Автор семинара: Дмитрий Кофанов 2011 Порядок работы с персональными данными
Статья 1. Предмет и цель Цель настоящей Конвенции состоит в обеспечении на территории каждой Стороны для каждого физического лица независимо от его гражданства или местожительства, уважения его прав и основных свобод, и в частности его права на неприкосновенность частной жизни, в отношении автоматизированной обработки касающихся его данных личного характера (защита данных). КОНВЕНЦИЯ СОВЕТА ЕВРОПЫ «О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ДАННЫХ ЛИЧНОГО ХАРАКТЕРА»
Статья 2. Определения Для целей настоящей Конвенции: a) "данные личного характера" означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных); b) "автоматизированный файл данных" означает любой набор данных, подвергающийся автоматизированной обработке; c) "автоматизированная обработка" включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение; d) "контролер файла" означает физическое или юридическое лицо, орган государственной власти, учреждение или любой другой орган, компетентный в соответствии с внутренним законодательством решать, какова должна быть цель автоматизированного файла данных, какие категории данных личного характера подлежат хранению или какие операции должны производиться с ними. КОНВЕНЦИЯ СОВЕТА ЕВРОПЫ «О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ДАННЫХ ЛИЧНОГО ХАРАКТЕРА»
Статья 3. Сфера применения 1. Стороны обязуются применять настоящую Конвенцию в отношении автоматизированных файлов данных личного характера и автоматизированной обработки данных личного характера в государственной и частной сферах. 2. Любое государство может при подписании или сдаче на хранение своей ратификационной грамоты или документа о принятии, одобрении или присоединении или позднее в любой последующий момент уведомить путем заявления на имя Генерального секретаря Совета Европы о том: a) что оно не будет применять настоящую Конвенцию к определенным категориям автоматизированных файлов данных личного характера, перечень которых будет сдан на хранение. Однако оно не должно включать в этот перечень категории автоматизированных файлов данных, подпадающие в соответствии с его внутренним законодательством под действие норм, регулирующих защиту данных. Как следствие, оно должно вносить изменения в этот перечень путем нового заявления всякий раз, когда в соответствии с его внутренним правом под действие норм о защите данных подпадают дополнительные категории автоматизированных файлов данных личного характера; КОНВЕНЦИЯ СОВЕТА ЕВРОПЫ «О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ДАННЫХ ЛИЧНОГО ХАРАКТЕРА»
Статья 3. Сфера применения b) что оно будет также применять настоящую Конвенцию в отношении информации, касающейся групп лиц, ассоциаций, фондов, компаний, корпораций и любых других органов, состоящих, прямо или косвенно, из частных лиц, независимо от того, обладают ли такие органы правосубъектностью; c) что оно будет также применять настоящую Конвенцию в отношении файлов данных личного характера, которые не подвергаются автоматизированной обработке. 3. Любое государство, расширившее сферу применения настоящей Конвенции путем любого из заявлений, предусмотренных в подпараграфах 2 "b" или "c" выше, может уведомить с помощью указанного заявления о том, что такое расширение касается лишь определенных категорий файлов данных личного характера, перечень которых будет сдан на хранение. 4. Никакая Сторона, исключившая определенные категории автоматизированных файлов данных личного характера путем заявления, предусмотренного в подпараграфе 2 "a" выше, не может требовать применения настоящей Конвенции в отношении таких категорий от Стороны, которая их не исключила. КОНВЕНЦИЯ СОВЕТА ЕВРОПЫ «О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ДАННЫХ ЛИЧНОГО ХАРАКТЕРА»
Статья 3. Сфера применения 5. Таким же образом, Сторона, не расширившая сферу применения путем заявлений, предусмотренных в подпараграфах 2 "b" и "c" выше, не может требовать применения настоящей Конвенции в отношении этих пунктов от Стороны, которая расширила сферу применения таким образом. 6. Заявления, предусмотренные в параграфе 2 выше, начинают действовать с момента вступления в силу Конвенции в отношении государства, которое их сделало, если они были сделаны при подписании или сдаче на хранение его ратификационной грамоты или документа о принятии, одобрении или присоединении, или через три месяца после их получения Генеральным секретарем Совета Европы, если они были сделаны в любой последующий момент. Эти заявления могут быть отозваны полностью или частично путем уведомления на имя Генерального секретаря Совета Европы. Такой отзыв вступает в силу через три месяца со дня получения такого уведомления. КОНВЕНЦИЯ СОВЕТА ЕВРОПЫ «О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ДАННЫХ ЛИЧНОГО ХАРАКТЕРА»
Статья 4. Обязанности Сторон 1. Каждая Сторона принимает необходимые меры в рамках своего внутреннего законодательства в целях придания юридической силы основополагающим принципам защиты данных, изложенным в настоящей главе. 2. Эти меры принимаются не позднее момента вступления в силу настоящей Конвенции в отношении этой Стороны. Статья 5. Качество данных Данные личного характера, подвергающиеся автоматизированной обработке: a) собираются и обрабатываются на справедливой и законной основе; b) хранятся для определенных и законных целей и не используются иным образом, несовместимым с этими целями; c) являются адекватными, относящимися к делу и не чрезмерными для целей их хранения; d) являются точными и, когда это необходимо, обновляются; e) сохраняются в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных. КОНВЕНЦИЯ СОВЕТА ЕВРОПЫ «О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ДАННЫХ ЛИЧНОГО ХАРАКТЕРА»
Статья 6. Специальные категории данных Данные личного характера, касающиеся расовой принадлежности, политических взглядов или религиозных или других убеждений, а также данные личного характера, касающиеся здоровья или половой жизни, не могут подвергаться автоматизированной обработке, если внутреннее законодательство не устанавливает соответствующих гарантий. Это положение действует также в отношении данных личного характера, касающихся судимости. Статья 7. Защита данных Для защиты данных личного характера, хранящихся в автоматизированных файлах данных, принимаются надлежащие меры безопасности, направленные на предотвращение их случайного или несанкционированного уничтожения или случайной потери, а также на предотвращение несанкционированного доступа, их изменения или распространения таких данных. КОНВЕНЦИЯ СОВЕТА ЕВРОПЫ «О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ДАННЫХ ЛИЧНОГО ХАРАКТЕРА»
Статья 8. Дополнительные гарантии для субъекта данных Любое лицо вправе: a) знать о существовании автоматизированного файла данных личного характера, знать его основные цели, а также название и место обычного проживания или место делового обзаведения контролера файла; b) получить через разумный промежуток времени и без чрезмерной задержки или чрезмерных расходов подтверждение того, хранятся ли касающиеся его данные личного характера в автоматизированном файле данных, а также получить такие данные в доступной для понимания форме; c) добиваться в случае необходимости исправления или уничтожения таких данных, если они подвергались обработке в нарушение норм внутреннего законодательства, воплощающего основополагающие принципы, изложенные в статьях 5 и 6 настоящей Конвенции; d) прибегать к средствам правовой защиты в случае невыполнения просьбы о подтверждении или в случае необходимости предоставлении данных, их изменении или уничтожении, как это предусмотрено в параграфах "b" и "c" настоящей статьи. КОНВЕНЦИЯ СОВЕТА ЕВРОПЫ «О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ДАННЫХ ЛИЧНОГО ХАРАКТЕРА»
Статья 9. Изъятия и ограничения 1. Изъятия из положений статьями 5, 6 и 8 настоящей Конвенции допускаются только в пределах, определенных настоящей статьей. 2. Отступление от положений статей 5, 6 и 8 настоящей Конвенции допускается, когда такое отступление предусматривается законодательством Стороны и является необходимой в демократическом обществе мерой, принимаемой в интересах: a) защиты безопасности государства, общественной безопасности, валютно-кредитных интересов государства или пресечения уголовных преступлений; b) защиты субъекта данных или прав и свобод других лиц. 3. Внутреннее законодательство может предусматривать ограничения на осуществление прав, перечисленных в параграфах "b", "c" и "d" статьи 8, в отношении автоматизированных файлов данных личного характера, используемых для целей статистики или научных исследований, когда явно отсутствует какой-либо риск нарушения неприкосновенности частной жизни субъектов данных. КОНВЕНЦИЯ СОВЕТА ЕВРОПЫ «О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ДАННЫХ ЛИЧНОГО ХАРАКТЕРА»
Статья 10. Санкции и средства правовой защиты Каждая Сторона обязуется предусмотреть надлежащие санкции и средства правовой защиты на случай нарушения норм внутреннего законодательства, воплощающих основополагающие принципы защиты данных, изложенные в настоящей главе. Статья 11.Расширенная защита Никакие положения настоящей главы не должны толковаться как ограничивающие или иным образом ущемляющие возможность Стороны обеспечить субъектам данных большую степень защиты, чем та, которая предусмотрена настоящей Конвенцией. КОНВЕНЦИЯ СОВЕТА ЕВРОПЫ «О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ДАННЫХ ЛИЧНОГО ХАРАКТЕРА»
Статья 12. Трансграничные потоки данных личного характера и внутреннее законодательство 1. В отношении передачи через национальные границы с помощью каких бы то ни было средств данных личного характера, подвергающихся автоматизированной обработке или собранных с целью их автоматизированной обработки, применяются нижеследующие положения. 2. Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки данных личного характера, идущие на территорию другой Стороны, с единственной целью защиты частной жизни. 3. Тем не менее каждая Сторона вправе отступать от положений пункта 2: a) в той степени, в какой ее внутреннее законодательство включает специальные правила в отношении определенных категорий данных личного характера или автоматизированных файлов данных личного характера в силу характера этих данных или этих файлов, за исключением случаев, когда нормы другой Стороны предусматривают такую же защиту; b) когда передача осуществляется с ее территории на территорию государства, не являющегося Стороной настоящей Конвенции, через территорию другой Стороны, в целях недопущения такой передачи, которая позволит обойти законодательство Стороны, упомянутой в начале данного пункта. КОНВЕНЦИЯ СОВЕТА ЕВРОПЫ «О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ В ОТНОШЕНИИ АВТОМАТИЗИРОВАННОЙ ОБРАБОТКИ ДАННЫХ ЛИЧНОГО ХАРАКТЕРА»
Ратифицировать Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года (далее - Конвенция) с поправками, одобренными Комитетом министров Совета Европы 15 июня 1999 года, подписанную от имени Российской Федерации в городе Страсбурге 7 ноября 2001 года, со следующими заявлениями: 1) Российская Федерация заявляет, что в соответствии с подпунктом "а" пункта 2 статьи 3 Конвенции не будет применять Конвенцию к персональным данным: а) обрабатываемым физическими лицами исключительно для личных и семейных нужд; б) отнесенным к государственной тайне в порядке, установленном законодательством Российской Федерации о государственной тайне; 2) Российская Федерация заявляет, что в соответствии с подпунктом "с" пункта 2 статьи 3 Конвенции будет применять Конвенцию к персональным данным, которые не подвергаются автоматизированной обработке, если применение Конвенции соответствует характеру действий, совершаемых с персональными данными без использования средств автоматизации; 3) Российская Федерация заявляет, что в соответствии с подпунктом "а" пункта 2 статьи 9 Конвенции оставляет за собой право устанавливать ограничения права субъекта персональных данных на доступ к персональным данным о себе в целях защиты безопасности государства и общественного порядка. Президент Российской Федерации В.ПУТИН Федеральный закон от N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных"
1. Федеральный закон от N 152-ФЗ «О персональных данных» 2. "Трудовой кодекс Российской Федерации" от N 197-ФЗ 3. "Кодекс Российской Федерации об административных правонарушениях" от N 195-ФЗ 4. Федеральный закон от N 149-ФЗ "Об информации, информационных технологиях и о защите информации" 5. Федеральный закон от N 242-ФЗ "О государственной геномной регистрации в Российской Федерации" Кодексы и Федеральные законы
* Постановление Правительства РФ от N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" * Постановление Правительства РФ от N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных" * Постановление Правительства РФ от N 228 "О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" Постановления Правительства РФ
* Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» * Приказ ФСТЭК от 5 февраля 2010 г. N 58 «Об утверждении положения о методах и способах защиты информации в информационных системах защиты персональных данных.» * Приказ Роскомнадзора от N 482 "Об утверждении образца формы уведомления об обработке персональных данных" * Приказ Роскомнадзора от N 630 "Об утверждении Административного регламента проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных" * Приказ Минкомсвязи РФ от N 18 "Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции "Ведение реестра операторов, осуществляющих обработку персональных данных" Приказы Министерств и ведомств
* Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года * Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года. * Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных" от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.) * Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" от 15 февраля 2008 года (пометка «для служебного пользования» снята Решением ФСТЭК России от 11 ноября 2009 г.) * Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации" от 21 февраля 2008 года * Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных" от 21 февраля 2008 года Методические материалы ФСТЭК и ФСБ
Статья Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) - влечет предупреждение или наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. должностных лиц Кодекс РФ об Административных Правонарушениях
Статья Нарушение правил защиты информации 1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от трехсот до пятисот рублей; на должностных лиц - от пятисот до одной тысячи рублей; на юридических лиц - от пяти тысяч до десяти тысяч рублей. 2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц - от одной тысячи до двух тысяч рублей; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией несертифицированных средств защиты информации или без таковой. Кодекс РФ об Административных Правонарушениях
Статья Нарушение правил защиты информации 3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц в размере от двух тысяч до трех тысяч рублей; на юридических лиц - от пятнадцати тысяч до двадцати тысяч рублей. 4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, - влечет наложение административного штрафа на должностных лиц в размере от трех тысяч до четырех тысяч рублей; на юридических лиц - от двадцати тысяч до тридцати тысяч рублей с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой. Кодекс РФ об Административных Правонарушениях
Статья Нарушение правил защиты информации 5. Грубое нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), - влечет наложение административного штрафа на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, в размере от одной тысячи до одной тысячи пятисот рублей или административное приостановление деятельности на срок до девяноста суток; на должностных лиц - от одной тысячи до одной тысячи пятисот рублей; на юридических лиц - от десяти тысяч до пятнадцати тысяч рублей или административное приостановление деятельности на срок до девяноста суток. Примечание. Понятие грубого нарушения устанавливается Правительством Российской Федерации в отношении конкретного лицензируемого вида деятельности. Кодекс РФ об Административных Правонарушениях
Статья Незаконная деятельность в области защиты информации 1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой. 2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии - влечет наложение административного штрафа на должностных лиц в размере от четырех тысяч до пяти тысяч рублей; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой. Кодекс РФ об Административных Правонарушениях
Статья Нарушение законодательства о труде и об охране труда 1. Нарушение законодательства о труде и об охране труда - влечет наложение административного штрафа на должностных лиц в размере от одной тысячи до пяти тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от одной тысячи до пяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток. 2. Нарушение законодательства о труде и об охране труда должностным лицом, ранее подвергнутым административному наказанию за аналогичное административное правонарушение, - влечет дисквалификацию на срок от одного года до трех лет. Кодекс РФ об Административных Правонарушениях Под аналогичным правонарушением, указанным в части 2 статьи 5.27 КоАП РФ, следует понимать совершение должностным лицом такого же, а не любого нарушения законодательства о труде и охране труда (например, первый раз должностное лицо не произвело расчет при увольнении одного, а позднее - при увольнении другого работника). Постановление Пленума Верховного Суда РФ от N 5 "О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях"
Статья 137. Нарушение неприкосновенности частной жизни 1. Незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации - наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. 2. Те же деяния, совершенные лицом с использованием своего служебного положения, - наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от двух до пяти лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до четырех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет. Уголовный Кодекс РФ
Статья 1. Сфера действия настоящего Федерального закона 1. Настоящим Федеральным законом регулируются отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами (далее - муниципальные органы), юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. Федеральный закон от N 152-ФЗ "О персональных данных"
Статья 1. Сфера действия настоящего Федерального закона 2. Действие настоящего Федерального закона не распространяется на отношения, возникающие при: 1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных; 2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в Российской Федерации; 3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством Российской Федерации в связи с деятельностью физического лица в качестве индивидуального предпринимателя; 4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну; 5) предоставлении уполномоченными органами информации о деятельности судов в Российской Федерации в соответствии с Федеральным законом от 22 декабря 2008 года N 262-ФЗ "Об обеспечении доступа к информации о деятельности судов в Российской Федерации" Федеральный закон от N 152-ФЗ "О персональных данных"
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; Федеральный закон от N 152-ФЗ "О персональных данных"
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных); уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Федеральный закон от N 152-ФЗ "О персональных данных"
10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания; 11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства; 12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. Федеральный закон от N 152-ФЗ "О персональных данных"
Обработка персональных данных может осуществляться оператором: обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных; обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей; обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем; осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных); осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Федеральный закон от N 152-ФЗ "О персональных данных"
Оператор вправе поручить обработку персональных данных другому лицу на основании договора с согласия субъекта персональных данных: Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона. Ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором. Федеральный закон от N 152-ФЗ "О персональных данных"
Согласие субъекта персональных данных на обработку своих персональных данных Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Возможность обработки персональных данных при отзыве согласия на обработку. (пп ст.. 6) Возможность электронной формы согласия на обработку персональных данных. Федеральный закон от N 152-ФЗ "О персональных данных"
Согласие субъекта персональных данных на обработку своих персональных данных 1. Письменное согласие: фамилию, имя, отчество, адрес субъекта персональных данных или его представителя, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе; наименование и адрес оператора, получающего согласие субъекта персональных данных; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие субъекта персональных данных; перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; Срок действия согласия и порядок его отзыва; собственноручную подпись субъекта персональных данных. Федеральный закон от N 152-ФЗ "О персональных данных"
Специальные категории персональных данных Расовая или национальная принадлежность Политические взгляды Религиозные или философские убеждения Состояние здоровья Интимная жизнь Обработка допускается только в случаях: 1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных; 2) персональные данные являются общедоступными; 2.1) обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии; 2.2) обработка персональных данных осуществляется в соответствии с законом N 8-ФЗ "О Всероссийской переписи населения"; 2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях; Федеральный закон от N 152-ФЗ "О персональных данных"
Специальные категории персональных данных Расовая или национальная принадлежность Политические взгляды Религиозные или философские убеждения Состояние здоровья Интимная жизнь Обработка допускается только в случаях: 3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно; 4) обработка персональных данных осуществляется в медико- профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну; Федеральный закон от N 152-ФЗ "О персональных данных"
Специальные категории персональных данных Расовая или национальная принадлежность Политические взгляды Религиозные или философские убеждения Состояние здоровья Интимная жизнь Обработка допускается только в случаях: 5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; 6) обработка персональных данных необходима в связи с осуществлением правосудия; Федеральный закон от N 152-ФЗ "О персональных данных"
Специальные категории персональных данных Расовая или национальная принадлежность Политические взгляды Религиозные или философские убеждения Состояние здоровья Интимная жизнь Обработка допускается только в случаях: 7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, об оперативно- розыскной деятельности, а также в соответствии с уголовно- исполнительным законодательством Российской Федерации; 8) обработка персональных данных осуществляется в целях обязательного социального страхования в соответствии с федеральными законами о конкретных видах обязательного социального страхования. 9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан. Федеральный закон от N 152-ФЗ "О персональных данных"
Биометрические персональные данные - Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность, и которые используются оператором для установления личности субъекта персональных данных Критерии: - Устойчивость - Уникальность Примеры: отпечатки пальцев, отпечатки ладони, результаты анализа ДНК, образ лица, сетчатка глаза, особенности строения тела, отдельных органов и тканей, различные отклонения в развитии, атавизмы Федеральный закон от N 152-ФЗ "О персональных данных"
Трансграничная передача данных 1. Адекватная защита персональных данных иностранным государством, на территорию которого передаются данные. 2. Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы и обеспечивающих адекватную защиту прав субъектов персональных данных. В случае отсутствия адекватной защиты ПД необходимо: 1) согласие в письменной форме субъекта персональных данных 2) международные договоры РФ по вопросам выдачи виз, а также об оказании правовой помощи по гражданским, семейным и уголовным делам 3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя РФ, обеспечения обороны страны и безопасности государства; 4) исполнения договора, стороной которого является субъект персональных данных 5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных Перечень представленных условий является исчерпывающим!!! Федеральный закон от N 152-ФЗ "О персональных данных"
Права субъекта персональных данных право на доступ к своим персональным данным; право на уточнение, блокирование или уничтожение информации; право знать, кто и в каких целях использует или использовал эту информацию; право на получение сведений об операторе; право на защиту законных интересов. Персональные данные предоставляются оператором в случае: 1) устного обращения в адрес оператора персональных данных, сопровождающегося обязательным предоставлением основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя; 2) предоставления письменного запроса. Последний может быть исполнен как на бумажном, так и на электронном носителе. Федеральный закон от N 152-ФЗ "О персональных данных" Обязательные реквизиты письменного запроса: номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя; сведения о дате выдачи указанного документа и выдавшем его органе; собственноручная подпись субъекта персональных данных или его законного представителя. сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором
Обязанности оператора персональных данных. 1. Предоставить субъекту запрашиваемую информацию. 2. Разъяснить последствия отказа предоставления персональных данных 3. Если данные получены не от субъекта персональных данных, оператор обязан сообщить субъекту: 1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя; 2) цель обработки персональных данных и ее правовое основание; 3) предполагаемые пользователи персональных данных; 4) установленные настоящим Федеральным законом права субъекта персональных данных. 5) источник получения персональных данных Федеральный закон от N 152-ФЗ "О персональных данных"
Меры, направленные на обеспечение выполнения оператором необходимых обязанностей. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством о персональных данных, например: назначение ответственного за организацию обработки персональных данных Издание документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных применение правовых, организационных и технических мер по обеспечению безопасности персональных данных осуществление внутреннего контроля соответствия обработки персональных данных законодательству оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников Федеральный закон от N 152-ФЗ "О персональных данных"
Меры, направленные на обеспечение выполнения оператором необходимых обязанностей. 1. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно- телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно- телекоммуникационной сети. 2. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных. Федеральный закон от N 152-ФЗ "О персональных данных"
Обязанности оператора персональных данных. 2. Обеспечение безопасности персональных данных при их обработке. Организационные меры защиты - регламентация производственной деятельности оператора, направленная на создание условий, обеспечивающих реализацию технических мер защиты конфиденциальной информации. Технические меры защиты персональных данных - это использование различных технических, программных и аппаратных средств для защиты информации от несанкционированного доступа, копирования, модификации или уничтожения. Технические меры защиты включают в себя различные методы, применение которых может осуществляться как индивидуально, так и в совокупности. Деятельность по технической защите конфиденциальной информации подлежит обязательному лицензированию!!! Органы контроля и надзора за соблюдением требований безопасности 1. ФСТЭК 2. ФСБ Федеральный закон от N 152-ФЗ "О персональных данных"
Указ Президента РФ от N 188 "Об утверждении Перечня сведений конфиденциального характера" 1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Федеральный закон от N 128-ФЗ "О лицензировании отдельных видов деятельности" Статья 17. Перечень видов деятельности, на осуществление которых требуются лицензии 11) деятельность по технической защите конфиденциальной информации; Кодекс Российской Федерации об административных правонарушениях Статья Осуществление предпринимательской деятельности без государственной регистрации или без специального разрешения (лицензии) 2. Осуществление предпринимательской деятельности без специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от двух тысяч до двух тысяч пятисот рублей с конфискацией изготовленной продукции, орудий производства и сырья или без таковой; на должностных лиц - от четырех тысяч до пяти тысяч рублей с конфискацией изготовленной продукции, орудий производства и сырья или без таковой; на юридических лиц - от сорока тысяч до пятидесяти тысяч рублей с конфискацией изготовленной продукции, орудий производства и сырья или без таковой.
Обязанности оператора персональных данных. 3. Информирование субъектов персональных данных а также уполномоченного органа по защите прав субъектов персональных данных. 1. Сроки предоставления информации о субъекте – при обращении либо в течение 30 дней с момента получения запроса. 2. В случае непредоставления информации оператор обязан в течение 30 дней с момента обращения субъекта либо со дня получения запроса предоставить мотивированный отказ. 3. Оператор обязан безвозмездно предоставить субъекту возможность ознакомления с персональными данными, а также внести в них необходимые изменения, уничтожить или блокировать по предоставлении субъектом необходимых сведений. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. 4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 рабочих дней с даты получения такого запроса. Федеральный закон от N 152-ФЗ "О персональных данных"
Обязанности оператора персональных данных. 4. Уведомление об обработке персональных данныхУведомление 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных 2. Уведомление не требуется при обработке персональных данных: 1) обрабатываемых в соответствии с трудовым законодательством (ранее - относящихся к субъектам, которых связывают с оператором трудовые отношения); 2) полученных оператором в связи с заключением договора, стороной которого является субъект, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных; 3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных; 4) являющихся общедоступными персональными данными; Федеральный закон от N 152-ФЗ "О персональных данных"
Обязанности оператора персональных данных. 4. Уведомление об обработке персональных данныхУведомление 1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных 2. Уведомление не требуется при обработке персональных данных: 5) включающих в себя только фамилии, имена и отчества субъектов персональных данных; 6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях; 7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус федеральных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка; 8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных. Федеральный закон от N 152-ФЗ "О персональных данных"
Обязанности оператора персональных данных. 4. Уведомление об обработке персональных данныхУведомление Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений. Федеральный закон от N 152-ФЗ "О персональных данных"
Обязанности оператора персональных данных. Обязательная информация для уведомления: 1) наименование (фамилия, имя, отчество), адрес оператора; 2) цель обработки персональных данных; 3) категории персональных данных; 4) категории субъектов, персональные данные которых обрабатываются; 5) правовое основание обработки персональных данных; 6) перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных; 7) описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; 7.1) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; 8) дата начала обработки персональных данных; 9) срок или условие прекращения обработки персональных данных; 10) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; 11) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации. Федеральный закон от N 152-ФЗ "О персональных данных"
Обязанности оператора персональных данных. 4. Уведомление об обработке персональных данныхУведомление Уполномоченный орган по защите прав субъектов персональных данных в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит сведения, указанные в части 3 настоящей статьи, а также сведения о дате направления указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными. В случае предоставления неполных или недостоверных сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите прав субъектов персональных данных вправе требовать от оператора уточнения предоставленных сведений до их внесения в реестр операторов. В случае изменения сведений, указанных в части 3 настоящей статьи, оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений. Федеральный закон от N 152-ФЗ "О персональных данных"
Обязанности оператора персональных данных. 1. Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. 2. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа организации, являющейся оператором, и подотчетно ему. 3. Оператор обязан предоставлять лицу, ответственному за организацию обработки персональных данных, сведения, указанные в уведомлении Роскомнадзора. 4. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано: 1) осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных; 2) доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных; 3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. Федеральный закон от N 152-ФЗ "О персональных данных"
Уполномоченный орган по защите прав субъектов персональных данных. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Права: 1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию; 2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий; 3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных; 4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона; 5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде; Федеральный закон от N 152-ФЗ "О персональных данных"
Уполномоченный орган по защите прав субъектов персональных данных. Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) Права: 5.1) направлять в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, применительно к сфере их деятельности, сведения, указанные в пункте 7 части 3 статьи 22 настоящего Федерального закона; 6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных; 7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью; 8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных; 9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона. Федеральный закон от N 152-ФЗ "О персональных данных"