될 개인정보의 정보주체 범주 6) 개인정보의 국경 간 이전이 계획된 외국 국가 목록 7) 개인정보를 국경 간 이전 받을 외국 정부기관, 외국인, 외국 법인의 개인정 보 처리 시 비밀 유지 및 보안 확보 준 수 여부에 대한 처리자의 평가일 5. 처리자는 제3항에 명시된 통지서를 제출하기 전 개인정보를 국경 간 이전 받을 외국 정부기관, 외국인, 외국 법인 으로부터 다음에 해당하는 자료를 제공 받아야 한다. 1) 개인정보를 국경 간 이전받을 외국 정부기관, 외국인, 외국 법인이 이전받 을 개인정보를 보호하기 위하여 취할 수 있는 대책과 개인정보 처리 중단 조 건에 관한 자료 2) 개인정보를 국경 간 이전받을 외국 정부기관, 외국인, 외국 법인의 사법관 할권이 소재한 국가의 개인정보 분야의 법적 규제에 관한 정보 (단,『개인정보 의 자동처리와 관련된 개인의 보호를 위한 유럽회의 협약』에 가입되어 있지 아니하고, 정보주체 권리를 적절하게 보 호하는 외국 국가 대상국에 포함되지 아니한 국가의 사법관할권 하에 소재한 외국 정부기관, 외국인, 외국 법인이 개 인정보를 국경 간 이전받을 것으로 예 상되는 경우에 해당한다.) 3) 개인정보를 국경 간 이전받을 외국 정부기관, 외국인, 외국 법인에 관한 정 보(명칭 또는 성명, 부칭, 그리고 전화 번호, 우편 주소와 전자메일 주소) 6. 처리자는 개인정보 국경 간 이전 의 향에 관한 통지서에 포함되어 있는 자 료의 신뢰성을 정보주체의 권리 보호를 담당하는 위임기관이 확인을 위하여 관 련 자료를 요청하는 경우, 이 요청을 받 은 날부터 10영업일 이내에 제5항제1호 부터 제3호까지에 명시된 자료를 제공 한다. 처리자가 상기한 기간을 연장하는 경우 요청받은 정보 제공 기간의 연장 사유를 명시한 통지서를 정보주체의 권 리 보호를 담당하는 위임기관에 발송하 면, 5영업일을 초과하지 아니하는 기간 으로 연장될 수 있다. 7. 러시아연방 헌법 질서의 기초와 국 민의 도덕성, 건강, 권리 및 합법적 이 익 보호와 국방, 안보 보장, 러시아연방 의 경제 및 금융 이익 보호, 외교 및 국 제적 법률을 통한 러시아연방 국민의 권리, 자유, 이익 보호, 러시아연방의 주권, 안전, 영토 보존성, 국제 무대에 서 그 밖의 이익 보장을 위하여 제12항 에 명시된 정보주체의 권리 보호를 담 당하는 위임기관의 결정이 내려진 날부 터 국경 간 개인정보의 이전은 금지 또 는 제한될 수 있다. 8. 정보주체의 권리 보호를 담당하는 위임기관은 국민의 도덕성, 건강, 권리, 합법적 이익 보호를 위하여 제3항에 명 시된 통지서 심의 결과에 따라 개인정 보의 국경 간 이전 금지 또는 제한 결 정을 내린다. 9. 정보주체의 권리 보호를 담당하는 위임기관은 제3항에 명시된 통지서를 수령한 날부터 10영업일 이내에 러시아 연방 정부가 정한 절차에 따라 제8항에 명시된 결정을 내린다. 정보주체의 권리 보호를 담당하는 위임기관이 제6항에 따라 자료를 요청하는 경우, 처리자가 요청받은 자료를 제공하는 날까지 해당 통지서의 심의는 중지된다. 10. 처리자는 제3항에 명시된 통지서 발송 후 해당 통지서에 명시한 『개인 정보의 자동처리와 관련된 개인의 보호 를 위한 유럽회의 협약』 회원국이나 제2항에 명시된 목록에 포함되는 국가 의 영토에 대하여서는 제8항이나 제12 항에 명시된 결정이 내려지기 전까지 개인정보를 국경 간 이전할 수 있다. 11. 처리자는 이 조 제3항에 명시된 통 지서 발송 후 이 조 제9항에 명시된 기 한이 경과하기 전까지『개인정보의 자 동처리와 관련된 개인의 보호를 위한 유럽회의 협약』에 가입하지 아니하고, 이 조 제2항에 명시된 목록에 포함되지 아니하는 국가의 영토에대하여서는 통 지서에 명시한 개인정보를 국경 간 이 전할 수 없다. 단, 정보주체 또는 제3자 의 생명과 건강, 그 밖에 매우 중요한 이익 보호를 위하여 그러한 이전이 필 수적인 경우는 예외로 한다. 12. 정보주체의 권리 보호를 담당하는 위임기관은 다음에 해당하는 목표를 위 하여 개인정보의 국경 간 이전에 대하 여 금지나 제한 결정을 내릴 수 있다. 1) 안전 보장 분야에서 권한을 위임받 은 연방행정기관의 제안에 따라 러시아 연방 헌법질서의 기초 및 국가 안보를 보호하는 경우 2) 국방 분야에서 권한을 위임받은 연 방행정기관의 제안에 따라 국가의 국방 력을 확보하는 경우 3) 러시아연방 대통령이나 러시아연방 정부로부터 권한을 위임받은 연방행정 기관의 제안에 따라 러시아연방 경제 및 금융 이익을 보호하는 경우 4) 러시아연방 국제관계 분야에서 국가 시책을 개발 및 실행하고 법적으로 규 제하는 연방행정기관의 제안에 따라 러 시아연방 국민의 권리와 자유, 이익을 보호하기 위한 외교적, 국제법적 수단을 확보하는 경우 13. 정보주체의 권리 보호를 담당하는 위임기관은 관련 제안을 수신한 날부터 5영업일 이내에 제12항에 명시된 결정 을 내린다. 14. 처리자는 정보주체의 권리 보호를 담당하는 위임기관이 제8항이나 제12항 에 명시된 결정을 내리는 경우, 외국 정 부기관과 외국인, 외국 법인이 처리자로 부터 전달받은 개인정보를 반드시 파기 하도록 하여야 한다. 15. 러시아연방 정부는 러시아연방이 체결한 국제조약과 러시아연방법률에 따라 정부기관, 지방자치단체에 부과된 기능과 권한, 의무 이행을 목적으로 개 인정보를 국경 간 이전하는 처리자에게 제3항부터 제6항까지, 제8항부터 제11 항까지의 요건이 적용되지 아니하는 경 우를 정한다. (2022년 7월 14일 연방법 률 제266-FZ호에 의하여 조 개정)
1. 국가기관 및 지방자치단체는 연방법 률에 따라 정하여진 권한 내에서 국가 또는 지방자치단체의 개인정보시스템을 구축한다. 2. 국가 또는 지방자치단체의 개인정보 시스템에 포함되는 개인정보에 속하는 구체적인 정보주체를 식별하는 여러가 지 방법을 포함하여, 해당 정보시스템에 개인정보 등록을 위한 특별 요건을 연 방법률로 정할 수 있다. 3. 개인과 국민의 권리 및 자유는 국가 나 지방자치단체의 개인정보시스템에 포함되는 개인정보의 구체적인 정보주 체를 식별하는 여러가지 방법을 이용하 기 위하여 제한되어서는 아니 된다. 국 가나 지방자치단체의 개인정보시스템에 포함되는 개인정보의 구체적인 정보주 체를 식별하는 방법을 국민의 감정을 모욕하거나 인간의 존엄을 훼손하면서 이용하여서는 아니 된다. 4. 국가나 지방자치단체의 개인정보 시 스템에서 개인정보를 처리하는 것과 관 련하여 정보주체의 권리를 실현하고 보 장하기 위하여 연방법률로 법적 지위와 운영 절차가 정하여진 국가 주민등록 시스템을 구축할 수 있다.
1. 정보주체는 제8항에 명시된 경우를 제외하고 제7항에 명시된 정보를 취득 할 권리를 가진다. 정보주체는 자신의 개인정보가 불완전하고 최신이 아니며 부정확하고 불법적으로 취득되었거나 알려진 처리 목적이 필수적이지 아니하 는 경우, 처리자에게 해당 개인정보를 확인하여 차단하거나 파기하여줄 것을 요청하고 자신의 권리를 보호할 수 있 는 법적인 조치를 취할 수 있다. 2. 처리자는 개인정보 공개를 위한 법 적 근거가 있는 경우를 제외하고 제7항 에 명시된 자료를 열람이 가능한 형태 로 정보주체에게 제공하여야 하며 그 자료에는 다른 정보주체와 관련된 개인 정보가 포함되어서는 아니 된다. 3. 처리자는 정보주체나 대리인의 신청 또는 요청을 받은 시점부터 10영업일 내에 이 조 제7항에 명시된 자료를 정 보주체나 대리인에게 제공하여야 한다. 처리자가 상기한 기간을 연장하는 경우 요청받은 정보 제공 기간의 연장 사유 를 명시한 통지서를 정보주체의 권리 보호를 담당하는 위임기관에 발송하면, 5영업일을 초과하지 아니하는 기간으로 연장될 수 있다. 요청서에는 신원을 확 인할 수 있는 기본 서류의 고유번호, 상 기한 문건 발행일 및 발급 기관에 관한 자료, 정보주체와 처리자 간의 관계를 입증하는 자료(계약 번호, 계약 체결 일 자, 조건 표시와 (또는) 그 밖의 정보) 또는 처리자의 개인정보 처리 사실을 입증할 수 있는 다른 방법, 정보주체 및 그의 대리인의 서명이 포함되어야 한다. 요청서는 러시아연방법률에 따라 전자 서명이 포함된 전자문서 형태로 발송된 다. 처리자는 문의 또는 요청에 달리 명 시되어 있지 아니하는 경우, 제7항에 명시된 정보를 해당 문의 또는 요청과 동일한 형태로 개인정보 주체나 그의 대리인에게 제공한다. (2022년 7월 14 일 연방법률 제266-FZ호에 의하여 개 정) 4. 정보주체가 제7항에 명시된 자료와 처리되고 있는 개인정보 열람을 요청하 여 제공받은 적이 있는 경우, 연방법률 과 연방법률에 따라 채택된 법규, 정보 주체가 당사자, 수익자이거나 보증인인 계약에 보다 짧은 기간으로 정하여지지 아니하였다면, 정보주체는 최초 신청이 나 요청 후 30일이 경과한 이후 처리자 에게 추가 신청이나 요청할 권리가 있 다. 5. 정보주체는 제7항에 명시된 자료를 받고 처리되고 있는 개인정보를 열람하 기 위하여 제4항에 명시된 기한이 만료 되기 전 추가 신청이나 요청을 할 권리 가 있되, 정보주체가 최초 열람 신청 결 과 그러한 정보 또는 처리되고 있는 개 인정보 전체를 열람한 적이 없는 경우 에 한정한다. 제3항에 명시된 자료와 함께 추가 요청은 그 요청에 대한 근거 가 포함되어야 한다. 6. 처리자는 제4항과 제5항에 명시된 조건에 부합하지 아니하는 추가 요청 이행을 거부할 권리가 있다. 그러한 거 부는 근거가 있어야 한다. 추가 요청을 타당하게 거부했는지 입증할 의무는 처 리자에게 있다. 7. 정보주체는 본인의 개인정보 처리와 관련된 정보를 제공받을 권리가 있으며, 해당 정보에는 다음의 내용을 포함한다. 1) 처리자의 개인정보 처리 사실 확인 2) 개인정보 처리의 법적 근거 및 목적 3) 개인정보 처리 목표 및 처리자가 사 용하는 방법 4) 처리자의 명칭과 소재지, 개인정보 를 열람할 수 있거나 처리자와의 계약 을 근거로 또는 연방법률을 근거로 개 인정보가 공개될 수 있는 사람(처리자 의 직원 제외)에 관한 자료 5) 연방법률에 자료 제출에 관한 다른 절차가 명시되어 있지 아니한 경우, 해 당 정보주체와 관련되어 처리되고 있는 개인정보와 그 정보의 입수 출처 6) 보관 기간을 포함한 개인정보 처리 기간 7) 이 연방법률에 명시된 정보주체의 권리 행사 절차 8) 국경 간 이전되었거나 이전될 계획 인 개인정보에 관한 정보 9) 개인정보 처리가 위탁되었거나 위탁 예정인 경우 처리자의 위탁에 따라 개 인정보를 처리하는 사람의 명칭이나 성 명, 부칭, 주소 91) 제181조에 명시된 처리자의 의무 이행 방법에 관한 정보(2022년 7월 14 일 연방법률 제266-FZ호에 의하여 호 추가) 10) 이 연방법률 또는 다른 연방법률에 명시된 그 밖의 자료 8. 정보주체의 본인 개인정보에 대한 열람 권한은 다음에 해당하는 경우 연 방법률에 따라 제한될 수 있다. 1) 수색 및 방첩 활동 결과 확보한 경 우를 포함하여 국가의 국방과 안보, 법 질서 유지를 목적으로 개인정보를 처리 하는 경우 2) 러시아연방 형사소송법에 명시된 경 우를 제외하고 용의자 또는 피의자의 개인정보 열람이 허용되는 경우, 정보주 체를 범죄 용의자로 구금하였거나 형사 기소하였거나 기소 전 강제 처분을 내 린 기관이 개인정보를 처리하는 경우 3) 범죄 수익의 합법화(자금 세탁) 및 테러 자금 지원 방지에 관한 법률에 따 라 개인정보를 처리하는 경우 4) 정보주체의 본인 개인정보 열람으로 인하여 제3자의 권리와 합법적 이익이 침해되는 경우 5) 운송 안전에 관한 러시아연방법률에 명시된 상황에서 운송 분야의 안정적이 고 안전한 기능과 불법적인 간섭 행위 로부터 개인과 사회, 국가의 이익을 보 호하기 위한 목적으로 개인정보를 처리 하는 경우(2011년 7월 25일 연방법률 제261-FZ호에 의하여 조 개정)
1. 개인정보는 시장에서 통신 매체를 이용하여 잠재적인 소비자와 직접적인 연락하여 상품, 작업, 서비스를 홍보하 고, 정치적인 캠페인 활동을 하는 경우, 정보주체의 사전 동의를 받은 경우에만 처리될 수 있다. 처리자가 정보주체의 동의를 받았다는 사실을 입증하지 못하 는 경우 상기한 개인정보는 정보주체의 사전 동의 없이 처리된 것으로 간주된 다. 2. 처리자는 정보주체의 요청이 있을 경우 제1항에 명시된 정보주체의 개인 정보 처리를 지체 없이 중지하여야 한 다.
1. 제2항에 명시된 경우를 제외하고 자 동화된 개인정보 처리만을 근거로 하여 정보주체에 대한 법적 결과가 초래되거 나 그 밖의 방법으로 정보주체의 권리 및 합법적 이익에 영향을 주는 의사 결 정은 금지된다. 2. 정보주체에 대하여 법적 결과를 초 래하거나 그 밖의 방법으로 정보주체의 권리 및 합법적 이익에 영향을 주는 의 사 결정은, 정보주체의 서면 동의가 있 는 경우 또는 정보주체의 권리 및 합법 적 이익을 준수하기 위한 조치를 규정 하는 연방법률에 명시된 경우에 자동화 된 개인정보 처리만을 근거하여 내려질 수 있다. 3. 처리자는 자동화된 개인정보 처리만 을 근거로 하여 의사 결정을 내린 과정 과 그러한 결정으로 발생 가능한 법적 결과에 대하여 정보주체에게 설명하고 그러한 결정에 대한 이의제기 기회를 제공하며 정보주체가 자신의 권리와 합 법적 이익을 보호할 수 있는 절차를 설 명하여야 할 의무가 있다. 4. 처리자는 제3항에 명시된 이의제기 를 받은 날부터 30일 내에 검토하고, 검토 결과에 대하여 정보주체에게 통지 하여야 할 의무가 있다(2011년 7월 25 일 연방법률 제261-FZ호에 의하여 개 정)
1. 정보주체는 처리자가 이 연방법률의 요건을 위반하여 자신의 개인정보를 처 리하고 있거나 그 밖의 방법으로 자신 의 권리와 자유를 침해하고 있다고 판 단하는 경우, 처리자의 작위 또는 부작 위에 대하여 정보주체의 권리 보호를 담당하는 위임기관이나 법원에 이의제 기를 할 수 있다. 2. 정보주체는 재판을 통하여 손해와 도덕적 피해에 대하여 보상을 요구할 권리를 포함하여, 자신의 권리 및 합법 적 이익을 보호받을 권리를 가진다.
1. 처리자는 개인정보 수집 시 정보주 체의 요청이 있을 경우, 제14조제7항에 명시된 정보를 정보주체에게 제공할 의 무가 있다. 2. 연방법률에 따라 정보주체가 개인정 보를 제공하고 (또는) 처리자가 개인정 보 처리에 대한 동의를 받는 것이 의무 사항인 경우, 처리자는 정보주체가 개인 정보 제공과 (또는) 처리를 동의하지 아니함에 따라 발생하는 법적 결과에 대하여 정보주체에게 설명할 의무가 있 다. (2022년 7월 14일 연방법률 제 266-FZ호에 의하여 개정) 3. 처리자는 제4항에 명시된 경우를 제 외하고 개인정보를 정보주체로부터 입 수하지 아니한 경우, 개인정보 처리 전 정보주체에게 다음에 해당하는 정보를 제공할 의무가 있다. 1) 처리자나 그의 대리인의 명칭 또는 성명, 부칭, 주소 2) 개인정보 처리 목적 및 법적 근거 21) 개인정보 목록(2022년 7월 14일 연방법률 제266-FZ호에 의하여 호 추 가) 3) 예상되는 개인정보의 이용자 4) 이 연방법률에 명시된 정보주체의 권리 5) 개인정보 입수 출처 4. 처리자는 다음에 해당하는 경우 이 조 제3항에 명시된 자료를 정보주체에 게 제공할 의무가 면제된다. 1) 처리자가 정보주체에게 개인정보 처 리에 관하여 통지한 경우 2) 처리자가 연방법률에 근거하여 또는 개인정보주체가 당사자, 수익자이거나 보증인인 계약의 이행과 관련하여 개인 정보를 수령한 경우 3) 정보주체가 확산을 허용한 개인정보 를 률 제101조에 명시된 금지 사항과 조건을 준수하여 처리하는 경우(2020년 12월 30일 연방법률 제519-FZ호에 의 하여 개정) 4) 처리자가 정보주체의 권리 및 합법 적 이익을 침해하지 아니하면서 통계나 그 밖의 연구, 언론인의 직업 활동이나 학문, 문학 또는 그 밖의 창작 활동을 목적으로 개인정보를 처리하는 경우 5) 제3항에 명시된 자료를 정보주체에 게 제공함으로 인하여 제3자의 권리 및 합법적인 이익이 침해되는 경우 5. 처리자는 정보통신네트워크 ‘인터넷’ 을 포함하여 개인정보를 수집하는 경우, 제6조제1항 제2호, 제3호, 제4호, 제8 호에 명시된 경우를 제외하고, 반드시 러시아연방 국내에 소재한 데이터베이 스를 이용하여 러시아연방 국민의 개인 정보를 기록, 정리, 축적, 저장, 수정(업 데이트, 변경), 추출하여야 한다(2014 년 7월 21일 연방법률 제242-FZ호에 의하여 항 추가) (2011년 7월 25일 연방법률 제261- FZ호에 의하여 조 개정)
1. 처리자는 이 연방법률과 이 연방법 률에 따라 채택된 법규에 명시된 의무 를 이행하기 위하여 필수적이고 충분한 조치를 취할 의무가 있다. 처리자는 이 연방법률 또는 다른 연방 법률에 달리 규정되지 아니한 경우, 이 연방법률과 이 연방법률에 따라 채택된 법규에 명시된 의무를 이행하기 위하여 필수적이고 충분한 조치의 구성과 목록 을 독자적으로 정한다. 특히 다음과 같 은 조치를 취한다. (2022년 7월 14일 연방법률 제266-FZ호에 의하여 개정) 1) 법인 처리자는 개인정보 처리 담당 자를 지정한다. 2) 법인 처리자는 처리자의 개인정보 처리 정책이 담긴 문서와 각 개인정보 처리 목적 달성을 위하여 처리될 수 있 는 개인정보의 범주와 목록, 처리되고 있는 개인정보의 정보주체 범주, 개인정 보의 처리 및 보관 방법과 기간, 개인정 보 처리 목적이 달성되었거나 새로운 법적 근거가 마련된 경우 해당 개인정 보의 파기 절차가 규정된 내규, 그리고 러시아연방법률 위반 방지와 위반 사항 적발, 그러한 위반 사항을 시정하기 위 한 절차가 규정된 내규 문서를 발행한 다. 그러한 문서와 내규에는 정보주체의 권리를 제한하고 연방법률에 명시되지 아니한 권한 및 의무를 처리자에게 부 과하는 규정이 포함되어서는 아니 된다. (2022년 7월 14일 연방법률 제266- FZ호에 의하여 개정) 3) 제19조에 따라 개인정보의 보안을 확보하기 위한 법적, 조직적, 기술적 조 치를 취한다. 4) 개인정보가 이 연방법률과 이 연방 법률에 따라 채택된 법규, 개인정보 보 호에 관한 요건, 개인정보 처리에 관한 처리자의 정책, 처리자의 내규에 맞게 처리되고 있는지 내부 감독과 (또는) 감사를 실행한다. 5) 이 연방법률을 위반하는 경우 정보 주체가 입을 수 있는 피해를 산정하고 상기한 피해와 처리자가 이 연방법률에 명시된 의무 이행을 위하여 취하고 있 는 조치 간의 연관성을 정보주체의 권 리 보호를 담당하는 위임기관이 정한 요건에 따라 평가한다. (2022년 7월 14 일 연방법률 제266-FZ호에 의하여 개 정) 6) 개인정보를 직접 처리하는 처리자의 직원이 개인정보 보호에 관한 요건, 개 인정보 처리에 관한 처리자의 정책 및 개인정보 처리에 관한 내규, 개인정보에 관한 러시아연방 규정을 숙지하도록 하 고, (또는) 해당 직원을 교육시킨다. 2. 처리자는 개인정보 처리 정책과 개 인정보 보호 요건 이행에 관한 자료를 공개하거나 제한 없이 열람할 수 있도 록 그 밖의 방법으로 보장하여야 한다. 정보통신네트워크를 이용하여 개인정보 를 수집하는 처리자는 개인정보를 수집 하고 있는 정보통신네트워크 '인터넷'에 서 자신이 소유하고 있는 사이트의 페 이지를 포함하여 해당 정보통신네트워 크에 개인정보 처리에 관한 정책과 실 행하고 있는 개인정보 보호 요건에 관 한 자료를 공개할 의무가 있으며, 해당 정보통신네트워크를 이용하여 상기한 문서를 열람할 수 있는 기회를 보장하 여야 한다. (2022년 7월 14일 연방법률 제266-FZ호에 의하여 개정) 3. 러시아연방 정부는 국가 또는 지방 자치단체인 처리자가 이 연방법률과 이 연방법률에 따라 채택된 법규에 명시된 의무를 이행할 수 있도록 관련 조치 목 록을 정한다. 4. 처리자는 정보주체의 권리 보호를 담당하는 위임기관의 요청에 따라 제1 항에 명시된 문서 및 내규를 제출하고 (또는) 제1항에 명시된 조치를 취하고 있다는 사실을 다른 방법으로 입증할 수 있어야 한다. (2011년 7월 25일 연방법률 제261- FZ호에 의하여 조 추가)
12. Оператор обязан в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) персональных данных. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) 13. Указанная в части 12 настоящей статьи информация (за исключением информации, составляющей государственную тайну) передается федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в уполномоченный орган по защите прав субъектов персональных данных. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) 14. Порядок передачи информации в соответствии с частью 13 настоящей статьи устанавливается совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. Оператор обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. (В редакции Федерального закона от 14.07.2022 № 266- ФЗ) 2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 настоящего Федерального закона или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. (В редакции Федерального закона от 14.07.2022 № 266-ФЗ) 3. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы. 4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. (В редакции Федерального закона от 14.07.2022 № 266- ФЗ) (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. 2. В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных. 3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. 31. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, оператор обязан с момента выявления такого инцидента оператором, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных: 1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом; 2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии). (Дополнение частью - Федеральный закон от 14.07.2022 № 266-ФЗ) 4. В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами. 5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами. 51. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 настоящего Федерального закона. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) 6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в частях 3 - 51 настоящей статьи, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами. (В редакции Федерального закона от 14.07.2022 № 266-ФЗ) 7. Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящей статьей, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи. 2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных: 1) (Пункт утратил силу - Федеральный закон от 14.07.2022 № 266-ФЗ) 2) (Пункт утратил силу - Федеральный закон от 14.07.2022 № 266-ФЗ) 3) (Пункт утратил силу - Федеральный закон от 14.07.2022 № 266-ФЗ) 4) (Пункт утратил силу - Федеральный закон от 14.07.2022 № 266-ФЗ) 5) (Пункт утратил силу - Федеральный закон от 14.07.2022 № 266-ФЗ) 6) (Пункт утратил силу - Федеральный закон от 14.07.2022 № 266-ФЗ) 7) включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; (В редакции Федерального закона от 14.07.2022 № 266-ФЗ) 8) в случае, если оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации; (В редакции Федерального закона от 14.07.2022 № 266- ФЗ) 9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. (Дополнение пунктом - Федеральный закон от 25.07.2011 № 261-ФЗ) 3. Уведомление, предусмотренное частью 1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения: (В редакции Федерального закона от 25.07.2011 № 261- ФЗ) 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) (Пункт утратил силу - Федеральный закон от 14.07.2022 № 266-ФЗ) 4) (Пункт утратил силу - Федеральный закон от 14.07.2022 № 266-ФЗ) 5) (Пункт утратил силу - Федеральный закон от 14.07.2022 № 266-ФЗ) 6) (Пункт утратил силу - Федеральный закон от 14.07.2022 № 266-ФЗ) 7) описание мер, предусмотренных статьями 181 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; (В редакции Федерального закона от 25.07.2011 № 261- ФЗ) 71) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; (Дополнение пунктом - Федеральный закон от 25.07.2011 № 261-ФЗ) 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; (Дополнение пунктом - Федеральный закон от 25.07.2011 № 261-ФЗ) 101) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации; (Дополнение пунктом - Федеральный закон от 21.07.2014 № 242- ФЗ) 102) фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку персональных данных, содержащихся в государственных и муниципальных информационных системах; (Дополнение пунктом - Федеральный закон от 14.07.2022 № 266- ФЗ) 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации. (Дополнение пунктом - Федеральный закон от 25.07.2011 № 261-ФЗ) 31. При предоставлении сведений, предусмотренных частью 3 настоящей статьи, оператор для каждой цели обработки персональных данных указывает категории персональных данных, категории субъектов, персональные данные которых обрабатываются, правовое основание обработки персональных данных, пере чень действий с персональными данными, способы обработки персональных данных. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) 4. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. 41. Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления от оператора уведомления о прекращении обработки персональных данных исключает сведения, указанные в части 3 настоящей статьи, из реестра операторов. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) 5. На оператора не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов. 6. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов. 7. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты прекращения обработки персональных данных. (В редакции Федерального закона от 14.07.2022 № 266-ФЗ) 8. Формы уведомлений, предусмотренных частями 1, 41 и 7 настоящей статьи, устанавливаются уполномоченным органом по защите прав субъектов персональных данных. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ)
1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. 2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. 3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в части 3 статьи 22 настоящего Федерального закона. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. (Дополнение статьей - Федеральный закон от 25.07.2011 № 261-ФЗ)
(Наименование в редакции Федерального закона от 11.06.2021 № 170-ФЗ)
1. Уполномоченным органом по защите прав субъектов персональных данных является федеральный орган исполнительной власти, осуществляющий самостоятельно функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. (В редакции Федерального закона от 14.07.2022 № 266- ФЗ) 11. (Дополнение частью - Федеральный закон от 22.02.2017 № 16-ФЗ) (Утратила силу - Федеральный закон от 11.06.2021 № 170-ФЗ) 2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение. 3. Уполномоченный орган по защите прав субъектов персональных данных имеет право: 1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию; 2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий; 3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; 31) ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации; (Дополнение пунктом - Федеральный закон от 21.07.2014 № 242-ФЗ) 4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона; 5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде; (В редакции Федерального закона от 25.07.2011 № 261- ФЗ) 51) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона; (Дополнение пунктом - Федеральный закон от 25.07.2011 № 261-ФЗ) 6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных; 7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью; 8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных и деятельности по обработке персональных данных; (В редакции Федерального закона от 14.07.2022 № 266-ФЗ) 9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона. 4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться конфиденциальность персональных данных. 5. Уполномоченный орган по защите прав субъектов персональных данных обязан: 1) организовывать в соответствии с требованиями настоящего Федерального закона и других федеральных законов защиту прав субъектов персональных данных; 2) рассматривать жалобы и обращения граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принимать в пределах своих полномочий решения по результатам рассмотрения указанных жалоб и обращений; 3) вести реестр операторов; 4) осуществлять меры, направленные на совершенствование защиты прав субъектов персональных данных; 5) принимать в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, федерального органа исполнительной власти в области государственной охраны или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, меры по приостановлению или прекращению обработки персональных данных; (В редакции Федерального закона от 01.07.2017 № 148-ФЗ) 6) информировать государственные органы, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных; 7) выполнять иные предусмотренные законодательством Российской Федерации обязанности. 51. Уполномоченный орган по защите прав субъектов персональных данных осуществляет сотрудничество с органами, уполномоченными по защите прав субъектов персональных данных в иностранных государствах, в частности международный обмен информацией о защите прав субъектов персональных данных, утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. (Дополнение частью - Федеральный закон от 25.07.2011 № 261- ФЗ) 52. Права и обязанности уполномоченного органа по защите прав субъектов персональных данных, установленные в частях 3 и 4 настоящей статьи, осуществляются им непосредственно и не могут быть переданы иным органам государственной власти. (Дополнение частью - Федеральный закон от 14.07.2022 № 266-ФЗ) 6. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке. 7. Уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации. 8. Финансирование уполномоченного органа по защите прав субъектов персональных данных осуществляется за счет средств федерального бюджета. 9. При уполномоченном органе по защите прав субъектов персональных данных создается на общественных началах консультативный совет, порядок формирования и порядок деятельности которого определяются уполномоченным органом по защите прав субъектов персональных данных. 10. Для учета информации об инцидентах, предусмотренных частью 31 статьи 21 настоящего Федерального закона, уполномоченный орган по защите прав субъектов персональных данных ведет реестр учета инцидентов в области персональных данных, определяет порядок и условия взаимодействия с операторами в рамках ведения указанного реестра. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ) 11. Информация о компьютерных инцидентах, повлекших неправомерную или случайную передачу (предоставление, распространение, доступ) персональных данных, в порядке, установленном совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и уполномоченным органом по защите прав субъектов персональных данных, передается в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности. (Дополнение частью - Федеральный закон от 14.07.2022 № 266- ФЗ)
1. Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется федеральным органом исполнительной власти, осуществляющим функции по контролю (надзору) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. 2. Предметом федерального государственного контроля (надзора) за обработкой персональных данных является соблюдение операторами обязательных требований в области персональных данных, установленных настоящим Федеральным законом и принимаемыми в соответствии с ним иными нормативными правовыми актами Российской Федерации. 3. Федеральный государственный контроль (надзор) за обработкой персональных данных осуществляется в соответствии с Федеральным законом от 31 июля 2020 года № 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации" (за исключением контрольных (надзорных) мероприятий, проводимых без взаимодействия с контролируемым лицом). 4. Сведения о причинении вреда (ущерба) или об угрозе причинения вреда (ущерба) охраняемым законом ценностям, выявленные в ходе проведения мероприятий без взаимодействия с контролируемым лицом, являются основанием для принятия решения о проведении контрольного (надзорного) мероприятия в соответствии со статьей 60 Федерального закона от 31 июля 2020 года № 248-ФЗ "О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации". 5. Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных, в том числе порядок организации и осуществления контрольных (надзорных) мероприятий, проводимых без взаимодействия с контролируемым лицом, утверждается Правительством Российской Федерации. (Дополнение статьей - Федеральный закон от 11.06.2021 № 170-ФЗ)
1. Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ) 2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков. (Дополнение частью - Федеральный закон от 25.07.2011 № 261-ФЗ)
1. Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования. 2. После дня вступления в силу настоящего Федерального закона обработка персональных данных, включенных в информационные системы персональных данных до дня его вступления в силу, осуществляется в соответствии с настоящим Федеральным законом. 21. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 71, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года. (Дополнение частью - Федеральный закон от 25.07.2011 № 261-ФЗ) 3. (Часть утратила силу - Федеральный закон от 25.07.2011 № 261-ФЗ) 4. Операторы, которые осуществляют обработку персональных данных до дня вступления в силу настоящего Федерального закона и продолжают осуществлять такую обработку после дня его вступления в силу, обязаны направить в уполномоченный орган по защите прав субъектов персональных данных, за исключением случаев, предусмотренных частью 2 статьи 22 настоящего Федерального закона, уведомление, предусмотренное частью 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2008 года. 5. Отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, юридическими лицами, физическими лицами при предоставлении государственных и муниципальных услуг, исполнении государственных и муниципальных функций в субъекте Российской Федерации - городе федерального значения Москве, регулируются настоящим Федеральным законом, если иное не предусмотрено Федеральным законом "Об особенностях регулирования отдельных правоотношений в связи с присоединением к субъекту Российской Федерации - городу федерального значения Москве территорий и о внесении изменений в отдельные законодательные акты Российской Федерации". (Дополнение частью - Федеральный закон от 05.04.2013 № 43-ФЗ) Президент Российской Федерации В.Путин Москва, Кремль 27 июля 2006 года № 152-ФЗ
(제1조-제25조)
국 가 ‧ 지 역: 러시아 제 정 일: 2006.07.27 개 정 일: 2023.02.06
1. 이 연방법률은 러시아연방 국가기 관, 연방주체 국가기관, 그 밖의 국가 기관(이하 "국가기관"이라고 한다), 지 방자치단체와 그 밖의 지방자치단체 (이하 "지방자치단체"라고 한다), 법인 및 개인이 정보통신망을 포함한 자동 화 수단을 사용하거나 자동화 수단을 사용하지 아니하고 실행하는 개인정보 처리와 관련된 관계를 규율한다. 단, 자동화 수단을 사용하지 아니하는 개 인정보 처리는 자동화 수단을 이용하 는 행위(작업)와 성격이 유사하여야 하며 즉, 정하여진 알고리즘에 따라 물 리적 매체에 저장되고, 카드 색인 또는 그 밖에 수집되어 체계화된 개인정보 에 포함되어 검색과 (또는) 열람이 가 능하여야 한다. (2011년 7월 25일 연 방법률 제261-FZ호에 의하여 개정) 11. 이 연방법률의 규정은 일방이 러시 아연방 국민인 계약과 외국법인, 외국 인, 러시아연방 국민 간 그 밖의 계약 또는 러시아연방 국민의 개인정보 처리 에 관한 동의를 근거로 외국 법인이나 외국인이 실행하는 러시아연방 국민의 개인정보 처리에 적용된다. (2022년 7 월 14일 연방법률 제266-FZ호에 의하 여 항 추가) 2. 이 연방법률의 규정은 다음에 해당 하는 관계에는 적용되지 아니 한다. 1) 개인이 정보주체의 권리를 침해하지 아니하면서 사적으로 또는 가정의 필요 를 위해서만 개인정보를 처리하는 경우 2) 러시아연방 기록물 업무에 관한 연 방법률에 따라 개인정보가 포함된 러시 아연방 국가기록보관소의 문서 및 다른 기록물을 보관, 보완, 등록 및 이용하는 경우 3) 2011년 07월 25일 러시아연방법률 제261-FZ호에 의하여 효력 상실 4) 국가기밀을 구성하는 정보에 포함된 개인정보를 정하여진 절차에 따라 처리 하는 경우 5) (2010년 6월 28일 연방법률 제 123-FZ호에 의하여 호 추가) (2017년 07월 29일 연방법률 제223-FZ호에 의 하여 효력 상실) 3. 『2008년 12월 22일 러시아연방 법 원 활동에 관한 정보 열람에 관한 연방 법률』에 따라 상기한 정보 열람을 위 한 목적으로 개인정보가 포함된 러시아 연방 법원 활동에 관한 정보를 제공, 확 산, 전달, 취득하고 정보시스템 및 정보 통신망을 운영, 이용하는 경우 (2017년 7월 29일 연방법률 제223-FZ호에 의 하여 항 추가)
이 연방법률은 개인정보 처리 시 사생 을 침해받지 아니할 권리와 개인 및 가 정의 비밀에 대한 권리 보호 등 개인과 국민의 권리 및 자유 보장을 목적으로 한다.
이 연방법률을 위하여 다음에 해당하는 개념을 사용한다. 1) "개인정보"란 직접 또는 간접적으로 특정 개인(정보주체)을 정의한 또는 정 의할 수 있는 모든 정보를 말한다. 11) "정보주체가 확산을 허용한 개인정 보"란 이 연방법률에 정하여진 절차에 따라 정보주체가 확산을 허용한 개인정 보 처리에 관한 동의를 받아 불특정 다 수의 사람이 접근할 수 있도록 정보주 체가 제공한 개인정보를 말한다. (2020 년 12월 30일 연방법률 제519-FZ호에 의하여 호 추가) 2) "처리자"란 독자적 또는 다른 사람과 공동으로 개인정보의 처리를 계획 및 (또는) 실행하고, 개인정보의 처리 목 적, 처리될 개인정보의 구성 요소, 개인 정보로 실행하는 행위(작업)를 정하는 국가기관과 지방자치단체, 법인 또는 개 인을 말한다. 3) "개인정보 처리"란 개인정보의 수집, 기록, 체계화, 축적, 저장, 수정(업데이 트, 변경), 추출, 이용, 전달(확산, 제공, 열람), 비식별화, 차단, 제거, 파기를 포 함하여, 자동화 수단을 이용하거나 그러 한 수단의 이용 없이 개인정보를 취급 하는 행위(작업)를 말한다. 4) "자동화된 개인정보 처리"란 컴퓨터 기술을 이용하여 개인정보를 처리하는 것을 말한다. 5) "개인정보의 확산"이란 불특정 다수 의 사람에게 개인정보를 공개하는 행위 를 말한다. 6) "개인정보의 제공"이란 특정 또는 불 특정 다수의 사람에게 개인정보를 공개 하는 행위를 말한다. 7) "개인정보의 차단"이란 개인정보 처 리의 임시적인 중단을 말한다(단, 개인 정보 확인을 위하여 필수적으로 처리하 여야 하는 경우는 예외로 한다). 8) "개인정보의 파기"란 개인정보시스템 에서 개인정보의 복구가 불가능하도록 하고(또는) 개인정보가 담긴 물리적 매 체를 파기하는 행위를 말한다. 9) "개인정보의 비식별화"란 추가정보의 이용 없이는 개인정보를 소유한 구체적 인 정보주체를 특정할 수 없도록 하는 행위를 말한다. 10) "개인정보시스템"이란 데이터베이스 에 개인정보가 저장되어 이를 처리하는 정보기술 및 기술수단의 총체를 말한다. 11) "개인정보의 국경 간 이전"이란 개 인정보를 외국 영토, 외국 정부기관, 외 국인이나 외국 법인으로 전달하는 것을 말한다. (2011년 7월 25일 연방법률 제 261-FZ호에 의하여 조 개정)
1. 개인정보 분야의 러시아연방법률은 러시아연방헌법과 러시아연방이 체결한 국제조약에 근거하며, 이 연방법률과 개 인정보를 처리하는 상황과 요건을 규정 하는 다른 연방법률로 구성된다. 2. 국가기관과 러시아중앙은행, 지방자 치단체는 연방법률을 근거로 삼고 이 를 시행하기 위하여 개인정보처리와 관련된 특정 사안에 대한 법령과 규칙, 법적 조치(이하 "법령"이라고 한다)를 자신의 권한 내에서 채택할 수 있다. 이러한 조치에는 정보주체의 권리를 제한하거나 연방법률에 명시되어 있지 아니한 처리자의 활동을 제한하는 규 정이나 연방법률에 명시되어 있지 아 니한 의무를 처리자에게 부과하는 조 항을 포함할 수 없으며, 공표되어야 한 다. (2011년 7월 25일 연방법률 제 261-FZ호에 의하여 개정) 3. 자동화 수단을 이용하지 아니하고 실행하는 개인정보 처리 요건은 이 연 방법률의 규정을 고려하여 연방법률이 나 그 밖의 러시아연방 법령으로 정할 수 있다. 31. 개인정보의 국경 간 이전과 특별 범주에 포함되는 개인정보, 개인 생체정 보, 미성년자 개인정보의 처리와 비식별 화를 통하여 취득한 개인정보의 제공 및 확산과 관련된 관계를 규제하는 경 우, 제2항에 따라 채택되는 관련 법령 에 대하여 정보주체의 권리 보호를 담 당하는 위임기관과 반드시 협의하여야 한다. 상기한 협의 기간은 관련 법령이 정보 주체의 권리 보호를 담당하는 위 임기관에 도달한 날부터 13일을 초과할 수 없다. (2022년 7월 14일 연방법 제 266-FZ호에 의하여 항 추가) 4. 이 연방법률의 규정이 러시아연방이 체결한 국제조약과 달리 규정하는 경우 국제조약의 규정을 적용한다. 5. 러시아연방이 체결한 국제조약의 규 정을 근거로 채택된 국제기구의 결의안 이 해석 상 러시아연방 헌법에 위배되 는 경우 러시아연방 내에서 이행될 수 없다. 그러한 위배는 연방헌법적 법률이 정한 절차에 따라 규정될 수 있다. (2020년 12월 8일 연방법률 제429- FZ호에 의하여 항 추가)
1. 개인정보는 적법하고 정당하게 처리 되어야 한다. 2. 개인정보는 구체적이고 사전에 정하 여진 적법한 목적 달성을 위해서만 처 리되어야 한다. 개인정보 수집 목적에 부합하지 아니한 개인정보 처리는 허용 되지 아니한다. 3. 처리 목적이 서로 부합하지 아니한 개인정보가 포함되어 있는 데이터베이 스의 통합은 허용되지 아니한다. 4. 처리 목적에 맞는 개인정보만 처리 될 수 있다. 5. 처리될 개인정보의 내용과 양은 알 려진 처리 목적에 부합하여야 한다. 처 리되고 있는 개인정보는 밝혀진 목적의 범위를 초과하여서는 아니 된다. 6. 개인정보는 정확성과 완전성, 필요한 경우 처리 목적에 부합하는 중요성이 확보된 경우 처리되어야 한다. 처리자는 불완전하거나 부정확한 자료의 제거나 확인을 위하여 필요한 조치를 취하거나 그러한 조치가 마련될 수 있도록 보장 하여야 한다. 7. 개인정보 저장 기간이 연방법률과 정보주체가 당사자, 수익자이거나 보증 인인 계약에 정하여지지 아니하는 경우, 개인정보는 정보주체를 특정할 수 있는 형태로 저장 기간은 처리 목적에 필요 한 기간을 초과하지 아니한다. 연방법률 에 달리 규정되어 있지 아니한 경우, 처 리되고 있는 개인정보는 처리 목적이 달성된 후 또는 목적 달성이 불필요해 진 경우 파기 또는 비식별화 되어야 한 다. (2011년 7월 25일 연방법률 제 261-FZ호에 의하여 조 개정)
1. 개인정보는 이 연방법률에 명시된 원칙과 규정을 준수하여 처리되어야 한 다. 개인정보는 다음에 해당하는 경우 처리될 수 있다. 1) 정보주체가 본인의 개인정보 처리에 동의하여 개인정보를 처리하는 경우 2) 러시아연방 국제조약 또는 법에 명 시된 목적 실현과 러시아연방법률에 의 하여 처리자에게 부과된 기능, 권한, 의 무 이행을 위하여 개인정보를 처리하는 경우 3) 헌법과 민사, 행정, 형사 재판, 중재 법원의 재판 참여와 관련하여 개인정보 를 처리하는 경우 (2017년 7월 29일 연방법률 제223-FZ호에 의하여 개정) 31) 행정절차에 관한 러시아연방법률에 따라 이행 대상인 사법적 행위, 다른 기 관이나 공무원의 행위를 위하여 개인정 보를 처리하는 경우 (2017년 7월 29일 연방법률 제223-FZ호에 의하여 호 추 가) 4) 연방행정기관과 국가예산외기금, 러 시아연방주체 행정기관, 지방자치단체의 권한 행사를 위하여, 또한 중앙 및 지방 자치 서비스 종합 포털과 (또는) 중앙 및 지방자치 서비스 지역 포털에 정보 주체 등록을 포함하여,『2010년 7월 27일 중앙 및 지방자치 서비스 제공에 관한 연방법률 제210-FZ호』에 명시된 국가 및 지방자치 서비스를 제공하는 기관의 직무 수행을 위하여 개인정보를 처리하는 경우 (2013년 4월 5일 연방 법률 제43-FZ호에 의하여 개정) 5) 정보주체가 당사자, 수익자이거나 보증인인 계약을 이행하기 위하여, 또는 정보주체의 제안에 따라 계약을 체결하 거나 정보주체가 수익자이거나 보증인 인 계약을 체결하기 위하여 개인정보를 처리하는 경우 정보주체와 체결하게 될 계약에는 정보 주체의 권리와 자유를 제한하는 규정과 러시아연방법률에 달리 규정되어 있지 아니한 경우, 미성년자의 개인정보 처리 를 정하는 규정, 정보주체의 부작위를 계약 체결의 조건으로 허용하는 규정은 포함될 수 없다. (2013년 12월 21일 연 방법률 제363-FZ호, 2016년 7월 3일 연방법률 제231-FZ호, 2022년 7월 14 일 연방법률 제266-FZ호에 의하여 개 정) 6) 정보주체의 동의를 받는 것이 불가 능한 상황에서 정보주체의 생명과 건강 또는 그 밖에 매우 중요한 이익을 보호 하기 위하여 개인정보를 처리하는 경우 7) 『연체된 부채 상환 시 개인의 권리 와 합법적 이익 보호, 소액 금융 활동 및 소액 금융 기관에 관한 연방법률의 개정에 관한 연방법률』에 명시된 경우 를 포함한 처리자 또는 제3자의 권리와 합법적 이익을 위하여, 또는 정보주체의 권리와 자유를 침해하지 아니하는 조건 에서 사회적으로 중요한 목적을 달성하 기 위하여 개인정보를 처리하는 경우 (2016년 7월 3일 연방법률 제231-FZ 호에 의하여 개정) 8) 정보주체의 권리와 합법적 이익을 침해하지 아니하는 조건에서 수행하는 언론인의 직업 활동, (또는) 대중매체의 합법적인 활동이나 학문적, 문학적 또는 그 밖에 창작 활동을 위하여 개인정보 를 처리하는 경우 9) 제15조에 명시된 목적을 제외하고 개인정보를 반드시 비식별화하는 조건 에서 통계 또는 그 밖의 연구 목적을 위하여 개인정보를 처리하는 경우 91) 비식별화를 통하여 취득한 개인정 보는 국가나 지방자치단체 운영의 효율 성 제고 및 『2020년 4월 24일 러시아 연방주체 모스크바시의 AI기술 개발 및 도입의 필수 여건 조성을 위한 특별 규 제 마련을 위한 조사 및 개인정보에 관 한 연방법률 제6조와 제10조 개정에 관 한 연방법률 제123-FZ호』와 『2020 년 7월 31일 러시아연방 디지털 혁신 분야의 시범적 법제에 관한 연방법률 제258-FZ호』에 명시된 그 밖의 목적 을 위하여 상기한 연방법률에 명시된 절차와 조건에 따라 처리된다. (2020년 4월 24일 연방법률 제123-FZ호에 의 하여 호 추가)(2021년 7월 2일 연방법 률 제331-FZ호에 의하여 개정) 10)(2020년 12월 30일 연방법률 제 519호-FZ호에 의하여 효력 상실) 11) 공표 또는 필수 공개 대상인 개인 정보는 연방법률에 따라 처리된다. 11. 국가경호 대상 및 그의 가족의 개 인정보는 『1996년 5월 27일 국가경호 에 관한 연방법률 제57-FZ호』에 명시 된 필요 요건을 고려하여 처리한다. (2017년 7월 1일 연방법률 제148-FZ 호에 의하여 항 추가) 2. 특별 범주에 속하는 개인정보, 그리 고 개인 생체정보에 대한 특별 요건은 각각 제10조 및 제11조에서 규정한다. 3. 처리자는 러시아연방법률에 달리 규 정되어 있지 아니한 경우, 정보주체의 동의를 받아 국가나 지방자치단체의 계 약을 포함한 제3자와 체결하는 계약을 근거로 또는 국가기관이나 지방자치단 체가 관련 법령을 채택하는 방법으로 제3자에게 개인정보 처리를 위탁할 수 있다. (이하 "처리자의 위탁"이라 한다) 처리자의 위탁에 따라 개인정보를 처리 하는 사람은 반드시 이 연방법률에 명 시된 개인정보 처리 원칙과 규정을 준 수하고, 개인정보 비밀을 유지하며, 이 연방법률에 명시된 의무 이행을 보장할 수 있는 필수 조치를 취하여야 한다. 처 리자는 위탁 시 개인정보 항목과 개인 정보를 처리하는 사람이 개인정보로 수 행하게될 행위(업무)의 목록, 개인정보 처리 목적을 정하고, 개인정보 보안과 제5조제18항 및 제181조에 명시된 요 건을 준수할 의무, 처리자의 요청이 있 을 시 개인정보 처리 전을 포함한 처리 자의 위탁 업무 기간 동안 업무 수행을 위한 조치를 취하고 이 조에 따라 정하 여진 요건을 준수하는지를 확인할 수 있는 문건 및 다른 정보를 제출할 의무 및 개인정보 처리 시 비밀을 유지할 의 무를 정하고, 또한 처리자에게 제21조 제31항에 명시된 경우에 관하여 통지하 도록 하는 요건을 포함하여 이 연방법 률 제19조에 따라 처리될 수 있는 개인 정보 보호를 위한 요건을 명시하여야 한다. (2022년 7월 14일 연방법률 제 266-FZ호에 의하여 개정) 4. 처리자의 위탁에 따라 개인정보를 처리하는 사람은 개인정보 처리 시 정 보주체의 동의를 받아야할 의무가 없다. 5. 처리자가 개인정보 처리를 타인에게 위탁한 경우 정보주체에 대한 수탁자 행위의 책임은 처리자에게 있다. 처리자 의 위탁에 따라 개인정보를 처리하는 수탁자는 처리자에 대하여 책임을 진다. 6. 처리자가 외국인 또는 외국법인에 개인정보 처리를 위탁한 경우, 정보주체 에 대한 상기한 자들의 행위 책임은 처 리자와 처리자의 위탁으로 개인정보를 처리한 사람에게 있다. (2022년 7월 14 일 연방법률 제266-FZ에 의하여 항 추 가) (2011년 7월 25일 연방법률 제261- FZ호에 의하여 조 개정)
개인정보를 열람하게 된 처리자와 그 밖의 사람은 연방법률에 달리 규정되어 있지 아니한 경우, 정보주체의 동의 없 이 개인정보를 제3자에게 공개하고 확 산하여서는 아니 된다. (2011년 7월 25 일 연방법률 제261-FZ호에 의하여 조 개정)
1. 정보 제공을 위하여 공개적인 개인 정보 출처(안내 책자, 주소록 포함)를 만들 수 있다. 정보주체의 서면 동의가 첨부된 공개적인 개인정보 출처에는 정 보주체의 성명, 부칭, 출생 연도와 출생 지, 주소, 전화 번호, 직업 정보와 정보 주체가 밝힌 그 밖의 개인정보가 포함 될 수 있다. (2011년 7월 25일 연방법 률 제261-FZ호에 의하여 개정) 2. 정보주체에 관한 자료는 정보주체의 요구 또는 법원이나 그 밖에 위임받은 국가기관의 결정이 있을 때 공개적인 개인정보 출처에서 언제든지 삭제되어 야 한다. (2011년 7월 25일 연방법률 제261-FZ호에 의하여 개정)
1. 정보주체는 자신의 의지와 이익에 따라 자율적으로 본인의 개인정보 제공 에 관한 결정을 내리고 처리에 동의할 수 있다. 개인정보 처리 동의는 구체적 이고, 목적이 명확하여야 하며, 정보를 바탕으로 의식적이고 일관되어야 한다. 정보주체나 그의 대리인은 연방법률에 달리 규정되어 있지 아니한 경우, 이들 의 동의를 확인할 수 있는 어떠한 형태 로든 개인정보 처리에 동의할 수 있다. 정보주체 대리인이 개인정보 처리에 동 의한 경우, 처리자는 정보주체를 대신하 여 동의한 대리인의 권한을 확인하여야 한다(2022년 7월 14일 연방법률 제 266-FZ호에 의하여 개정) 2. 정보주체는 개인정보 처리에 관한 동의를 철회할 수 있다. 정보주체가 개 인정보 처리에 관한 동의를 철회하는 경우, 처리자는 제6조제1항제2호, 제10 조제2항과 제11조제2항에 명시된 근거 가 있는 경우 정보주체의 동의 없이 개 인정보를 계속 처리할 수 있다. 3. 처리자는 정보주체로부터 동의를 받 았다는 증거와 제6조제1항제2호부터 제 11호까지, 제10조제2항, 제11조제2항에 명시된 근거가 존재하는지에 관한 증거 를 제공하여야 할 의무가 있다. 4. 개인정보는 연방법률에 규정된 경우 정보주체의 서면 동의로만 처리되어야 한다. 전자서명에 관한 연방법률에 따라 서명된 전자문서 형태의 동의는 정보주 체의 자필 서명이 포함된 서면 동의와 동일한 것으로 인정된다. 개인정보 처리 에 관한 정보주체의 서면 동의에는 특 히 다음에 해당하는 사항이 포함되어야 한다. 1) 정보주체의 성명, 부칭, 주소 및 신 원을 증명할 수 있는 기본 서류의 고유 번호, 상기한 문건 발행일 및 발행 기관 에 관한 자료 2) (정보주체 대리인의 동의를 받는 경 우) 정보주체 대리인의 성명, 부칭, 주 소 및 신원을 확인할 수 있는 기본 서 류의 고유번호, 상기한 문건 발행일 및 발급 기관에 관한 자료, 위임장 또는 해 당 대리인의 권한을 입증할 수 있는 그 밖의 문서 3) 정보주체 동의를 받은 처리자의 명 칭 또는 성명, 부칭 4) 개인정보 처리 목적 5) 정보주체가 동의한 개인정보 처리 목록 6) 개인정보 처리를 제3자에게 위탁한 경우 처리자의 위탁에 따라 개인정보를 처리하는 자의 명칭과 성명, 부칭과 주 소 7) 정보주체가 동의한 개인정보를 이용 하는 행위의 목록과 처리자의 개인정보 처리 방법에 대한 전반적인 설명 8) 연방법률에 달리 규정되어 있지 아 니한 경우, 정보주체가 동의한 효력이 지속되는 기간과 동의 철회 방법 9)정보주체의 서명 5. 개인정보 처리에 대한 정보주체의 동의를 전자문서로 받는 경우, 러시아연 방 정부는 국가 및 지방자치단체 서비 스와, 국가 및 지방자치단체 서비스 제 공에 필수적이고 의무적인 서비스 제공 에 필요한 절차를 정한다. 6. 개인정보주체가 법적으로 행위 능력 이 없는 경우 개인정보 처리에 대한 동 의는 정보주체의 법적 대리인이 한다. 7. 정보주체가 생전에 개인정보 처리에 대한 동의 없이 사망한 경우, 정보주체 의 상속인이 개인정보 처리에 동의한다. 8. 처리자는 이 연방법 제6조제1항제2 호부터 제11호까지, 제10조제2항과 제 11조제2항에 명시된 근거가 존재한다는 사실을 확인한 경우, 정보주체가 아닌 사람으로부터 개인정보를 제공받을 수 있다. 9. 정보주체의 권리 보호를 담당하는 위임기관은 정보주체가 확산을 허용한 개인정보 처리에 대한 동의에 포함되어 야할 요건을 정한다. (2020년 12월 30 일 연방법 제519-FZ호에 의하여 항 추 가) (2011년 7월 25일 연방법 제261-FZ 호에 의하여 조 개정)
1. 인종, 민족, 정치적 견해, 종교나 철 학적 신념, 건강 및 민감한 사생활과 관 련되어 특별 범주에 속하는 개인정보는 이 조 제2항 및 제21항에 명시된 경우 를 제외하고 처리되지 아니한다. (2020 년 4월 24일 연방법 제123-FZ호에 의 하여 개정). 2. 제1항에 명시된 특별 범주에 속하는 개인정보는 다음에 해당하는 경우 처리 될 수 있다. 1) 정보주체가 본인의 개인정보 처리를 서면 동의한 경우 2) 정보주체가 확산을 허용한 개인정보 를 제101조에 명시된 금지 사항과 조건 을 준수하여 처리하는 경우(2020년 12 월 30일 연방법률 제519-FZ호에 의하 여 개정) 21) 러시아 연방의 국제조약 재가입에 필요한 개인정보를 처리하는 경우(2009 년 11월 25일 연방법 제266-FZ호에 의하여 호 추가) 22)『2002년 1월 25일 러시아국민 인 구조사에 관한 연방법률 제8-FZ호』에 따라 개인정보를 처리하는 경우(2010년 7월27일 연방법률 제204-FZ호에 의하 여 호 추가) 23) 러시아연방 국가적 사회 지원에 관 한 법률, 노동법, 연금법에 따라 개인정 보를 처리하는 경우 (2011년 7월 25일 연방법률 제261-FZ호에 의하여 호 추 가)(2014년 7월 21일 연방법률 제 216-FZ호에 의하여 개정) 3) 정보주체의 생명과 건강 또는 그 밖 에 매우 중요한 이익, 또는 제3자의 생 명과 건강 또는 그 밖에 매우 중요한 이익을 위하여 필수적인 개인정보를 처 리하는 경우와 정보주체의 동의를 얻는 것이 불가능한 경우(2011년 7월 25일 연방법률 제261-FZ호에 의하여 개정) 4) 의료업에 종사하며 러시아연방법률 에 따라 의료인의 비밀 유지 의무를 이 행하는 사람이 의료 및 예방 목적, 의료 진단과 의료 및 사회의료 서비스 제공 을 목적으로 개인정보를 처리하는 경우 5) 러시아연방법률에 따라 운영되는 사 회단체나 종교단체가 해당 사회단체나 종교단체에 소속된 회원의 개인정보를 정보주체의 서면 동의 없이 개인정보를 확산하지 아니한다는 조건으로 단체 설 립 문서에 명시된 적법한 목표 달성을 위하여 개인정보를 처리하는 경우 6) 정보주체나 제3자의 권리 확인과 행 사 및 사법권 행사를 위하여 개인정보 를 처리하는 경우(2011년 7월 25일 연 방법률 제261-FZ호에 의하여 개정) 7) 국방, 안보, 대테러, 운송 안전, 부패 방지, 수색 활동, 집행 절차 및 형사집 행 절차에 관한 러시아연방법률에 따라 개인정보를 처리하는 경우(2011년 7월 25일 연방법률 제261-FZ호에 의하여 개정) 71) 러시아연방법률에 정하여진 상황에 서 획득한 개인정보를 검찰 기관이 감 독 업무를 위하여 처리하는 경우 (2013 년 7월 23일 연방법률 제205-FZ호에 의하여 호 추가) 8) 의무보험에 관한 연방법률 및 보험 관련 법률에 따라 개인정보를 처리하는 경우(2010년 11월 29일 연방법률 제 313-FZ호에 의하여 호 추가)(2011년 7월 25일 연방법률 제261-FZ호에 의 하여 개정) 9) 러시아연방법률에 명시된 상황에서 부모의 보호를 받지 못하는 아동을 러 시아국민의 다른 가정에서 양육될 수 있도록 후원하기 위한 목적으로 국가기 관, 지방자치단체나 기관이 개인정보를 처리하는 경우(2011년 7월 25일 연방 법률 제261-FZ호에 의하여 호 추가) 10) 러시아연방 국민에 관한 연방법률 에 따라 개인정보를 처리하는 경우 (2014년 6월 4일 연방법률 제142-FZ 호에 의하여 항 추가) 21. 개인정보 비식별화를 통하여 취득 한 건강 상태와 관련된 개인정보는 국 가나 지방자치단체 운영의 효율성 제고 또는『2020년 4월 24일 러시아연방주 체 모스크바시의 AI기술 개발과 도입의 필수 여건 조성을 위한 특별 규제 도입 을 위한 조사 및 개인정보에 관한 연방 법률 제6조와 제10조 개정에 관한 연방 법률 제123-FZ호』,『2020년 7월 31 일 러시아연방 디지털 혁신 분야의 시 범적 법제에 관한 연방법률 제258-FZ 호』에 명시된 그 밖의 목적을 위하여 상기한 법률에 정하여진 절차와 상황에 따라 처리한다. (2021년 7월 2일 연방 법률 제331-FZ호에 의하여 개정) 3. 국가기관이나 지방자치단체는 러시 아연방법률에 따라 부여된 권한 내에서 전과에 관한 개인정보를 처리할 수 있 으며, 제3자의 경우 연방법률에 따라 정하여진 상황과 절차에 따라 처리할 수 있다. 4. 제2항 및 제3항에 명시된 경우에 처 리되는 특별 범주에 속하는 개인정보의 처리는 연방법률에 달리 규정되어 있지 아니한 경우 처리한 이유가 없어지면 즉시 중단되어야 한다. (2011년 7월 25 일 연방법률 제261-FZ호에 의하여 개 정)
1. 정보주체가 확산을 허용한 개인정보 처리에 관한 동의는 그 정보주체의 다 른 동의와는 별도로 받아야 한다. 처리 자는 정보주체가 확산을 허용한 개인정 보 처리에 관한 동의서에 명시한 개인 정보의 각 범주에 따라 개인정보의 목 록을 정할 수 있는 기회를 정보주체에 게 보장하여야 한다. 2. 정보주체가 이 조에 명시된 처리자 에게 직접 동의하지 아니한 상태에서 불특정 다수의 사람에게 개인정보를 공 개하는 경우, 그에 따라 향후 발생되는 개인정보의 확산이나 그 밖에 해당 개 인정보의 적법한 처리에 관한 증거 제 시 의무는 이 확산이나 처리를 실행한 사람에게 있다. 3. 위법, 범죄 또는 불가항력으로 인하 여 불특정 다수의 사람에게 개인정보가 공개된 경우, 향후 발생되는 개인정보의 확산이나 그 밖에 해당 개인정보의 적 법한 처리에 관한 증거 제시 의무는 이 확산과 그 밖의 처리를 실행한 각 개인 에게 있다. 4. 정보주체가 확산을 허용한 개인정보 처리에 대하여 제공한 동의와는 다르게 개인정보 확산에 동의하지 아니하는 경 우, 정보주체로부터 개인정보를 제공받 은 처리자가 확산에 대한 권리 없이 개 인정보를 처리한다. 5. 정보주체가 확산을 허용한 개인정보 처리에 대하여 제공한 동의와는 다르게 제9항에 명시된 개인정보 처리에 대한 금지 사항과 조건을 정하지 아니한 경 우 또는 제9항에 따라 정보주체가 처리 를 위한 조건과 금지 사항을 정한 개인 정보 범주와 목록을 명시하지 아니한 경우, 그러한 개인정보는 정보주체로부 터 개인정보를 제공받은 처리자가 불특 정 다수의 사람에게 이전(확산, 제공, 열람) 행위와 그 밖에 개인정보를 이용 하는 행위 없이 처리한다. 6. 정보주체는 다음에 해당하는 방법으 로 확산을 허용한 개인정보 처리에 대 하여 동의할 수 있다. 1) 직접 동의 2) 정보주체의 권리 보호를 담당하는 위임 기관의 정보시스템을 통하여 동의 7. 정보주체의 권리 보호를 담당하는 위임기관은 정보주체와 처리자 간의 상 호협력 절차를 포함하여 정보시스템 이 용 규정을 정한다. 8. 정보주체가 침묵하거나 행위를 하지 아니하였다고 하여 정보주체가 확산을 허용한 개인정보 처리에 동의한 것으로 간주될 수 없다. 9. 정보주체가 확산을 허용한 개인정보 처리를 동의함에 있어 정보주체는 처리 자가 불특정 다수의 사람에게 해당 개 인정보를 이전(열람 제외)하지 못하도 록 금지하고, 불특정 다수의 사람에게 이 개인정보를 처리하지 못하도록 하거 나 처리 조건(열람 제외)을 설정할 권 리가 있다. 처리자는 정보주체가 이 조 에 명시된 금지 사항과 조건을 정하는 것을 거부하여서는 아니 된다. 10. 처리자는 정보주체가 확산을 허용 한 개인정보를 불특정 다수의 사람이 처리할 때의 조건에 관한 정보와 금지 사항 및 처리 조건이 있는지에 관한 정 보를 정보주체가 동의한 날부터 늦어도 3영업일 이내에 공개할 의무가 있다. 11. 정보주체가 확산을 허용한 개인정 보에 대하여 정보주체가 설정한 이전 금지(열람 제외)와 처리 금지나 처리 조건(열람 제외)은 러시아연방법률이 정한 국가와 사회 또는 그 밖에 공공의 이익을 위하여 개인정보를 처리하는 경 우 적용되지 아니한다. 12. 정보주체가 확산을 허용한 개인정 보의 이전(확산, 제공, 열람)은 정보주 체의 요구가 있으면 언제든 중단되어야 한다. 이러한 이전 중단 요구에는 정보 주체의 성명, 부칭(있는 경우) 연락처 (전화번호, 전자메일이나 우편 주소), 또한 처리를 중단하여야 할 개인정보 목록이 포함되어야 한다. 이 요구 사항 에 명시된 개인정보는 오직 요구를 받 은 처리자만 처리할 수 있다. 13. 정보주체가 확산을 허용한 개인정 보처리에 대한 정보주체의 동의 효력은 제12항에 명시된 요구 사항이 처리자에 게 접수된 시점부터 중단된다. 14. 이 조의 규정이 준수되지 아니하는 경우, 정보주체는 본인의 개인정보를 처 리하는 모든 사람이나 법원에 본인이 확산을 허용한 개인정보의 이전(유포, 제공, 열람)이 중단되도록 요구할 권리 가 있다. 상기한 요구를 받은 사람은 정 보주체의 요구일부터 3영업일 이내에 또는 효력이 발생된 법원의 판결에 명 시된 기한 내에, 판결에 기한이 명시되 어 있지 아니하는 경우 판결이 효력을 발생한 시점부터 3영업일 이내에 개인 정보의 이전(유포, 제공, 열람)을 중단 할 의무가 있다. 15. 러시아연방법률에 의하여 국가기관 과 지방자치단체, 상기한 단체의 산하 기관에 부여된 권한 및 의무 이행을 목 적으로 개인정보를 처리하는 경우, 이 조의 요구 사항은 적용되지 아니한다. (2022년 7월 14일 연방법률 제266- FZ호에 의하여 개정) (2020년 12월 30일 연방법률 제519- FZ호에 의하여 조 추가)
1. 제2항에 명시된 경우를 제외하고 개 인의 신원을 확인할 수 있는 근거가 되 고 처리자가 정보주체의 신원 확인을 위하여 사용하는 인간의 생리학적 및 생물학적 특성에 관한 자료는 정보주체 의 서면 동의가 있는 경우에만 처리될 수 있다. 2. 개인 생체정보는 러시아연방의 국제 조약 재가입과 관련된 경우, 사법권 집 행 및 법률적 행위 이행과 관련된 경우, 국가 지문 등록 및 국가 유전자 정보 등록 의무 이행과 관련된 경우, 그리고 국방, 안보, 대테러, 수송 안전, 부패방 지, 수색 활동, 국가 서비스에 관한 연 방법률과 러시아연방 형사집행법, 러시 아연방 출입국 절차에 관한 연방법률, 국적에 관한 연방법률, 공증에 관한 연 방법률에 명시된 경우 정보주체의 동의 없이 처리될 수 있다. (2014년 6월 4일 연방법률 제142-FZ호, 2017년 12월 31일 연방법률 제498-FZ호, 2019년 12월 27일 연방법률 제480-FZ호, 2023년 2월 6일 제8-FZ호에 의하여 개정) 3. 개인 생체정보는 제2항에 명시된 경 우를 제외하고는 의무적으로 제공하지 아니 한다. 연방법률에 따라 처리자가 의무적으로 개인정보 처리에 대한 동의 를 받지 않아도 되는 경우, 정보주체가 개인 생체정보 제공과 (또는) 개인정보 처리를 거부하더라도 처리자가 서비스 를 거부하여서는 아니 된다. (2022년 7 월 14일 연방법률 제266-FZ호에 의하 여 항 추가) (2011년 7월 25일 연방법률 제261- FZ호에 의하여 조 개정)
3) защиты экономических и финансовых интересов Российской Федерации - по представлению федеральных органов исполнительной власти, уполномоченных Президентом Российской Федерации или Правительством Российской Федерации; 4) обеспечения дипломатическими и международно-правовыми средствами защиты прав, свобод и интересов граждан Российской Федерации, суверенитета, безопасности, территориальной целостности Российской Федерации и других ее интересов на международной арене - по представлению федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере международных отношений Российской Федерации. 13. Решение, предусмотренное частью 12 настоящей статьи, принимается уполномоченным органом по защите прав субъектов персональных данных в течение пяти рабочих дней с даты поступления соответствующего представления. Порядок принятия такого решения и порядок информирования операторов о принятом решении устанавливаются Правительством Российской Федерации. 14. В случае принятия уполномоченным органом по защите прав субъектов персональных данных решения, предусмотренного частью 8 или 12 настоящей статьи, оператор обязан обеспечить уничтожение органом власти иностранного государства, иностранным физическим лицом, иностранным юридическим лицом ранее переданных им персональных данных. 15. Правительство Российской Федерации определяет случаи, при которых требования частей 3 - 6, 8 - 11 настоящей статьи не применяются к операторам, осуществляющим трансграничную передачу персональных данных в целях выполнения возложенных международным договором Российской Федерации, законодательством Российской Федерации на государственные органы, муниципальные органы функций, полномочий и обязанностей. (Статья в редакции Федерального закона от 14.07.2022 № 266-ФЗ)
1. Государственные органы, муниципальные органы создают в пределах своих полномочий, установленных в соответствии с федеральными законами, государственные или муниципальные информационные системы персональных данных. 2. Федеральными законами могут быть установлены особенности учета персональных данных в государственных и муниципальных информационных системах персональных данных, в том числе использование различных способов обозначения принадлежности персональных данных, содержащихся в соответствующей государственной или муниципальной информационной системе персональных данных, конкретному субъекту персональных данных. 3. Права и свободы человека и гражданина не могут быть ограничены по мотивам, связанным с использованием различных способов обработки персональных данных или обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. Не допускается использование оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности персональных данных, содержащихся в государственных или муниципальных информационных системах персональных данных, конкретному субъекту персональных данных. 4. В целях обеспечения реализации прав субъектов персональных данных в связи с обработкой их персональных данных в государственных или муниципальных информационных системах персональных данных может быть создан государственный регистр населения, правовой статус которого и порядок работы с которым устанавливаются федеральным законом.
1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. 3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в части 7 настоящей статьи, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. (В редакции Федерального закона от 14.07.2022 № 266- ФЗ) 4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. 5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса. 6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе. 7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: 1) подтверждение факта обработки персональных данных оператором; 2) правовые основания и цели обработки персональных данных; 3) цели и применяемые оператором способы обработки персональных данных; 4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона; 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом; 6) сроки обработки персональных данных, в том числе сроки их хранения; 7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом; 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных; 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу; 91) информацию о способах исполнения оператором обязанностей, установленных статьей 181 настоящего Федерального закона; (Дополнение пунктом - Федеральный закон от 14.07.2022 № 266- ФЗ) 10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами. 8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если: 1) обработка персональных данных, включая персональные данные, полученные в результате оперативноразыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка; 2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными; 3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; 4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц; 5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства. (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных. Указанная обработка персональных данных признается осуществляемой без предварительного согласия субъекта персональных данных, если оператор не докажет, что такое согласие было получено. 2. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в части 1 настоящей статьи.
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи. 2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных. 3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов. 4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения. (В редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. 2. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
1. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 настоящего Федерального закона. 2. Если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку. (В редакции Федерального закона от 14.07.2022 № 266-ФЗ) 3. Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: 1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 21) перечень персональных данных; (Дополнение пунктом - Федеральный закон от 14.07.2022 № 266- ФЗ) 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных; 5) источник получения персональных данных. 4. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные частью 3 настоящей статьи, в случаях, если: 1) субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором; 2) персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных; 3) обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 101 настоящего Федерального закона; (В редакции Федерального закона от 30.12.2020 № 519-ФЗ) 4) оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных; 5) предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц. 5. При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети "Интернет" оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона. (Дополнение частью - Федеральный закон от 21.07.2014 № 242-ФЗ) (Статья в редакции Федерального закона от 25.07.2011 № 261-ФЗ)
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам, в частности, относятся: (В редакции Федерального закона от 14.07.2022 № 266- ФЗ) 1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных; 2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности; (В редакции Федерального закона от 14.07.2022 № 266-ФЗ) 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона; 4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора; 5) оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом; (В редакции Федерального закона от 14.07.2022 № 266-ФЗ) 6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников. 2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационнотелекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационнотелекоммуникационной сети. (В редакции Федерального закона от 14.07.2022 № 266- ФЗ) 3. Правительство Российской Федерации устанавливает перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами. 4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных. (Дополнение статьей - Федеральный закон от 25.07.2011 № 261-ФЗ)
1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 2. Обеспечение безопасности персональных данных достигается, в частности: 1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных; 2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных; 3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; 4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных; 5) учетом машинных носителей персональных данных; 6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них; (В редакции Федерального закона от 30.12.2020 № 515-ФЗ) 7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; 8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных. 3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает: 1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных; 2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных; 3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных. 4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. 5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки. 6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки. 7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным. 8. Контроль и надзор за выполнением организационных и технически х мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных. 10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения. 11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
1. 처리자는 개인정보를 처리함에 있어 법적, 조직적, 기술적 필수 조치를 취하 거나 불법적이거나 우발적인 개인정보 열람, 파기, 변경, 차단, 복제, 제공, 유 포, 그리고 그 밖의 불법적인 행위로부 터 개인정보를 보호하기 위한 조치를 취할 의무가 있다. 2. 특히 다음에 해당하는 방법으로 개 인정보의 보안을 확보하여야 한다. 1) 개인정보시스템에서 개인정보 처리 시 보안 위협에 대한 규정 2) 개인정보시스템에서 개인정보 처리 시 러시아연방 정부가 정한 개인정보 보호 수준에 맞도록 개인정보 보호 요 건 이행에 필수적인 조직적, 기술적 조 치 사용 3) 정하여진 절차에 따라 적합성 평가 과정을 통과한 정보보호 수단의 사용 4) 개인정보시스템 가동 전 개인정보 보안 확보를 위하여 취하고 있는 조치 에 대한 효율성 평가 5) 개인정보 저장 매체의 등록 6) 허가받지 아니한 개인정보 열람 적 발, 개인정보시스템에 대한 컴퓨터 공격 의 탐지와 경고, 피해 해결 조치를 포함 하여 컴퓨터 사고에 대한 대응책 마련 (2020년 12월 30일 연방법률 제515- FZ호에 의하여 개정) 7) 허가받지 아니한 개인정보 열람으로 발생한 변형이나 파손된 개인정보의 복 구 8) 개인정보시스템에서 처리되고 있는 개인정보 열람 규정을 마련하고, 개인정 보시스템에서 개인정보로 행하여지는 모든 행위의 등록 및 기록 확보 9) 개인정보의 안전과 개인정보시스템 의 보호 수준 확보를 위하여 취하고 있 는 조치에 대한 감독 3. 러시아연방 정부는 정보주체의 잠재 적 피해와 처리되고 있는 개인정보의 규모와 내용, 개인정보가 처리되고 있는 활동 유형, 개인정보 보안에 대한 위협 을 고려하여 다음의 사항을 정한다. 1) 개인정보시스템에서 개인정보 처리 시 보안 위협에 따른 개인정보의 보호 수준 2) 개인정보시스템에서 개인정보 처리 시 정하여진 개인정보 보호 수준에 맞 는 개인정보의 보호 요건 3) 개인 생체정보를 저장하는 물리적 매체와 개인정보시스템 이외의 곳에서 상기한 정보를 저장할 수 있는 기술에 대한 요건 4. 안전 보장 분야에 권한을 위임받은 연방행정기관과 기술적 방첩 및 기술적 정보 보호 분야에서 권한을 위임받은 연방행정기관은 제3항에 따라 러시아연 방 정부가 각 보호 수준에 맞게 정한 개인정보 보호 요건 이행과 개인정보 시스템에서 개인정보 처리 시 보안 확 보를 위한 조직적, 기술적 조치의 구성 요소와 내용을 권한 내에서 정한다. 5. 정하여진 업무 분야에서 국가 정책 및 법률적 규제를 개발하는 연방행정기 관과 러시아연방주체 국가기관, 러시아 중앙은행, 국가예산외기금, 그 밖의 국 가기관은 관련 업무를 수행할 때 사용 하고 있는 개인정보시스템에서 개인정 보 처리 시 발생하는 개인정보 보안에 대한 주요 위협 요소를 규정하는 법령 을 개인정보의 내용과 처리 성격 및 방 법을 고려하여 권한 내에서 채택한다. 6. 처리자의 협회, 조합 및 그 밖의 연 합은 제5항에 따라 채택된 법령에 규정 된 개인정보 보안에 대한 위협 요소와 함께 상기한 협회, 조합 및 그 밖의 연 합이 정하여진 업무를 수행할 때 사용 하는 개인정보시스템에서 개인정보 처 리 시 발생하는 개인정보 보안에 대한 추가적인 주요 위협 요소를 개인정보의 내용과 처리 성격 및 방법을 고려하여 자체적인 결정으로 규정할 권리가 있다. 7. 안전 보장 분야에서 권한을 위임받 은 연방행정기관과 기술적 방첩 및 기 술적 정보 보호 분야에서 권한을 위임 받은 연방행정기관은 제5항에 명시된 법령의 초안에 대하여 협의를 하여야 한다. 안전 보장 분야에서 권한을 위임 받은 연방행정기관과 기술적 방첩 및 기술적 정보 보호 분야에서 권한을 위 임받은 연방행정기관은 제6항에 명시한 결정의 초안에 대하여 러시아연방 정부 가 정한 절차에 따라 협의를 하여야 한 다. 안전 보장 분야에서 권한을 위임받 은 연방행정기관과 기술적 방첩 및 기 술적 정보 보호 분야에서 권한을 위임 받은 연방행정기관이 제6항에 명시된 결정의 초안에 관하여 협의를 거부하는 경우 근거가 있어야 한다. 8. 안전 보장 분야에서 권한을 위임받 은 연방행정기관과 방첩 및 기술적 정 보 보호 분야에서 권한을 위임받은 연 방행정기관은 개인정보시스템에서 처리 되고 있는 개인정보에 대한 열람 권한 은 가지지 아니하고 개인정보시스템에 서 개인정보 처리 시 이 조에 따라 정 하여진 개인정보 보안 확보를 위한 조 직적, 기술적 조치 이행에 대한 관리 및 감독을 권한 내에서 실행한다. 9. 안전 보장 분야에서 권한을 위임받 은 연방행정기관과 방첩 및 기술적 정 보 보호 분야에서 권한을 위임받은 연 방행정기관은 개인정보시스템에서 처리 되고 있는 개인정보에 대한 열람 권한 은 가지지 아니하고 처리되고 있는 개 인정보의 중요도와 내용을 고려하여 특 정 업무 실행 시 사용되는 개인정보시 스템에서 개인정보 처리 시 이 조에 따 라 정하여진 개인정보 보안 확보를 위 한 조직적, 기술적 조치 이행에 대한 감 독 권한을 러시아연방 정부 결정에 따 라 부여받을 수 있다. 10. 개인정보시스템 이외의 곳에서 개 인 생체정보를 이용 및 저장하는 것은 불법적이거나 우발적인 개인 생체정보 의 열람, 파기, 변경, 차단, 복제, 제공, 확산으로부터 보호해줄 수 있는 기술이 적용된 물리적 매체에서만 가능하다. 11. 이 조의 목적에 있어 개인정보 보 안에 대한 위협이란 행위의 결과로 개 인정보의 파기, 변경, 차단, 복제, 제공, 확산이 발생할 수 있는 우발적인 경우 를 포함하여 허가받지 아니한 열람의 위험성이 있는 조건과 요인의 총체이며, 개인정보 시스템에서 개인정보 처리 시 발생하는 그 밖의 불법적인 행위를 의 미한다. 개인정보 보호 수준이란 개인정 보시스템에서 개인정보 처리 시 개인정 보 보안에 대한 특정 위협을 무력화할 수 있는 요건을 나타내는 총체적 지표 를 의미한다. 12. 처리자는 안전 보장 분야에서 권한 을 위임받은 연방행정기관이 정한 절차 에 따라 개인정보의 불법적인 전송(제 공, 유포, 열람)이 발생하는 컴퓨터 사 고에 대한 알림을 포함하여 러시아연방 정보 자원에 대한 컴퓨터 공격 시 이를 탐지하고, 경고하며, 그 피해를 복구하 는 국가 시스템과 협력하여야 한다. (2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 추가) 13. 안전 보장 분야에서 권한을 위임받 은 연방행정기관은 제12항에 명시된 정 보(국가 기밀을 구성하는 정보는 예외 로 한다)를 정보주체의 권리 보호를 담 당하는 위임기관에 전송한다. (2022년 7월 14일 연방법률 제266-FZ호에 의 하여 항 추가) 14. 안전 보장 분야에서 권한을 위임받 은 연방행정기관과 정보주체의 권리 보 호를 담당하는 위임기관은 제13항에 따 른 정보 전송 절차를 공동으로 정한다. (2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 추가) (2011년 7월 25일 연방법률 제261- FZ호에 의하여 조 개정)
1. 처리자는 정보주체나 그의 대리인에 게 해당 정보주체와 관련된 개인정보의 존재 여부에 관한 정보를 제공하고 정 보주체나 그의 대리인의 신청이 있는 경우 신청일부터 10영업일 내에 제14조 에 명시된 절차에 따라 개인정보 열람 기회를 제공할 의무가 있다. 처리자가 상기한 기간을 연장하는 경우 요청받은 정보 제공 기간의 연장 사유가 명시된 통지서를 정보주체에게 발송하면, 5영업 일을 초과하지 아니하는 기간으로 연장 될 수 있다. (2022년 7월 14일 연방법 률 제266-FZ호에 의하여 개정) 2. 처리자가 정보주체나 그의 대리인의 신청 또는 요청 시 해당 정보주체와 관 련된 개인정보의 존재 여부에 관한 정 보 제공을 거부하는 경우, 그러한 거부 의 근거가 되는 제14조제8항 또는 다른 연방법률의 규정을 참조하여 정보주체 또는 그의 대리인의 신청일 또는 요청 일부터 10영업일을 초과하지 아니하는 기간 내에 서면 답변을 제공할 의무가 있다. 처리자가 상기한 기간을 연장하는 경우 요청받은 정보 제공 기간의 연장 사유가 명시된 통지서를 정보주체에게 발송하면, 5영업일을 초과하지 아니하는 기간으로 연장될 수 있다. (2022년 7월 14일 연방법률 제266-FZ호에 의하여 개정) 3. 처리자는 정보주체와 관련된 개인정 보 열람 기회를 정보주체나 그의 대리 인에게 무상으로 제공할 의무가 있다. 처리자는 정보주체나 그의 대리인이 개 인정보가 불완전하고, 부정확하거나 중 요하지 아니하다는 사실을 입증하는 자 료를 제공한 날부터 7영업일을 초과하 지 아니하는 기간 내에 필수적으로 변 경하여야 한다. 처리자는 정보주체나 그 의 대리인이 개인정보가 불법적으로 입 수되었거나 알려진 처리 목적을 위하여 필수적이지 아니하다는 사실을 입증하 는 정보를 제공한 날부터 7영업일을 초 과하지 아니하는 기간 내에 관련 개인 정보를 파기할 의무가 있다. 처리자는 변경된 사항과 취해진 조치에 대하여 정보주체나 그의 대리인에게 통지하고 정보주체의 개인정보가 전달된 제3자에 게 통지하기 위한 합리적인 조치를 취 할 의무가 있다. 4. 처리자는 정보주체의 권리 보호를 담당하는 위임기관에 해당 기관의 요청 이 있을 경우 요청일부터 10영업일 이 내에 필수 정보를 알릴 의무가 있다. 처 리자가 상기한 기간을 연장하는 경우, 정보주체의 권리 보호를 담당하는 위임 기관에 요청받은 정보 제공 기간의 연 장 사유가 명시된 통지서를 발송하면, 5 영업일을 초과하지 아니하는 기간으로 연장될 수 있다. (2022년 7월 14일 연 방법률 제266-FZ호에 의하여 개정) (2011년 7월 25일 연방법률 제261- FZ호에 의하여 조 개정)
1. 처리자는 정보주체나 그의 대리인의 신청 또는 정보주체나 그의 대리인 또 는 정보주체의 권리 보호를 담당하는 위임기관의 요청에 따라 개인정보의 불 법적인 처리가 발견된 경우, 상기한 신 청 또는 요청을 받은 시점부터 확인 기 간 동안 해당 정보주체와 관련하여 불 법적으로 처리되고 있는 개인정보를 차 단하거나 차단될 수 있도록 보장(처리 자의 위탁에 따라 제3자가 개인정보를 처리하고 있는 경우)하여야 할 의무가 있다. 처리자는 정보주체나 그의 대리인 의 신청 또는 정보주체나 그의 대리인 또는 정보주체의 권리 보호를 담당하는 위임기관의 요청에 따라 부정확한 개인 정보가 발견된 경우, 개인정보의 차단으 로 인하여 정보주체의 권리와 합법적인 이익이 침해되지 아니한다면 해당 정보 주체와 관련된 개인정보를 차단하거나 차단될 수 있도록 보장(처리자의 위탁 에 따라 제3자가 개인정보를 처리하고 있는 경우)하여야 할 의무가 있다. 2. 처리자는 개인정보가 부정확하다고 확인된 경우 정보주체나 그의 대리인, 또는 정보주체의 권리 보호를 담당하는 위임기관이 제출한 자료나 그 밖의 필 수 문건을 근거로 이러한 자료 제출일 부터 7영업일 내에 개인정보를 확인하 거나 그의 정보를 확인할 수 있도록 보 장(처리자의 위탁에 따라 제3자가 개인 정보를 처리하는 경우)한 후 개인정보 차단을 해제할 의무가 있다. 3. 처리자는 처리자나 처리자의 위탁에 따라 개인정보를 처리하는 사람이 불법 적으로 처리하는 것이 발견된 경우, 이 러한 사실이 발견된 날부터 3영업일을 초과하지 아니하는 기간 내에 불법적인 개인정보 처리를 중단하거나 처리자의 위탁에 따라 개인정보를 처리하는 사람 의 불법적인 처리가 중단되도록 하여야 할 의무가 있다. 처리자는 개인정보 처 리의 적법성을 보장하지 못하는 경우, 불법적인 개인정보 처리가 발견된 날부 터 10영업일을 초과하지 아니하는 기간 내에 해당 개인정보를 파기하거나 파기 되도록 하여야 할 의무가 있다. 처리자 는 위반 사항을 시정하고 개인정보를 파기하였다는 사실에 대하여 정보주체 나 그의 대리인에게 통지할 의무가 있 으며, 정보주체의 권리보호를 담당하는 위임기관이 정보주체나 그의 대리인의 신청 또는 요청을 발송한 경우 상기한 기관에 통지한다. 31. 처리자는 정보주체의 권리를 침해 하는 불법 또는 우발적인 개인정보의 전송(제공, 유포, 열람) 사실이 확인된 경우 정보주체의 권리 보호를 담당하는 위임기관이나 그 밖의 관계자가 그러한 사고를 발견한 순간부터 정보주체의 권 리 보호를 담당하는 위임기관에 다음에 해당하는 사실을 통지하여야 한다. 1) 사고 경위와 정보주체 권리 침해를 초래한 예상 원인, 정보주체 권리에 초 래될 예상 피해, 해당 사고의 피해를 복 구하기 위하여 취한 조치에 대하여 24 시간 내에 통지하고 사고 경위 파악을 위하여 처리자가 정보주체의 권리 보호 를 담당하는 위임기관과의 협력을 위임 한 담당자에 관한 자료를 제공하여야 한다. 2) 발견된 사고에 대한 내부 조사 결과 를 통지하고 (해당되는 경우) 발견된 사고의 원인이 된 행위를 행한 사람에 대한 자료를 72시간 내에 제공하여야 한다. (2022년 7월 14일 연방법률 제 266-FZ호에 의하여 항 추가) 4. 처리자는 정보주체가 당사자, 수익자 이거나 보증인인 계약, 처리자와 정보주 체 간 그 밖의 계약에 의하여 달리 규 정되어 있지 아니하는 경우 또는 처리 자가 이 연방법률이나 다른 연방법률에 정하여진 근거로 정보주체의 동의 없이 개인정보를 처리할 수 없는 경우, 개인 정보 처리 목적을 달성하였다면 목적 달성일부터 30일을 초과하지 아니하는 기간 내에 개인정보 처리를 중단하거나 중단될 수 있도록 보장(처리자의 위탁 에 따라 제3자가 개인정보를 처리하는 경우)하고, 개인정보를 파기 또는 파기 될 수 있도록 보장(처리자의 위탁에 따 라 제3자가 개인정보를 처리하는 경우) 하여야 할 의무가 있다. 5. 처리자는 정보주체가 당사자, 수익자 이거나 보증인인 계약, 처리자와 정보주 체 간 그 밖의 계약에 의하여 달리 규 정하지 아니하는 경우 또는 처리자가 이 연방법률이나 다른 연방법률에 정하 여진 근거로 정보주체의 동의 없이 개 인정보를 처리할 수 없는 경우 정보주 체가 개인정보처리에 관한 동의를 철회 하였다면 이러한 철회가 접수된 날부터 30일을 초과하지 아니하는 기간 내에 개인정보 처리를 중단 또는 처리가 중 단되도록(처리자의 위탁에 따라 제3자 가 개인정보를 처리하는 경우)하여야 하고, 개인정보 처리 목적을 위하여 더 이상 개인정보를 저장할 필요가 없는 경우 개인정보를 파기 또는 파기되도록 (처리자의 위탁에 따라 제3자가 개인정 보를 처리하는 경우) 하여야 할 의무가 있다. 51. 처리자는 제6조제1항제2호부터 제 11호까지, 제10조제2항, 제11조제2항에 명시된 경우를 제외하고 정보주체가 개 인정보 처리 중단에 관한 요구 사항을 처리자에게 요청하는 경우, 해당 요구를 받은 날부터 10영업일을 초과하지 아니 하는 기간 내에 개인정보 처리를 중단 하거나 그러한 처리가 중단되도록(개인 정보 처리를 실행하는 자가 그러한 처 리를 실행하는 경우) 하여야 할 의무가 있다. 처리자가 상기한 기간을 연장하는 경우 정보주체에게 요청받은 정보 제공 기간의 연장 사유가 명시된 통지서를 발송하면, 5영업일을 초과하지 아니하는 기간으로 연장될 수 있다. (2022년 7월 14일 연방법률 제266-FZ호에 의하여 항 추가) 6. 처리자는 제3항부터 제51항까지 명 시된 기간 내에 개인정보를 파기할 가 능성이 없는 경우, 해당 개인정보를 차 단하거나 차단되도록(처리자의 위탁에 따라 제3자가 개인정보를 처리하는 경 우) 하여야 하며, 연방법률에 다른 기간 을 정하지 아니하는 경우 6개월을 초과 하지 아니하는 기간 내에 개인정보가 파기되도록 하여야 한다. (2022년 7월 14일 연방법률 제266-FZ호에 의하여 개정) 7. 이 조에 명시된 경우에 개인정보 파 기 여부에 대한 확인은 정보주체의 권 리보호를 담당하는 위임기관이 정한 요 건에 따라 한다. (2022년 7월 14일 연 방법률 제266-FZ호에 의하여 항 추가) (2011년 7월 25일 연방법률 제261- FZ호에 의하여 조 개정)
1. 처리자는 제2항에 명시된 경우를 제 외하고 개인정보 처리를 시작하기 전 정보주체의 권리 보호를 담당하는 위임 기관에 개인정보 처리 의향에 관하여 통지할 의무가 있다. 2. 처리자는 다음에 해당하는 경우 정 보주체의 권리 보호를 담당하는 위임기 관에 통지 없이 개인정보를 처리할 권 리가 있다. 1) 2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 효력상실 2) 2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 효력상실 3) 2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 효력상실 4) 2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 효력상실 5) 2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 효력상실 6) 2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 효력상실 7) 국가 안보와 공공 질서 보호를 위한 목적으로 만든 국가 개인정보시스템에 포함하는 경우 (2022년 7월 14일 연방 법률 제266-FZ호에 의하여 개정) 8) 처리자가 개인정보를 수동으로만 처 리하는 경우(2022년 7월 14일 연방법 률 제266-FZ호에 의하여 개정) 9) 운송 안전에 관한 러시아연방법률에 명시된 상황에서 운송 분야의 안정적이 고 안전한 기능과 불법적인 간섭 행위 로부터 개인과 사회, 국가의 이익을 보 호하기 위한 목적으로 개인정보를 처리 하는 경우(2011년 7월 25일 연방법률 제261-FZ호에 의하여 항 추가) 3. 제1항에 명시된 통지서는 위임자가 서명하여 서면이나 전자문서 형태로 발 송된다. 통지서에는 다음에 해당하는 자 료를 포함하여야 한다(2011년 7월 25 일자 연방법률 제261-FZ호에 의하여 개정) 1) 처리자의 명칭(성명, 부칭), 주소 2) 개인정보 처리 목적 3) 2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 효력 상실 4) 2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 효력 상실 5) 2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 효력 상실 6) 2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 효력 상실 7) 코드(암호) 수단의 존재 여부에 관 한 자료와 이 수단의 명칭을 포함하여 이 연방법률 제181조와 제19조에 명시 된 조치에 대한 설명 71) 개인정보 처리 담당자의 성명, 부 칭 또는 법인의 경우 명칭, 연락처, 우 편 주소, 전자메일 주소(2011년 7월 25일 연방법률 제261-FZ호에 의하여 호 추가) 8) 개인정보 처리 시작일 9) 개인정보 처리 중단 기간이나 조건 10) 개인정보 처리 과정에서 개인정보 의 국경간 이전의 발생 여부(2011년 7 월 25일 연방법률 제261-FZ호에 의하 여 호 추가) 101) 러시아연방 국민의 개인정보가 저 장된 데이터베이스의 소재지에 관한 자 료(2014년 7월 21일 연방법률 제242- FZ호에 의하여 호 추가) 102) 계약을 근거로 국가와 지방자치단 체의 개인정보시스템에 저장된 개인정 보를 열람하고 (또는) 처리하는 사람의 성명과 부칭 또는 법인의 경우 명칭 (2022년 7월 14일 연방법률 제266- FZ호에 의하여 호 추가) 11) 러시아연방 정부가 정한 개인정보 보호에 관한 요건에 따라 개인정보 보 안 확보에 관한 자료 (2011년 7월 25 일 연방법률 제261-FZ호에 의하여 호 추가) 31. 처리자는 제3항에 명시된 정보 자 료를 제공할 경우 개인정보 처리의 각 목적에 맞는 개인정보의 범주와 처리되 고 있는 정보주체의 범주, 개인정보 처 리의 법적 근거, 개인정보를 활용하는 행위의 목록, 개인정보 처리 방법을 적 시하여야 한다. (2022년 7월 14일 연방 법률 제266-FZ호에 의하여 항 추가) 4. 정보주체의 권리 보호를 담당하는 위임기관은 개인정보 처리에 관한 통지 가 도달한 날부터 30일 내에 제3항에 명시된 자료와 상기한 통지서의 발송 일자를 처리자 등록부에 등록하여야 한 다. 개인정보 처리 시 개인정보의 보안 확보 수단에 관한 자료를 제외하고 처 리자 등록부에 포함된 자료는 공개되어 야 한다. 41. 정보주체의 권리 보호를 담당하는 위임기관은 처리자가 발송한 개인정보 처리 중단에 관한 통지서를 받은 날부 터 30일 내에 제3항에 명시된 자료를 처리자 등록부에서 삭제하여야 한다. (2022년 7월 14일 연방법률 제266- FZ호에 의하여 항 추가) 5. 처리자는 정보주체의 권리 보호를 담당하는 위임기관이 개인정보 처리에 관한 통지서를 검토하고 처리자 등록부 에 자료를 등록하는 데 필요한 비용을 지불하지 아니하여도 된다. 6. 정보주체의 권리 보호를 담당하는 위임기관은 제3항에 명시된 불완전하거 나 불확실한 자료가 제공되는 경우 처 리자에게 등록부 등록 전에 정확한 자 료 제출을 요구할 권리가 있다. 7. 처리자는 제3항에 명시된 자료가 변 경될 경우 상기한 기간 동안 발생한 모 든 변경 사항에 대하여 해당 변경이 발 생한 달의 다음달 15일을 넘지 아니하 는 기간 내에 정보주체의 권리 보호를 담당하는 위임기관에 통지할 의무가 있 다. 처리자는 개인정보 처리를 중단하는 경우 처리 중단일부터 10영업일 이내에 정보주체의 권리 보호를 담당하는 위임 기관에 이와 같은 사실을 통지할 의무 가 있다. (2022년 7월 14일 연방법률 제266-FZ호에 의하여 개정) 8. 정보주체의 권리 보호를 담당하는 위임기관은 제1항, 제41항과 제7항에 명시된 통지서의 형식을 정한다. (2022 년 7월 14일 연방법률 제266-FZ호에 의하여 항 추가)
1. 법인인 처리자는 개인정보 처리 담 당자를 지정한다. 2. 개인정보 처리 담당자는 처리자인 행정기관 단체로부터 직접 지시를 받으 며 해당 기관에 대한 책임을 진다. 3. 처리자는 제22조제3항에 명시된 자 료를 개인정보 처리를 담당하는 자에게 제공할 의무가 있다. 4. 개인정보 처리 담당자는 특히 다음 에 해당하는 의무를 진다. 1) 처리자와 그의 직원이 개인정보 보 호에 관한 요건을 포함한 개인정보에 관한 러시아연방법률을 준수하는 지 여 부에 대하여 내부 감사를 한다. 2) 처리자의 직원에게 개인정보에 관한 러시아연방법률, 개인정보 처리에 관한 내규, 개인정보 보호 요건에 대하여 알 린다. 3) 정보주체나 그의 대리인의 신청 및 요청 접수와 처리를 맡고 그러한 신청 및 요청의 접수와 처리를 감독한다. (2011년 7월25일 연방법률 제261-FZ 호에 의하여 조 추가)
(2021년 6월 11일 연방법률 제170-FZ 호에 의하여 명칭 개정)
1. 정보주체의 권리 보호를 담당하는 위임기관은 연방행정기관이며, 개인정보 가 러시아연방 개인정보 관련 법률의 요건에 맞게 처리되는 지를 관리 및 감 독하는 기능을 독립적으로 수행한다. (2022년 7월 14일 연방법률 제266- FZ호에 의하여 개정) 11. (2017년 2월 22일 연방법률 제 16-FZ호에 의하여 항 추가)(2021년 6 월 11일 연방법률 제170-FZ호에 의하 여 효력 상실) 2. 정보주체의 권리 보호를 담당하는 위임기관은 개인정보의 내용과 처리 방 법이 처리 목적에 맞는지에 관한 정보 주체의 요청을 검토하고 관련 결정을 내린다. 3. 정보주체의 권리 보호를 담당하는 위임기관은 다음에 해당하는 권리를 가 진다. 1) 권한 행사에 필요한 정보를 개인이 나 법인에 요청하고 무상으로 해당 정 보를 얻을 수 있다. 2) 개인정보 처리에 관한 통지서에 포 함된 자료를 확인하거나 그러한 확인을 위하여 권한 내에서 다른 국가기관이 참여할 수 있도록 한다. 3) 신뢰할 수 없거나 불법적으로 입수 된 개인정보를 확인하여 처리자에게 차 단이나 파기를 요구할 수 있다. 31) 러시아연방법률에 정하여진 절차로 러시아연방 개인정보 관련 법률을 위반 하여 처리되고 있는 개인정보에 대한 접근을 차단할 수 있다. (2014년 7월21 일 연방법률 제242-FZ호에 의하여 항 추가) 4) 이 연방법률의 요건에 위반되는 개 인정보의 처리를 중지하거나 중단하기 위한 조치를 러시아연방법률에 정하여 진 절차로 취할 수 있다. 5) 불특정 다수의 사람의 권리 보호를 포함하여 정보주체의 권리 보호를 위한 소송을 법원에 제기하고 재판에서 정보 주체의 권리를 대변할 수 있다. (2011 년 7월 25일 연방법률 제261-FZ호에 의하여 개정) 51) 보안 확보 분야의 권한을 위임받은 연방행정기관과 방첩 및 정보의 기술적 보호 분야의 권한을 위임받은 연방행정 기관에 그들의 활동 분야와 관련하여 제22조제3항제7호에 명시된 자료를 발 송할 수 있다. (2011년 7월 25일 연방 법률 제261-FZ호에 의하여 항 추가) 6) 정보주체의 서면 동의 없이 제3자에 게 개인정보 전송을 금지하는 것이 면 허 발급의 조건인 경우, 러시아연방법률 에 정하여진 절차에 따라 관련 면허의 효력 정지나 취소에 관한 사안을 검토 할 수 있도록 처리자의 업무 면허 발급 을 담당하는 기관에 신청서를 발송할 수 있다. 7) 검찰과 그 밖의 법집행기관에 소관 사항에 따라 정보주체 권리 침해와 관 련된 범죄 구성 요건에 맞게 형사소송 제기 여부에 관한 결정에 필요한 자료 를 발송할 수 있다. 8) 러시아연방 정부에 정보주체의 권리 보호와 개인정보 처리 활동에 대한 법 적 규제를 정비하는 내용의 제안을 할 수 있다. (2022년 7월 14일 연방법률 제266-FZ호에 의하여 개정) 9) 이 연방법률 위반 책임이 있는 대상 에게 행정적 책임을 물을 수 있다. 4. 정보주체의 권리 보호를 담당하는 위임기관이 활동 수행 도중 알게 된 개 인정보에 대하여 보안이 확보되어야 한 다. 5. 정보주체의 권리 보호를 담당하는 위임기관은 다음에 해당하는 의무를 진 다. 1) 이 연방법률과 다른 연방법률의 요 건에 따라 정보주체 권리를 보호하여야 한다. 2) 개인정보 처리와 관련된 사안에 관 한 국민 또는 법인의 민원과 요청을 검 토하고 권한 내에서 상기한 민원과 요 청을 검토하여 결과에 따라 결정을 내 려야 한다. 3) 처리자 등록부를 운영하여야 한다. 4) 정보주체의 권리 보호를 개선하기 위하여 조치를 취하여야 한다. 5) 안전 보장 분야에서 권한을 위임받 은 연방행정기관과 국방 분야의 연방행 정기관이나 방첩 및 정보의 기술적 보 호 분야의 권한을 위임받은 연방행정기 관의 제안에 따라 러시아연방법률에 정 하여진 절차로 개인정보의 처리를 중지 하거나 중단하기 위한 조치를 취하여야 한다. (2017년 7월 1일 연방법률 제 148-FZ호에 의하여 개정) 6) 국가기관과 정보주체에게 이들의 신 청이나 요청에 따라 정보주체의 권리 보호 분야의 상황에 관하여 알려주어야 한다. 7) 러시아연방법률에 정하여진 그 밖의 의무를 이행하여야 한다. 51. 정보주체의 권리 보호를 담당하는 위임기관은 외국의 정보주체의 권리 보 호를 담당하는 위임기관과 협력하고, 특 히 정보주체의 권리 보호에 관한 정보 를 국제적으로 교환하며 정보주체 권리 를 적절하게 보호하고 있는 외국 국가 의 목록을 승인한다. (2011년 7월 25일 연방법률 제261-FZ호에 의하여 항 추 가) 52. 제3항 및 제4항에 정하여진 정보주 체의 권리 보호를 담당하는 위임기관의 권리와 의무는 이 기관이 직접적으로 이행하며, 다른 국가기관에 이양될 수 없다. (2022년 7월 14일 연방법률 제 266-FZ호에 의하여 항 추가) 6. 정보주체의 권리 보호를 담당하는 위임기관의 결정은 사법절차에 따라 이 의제기 될 수 있다. 7. 정보주체의 권리보호를 담당하는 위 임기관은 매년 러시아연방 대통령 및 정부, 연방 회의에 자신의 활동에 관한 보고서를 발송한다. 상기한 보고서는 대 중매체에 게재될 수 있다. 8. 정보주체의 권리 보호를 담당하는 위임기관에 대한 금융지원은 연방 예산 으로 한다. 9. 정보주체의 권리 보호를 담당하는 위임기관 산하에 독자적인 자문위원회 가 구성될 수 있으며, 정보주체의 권리 보호를 담당하는 위임기관이 이 위원회 의 구성 및 활동 절차를 정한다. 10. 정보주체의 권리 보호를 담당하는 위임기관은 제21조제31항에 명시된 사 고에 관한 정보를 등록하기 위하여 개 인정보 분야 사고에 관한 등록부를 운 영하고 상기한 등록부 운영 차원에서 처리자와 협력하기 위한 절차와 조건을 정한다. (2022년 7월 14일 연방법률 제 266-FZ호에 의하여 항 추가). 11. 불법적이거나 우발적인 개인정보 전송을 초래하는 컴퓨터 사고에 관한 정보는 보안 확보 분야에서 권한을 위 임받은 연방행정기관과 정보주체의 권 리 보호를 담당하는 위임기관이 공동으 로 정한 절차에 따라 보안 확보 분야에 서 권한을 위임받은 연방행정기관에 전 달된다. (2022년 7월 14일 연방법률 제 266-FZ호에 의하여 항 추가)
1. 개인정보 처리에 대한 연방 국가 관 리(감독)는 개인정보가 개인정보 분야 의 러시아연방법률 요건에 맞게 처리되 고 있는지에 대한 관리(감독) 기능을 수행하는 연방행정기관이 한다. 2. 개인정보 처리에 대한 연방 국가 관 리(감독) 대상은 처리자가 이 연방법률 과 이 연방법률에 따라 채택된 러시아 연방 법령에 명시된 개인정보 분야의 필수 요건의 준수 여부이다. 3. 개인정보 처리에 대한 연방 국가 관 리(감독)는 2020년 7월 31일 러시아연 방 국가 관리(감독) 및 지방자치단체 감독에 관한 연방법률 제248-FZ호에 따라 실행한다. (감독 대상자와의 협력 없이 이행되는 관리(감독) 조치는 예외 로 한다). 4. 감독 대상자와의 협력 없이 이행되 는 조치 중 발견된 법으로 보호되는 가 치에 대한 손해(피해) 유발 또는 손해 (피해) 유발 위험에 관한 자료는 2020 년 7월 31일 러시아연방 국가 관리(감 독) 및 지방자치단체 감독에 관한 연방 법률 제248-FZ호의 제60조에 따른 관 리(감독) 조치 이행 결정을 내리기 위 한 근거가 된다. 5. 러시아연방 정부는 감독 대상자와의 협력 없이 이행되는 관리(감독) 조치의 계획 및 실행 절차를 포함하여 개인정 보 처리에 관한 연방 국가 관리(감독) 규정을 승인한다. (2021년 6월 11일 연방법률 제170- FZ호에 의하여 조 추가)
1. 이 연방법률의 요건을 위반하는 사 람은 러시아연방법률에 명시된 책임을 진다. (2011년 7월 25일 연방법률 제 261-FZ호에 의하여 개정) 2. 정보주체의 권리 침해와 이 연방법 률에 명시된 개인정보 처리 규정 위반, 그리고 이 연방법률에 따라 정하여진 개인정보 보호 요건 위반 결과 정보주 체가 입은 정신적 피해는 러시아연방법 률에 따라 보상을 받을 수 있다. 정신적 피해 보상은 정보주체가 입은 재상상 손해와 피해 보상에 관계없이 이루어진 다. (2011년 7월25일 연방법률 제261- FZ호에 의하여 항 추가)
1. 이 연방법률은 공포된 날부터 180일 이 경과함에 따라 발효된다. 2. 발효일 전에 개인정보시스템에 포함 된 개인정보는 이 연방법률 발효일 이 후 이 연방법률에 따라 처리된다. 21. 2011년 7월1일 이전 개인정보를 처 리한 처리자는 늦어도 2013년 1월 1일 까지 이 연방법률 제22조제3항제5호, 제71호, 제10호, 제11호에 명시된 자료 를 정보주체의 권리 보호를 담당하는 위임기관에 제공할 의무가 있다. (2011 년 7월 25일 연방법률 제261-FZ호에 의하여 항 추가) 3. (2011년 7월 25일 연방법률 제 261-FZ호에 의하여 항 효력 상실) 4. 이 연방법률 발효일 전 개인정보를 처리하고 발효일 이후에도 그러한 처리 를 계속하고 있는 처리자는 정보주체의 권리 보호를 담당하는 위임기관에 늦어 도 2008년 1월 1일까지 이 연방법률 제22조제2항에 명시된 경우를 제외하고 이 연방법률 제22조제3항에 명시된 통 지서를 발송할 의무가 있다. 5. 모스크바시의 러시아연방 주체 편입 과 관련된 특정 법률관계의 규제 요건 과 러시아연방 특정 법령 개정에 관한 연방법률에 달리 규정하고 있지 아니하 는 경우, 국가 및 지방자치단체 서비스 를 제공하고 러시아연방주체 모스크바 시에서 국가 및 지방자치단체의 기능을 수행할 때 국가기관과 법인, 개인이 하 는 개인정보 처리에 관한 관계는 이 연 방법률로 규율한다. (2013년 4월 5일 연방법률 제43-FZ호에 의하여 항 추 가) 러시아연방 대통령 블라디미르 푸틴 모스크바, 크레믈린 2006년 7월 27일 제152-FZ호