Точный
Действующий
Текст

          
Принят
на четырнадцатом пленарном
заседании Межпарламентской Ассамблеи
 государств - участников СНГ
(постановление N 14-19
от 16 октября 1999 года)

     

МОДЕЛЬНЫЙ ЗАКОН

О персональных данных  



Настоящий Закон определяет операции с персональными данными и их правовой режим с учетом общепризнанных норм международного права и обязательств по международным договорам.

Статья 1. Цель Закона


Целью Закона является защита прав человека в отношении его персональных данных и операций с ними, определение правового режима использования персональных данных и функций их держателей.

Статья 2. Основные термины и определения


Персональные данные - информация (зафиксированная на материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. К персональным данным относятся биографические и опознавательные данные, личные характеристики, сведения о семейном, социальном положении, образовании, профессии, служебном и финансовом положении, состоянии здоровья и прочие.

Материальные носители - материальные объекты (в том числе физические поля), в которых персональные данные находят свое отображение в виде символов, образов и сигналов.

Субъект персональных данных (субъект) - человек, к которому относятся соответствующие персональные данные.

Держатель персональных данных (держатель) - органы государственной власти и органы местного самоуправления, юридические и физические лица, осуществляющие действия с персональными данными на законных основаниях.

Действия (операции) держателя с персональными данными - сбор, хранение, уточнение, передача, блокирование, обезличивание и уничтожение персональных данных.

Сбор персональных данных - документально оформленная процедура получения держателем персональных данных от субъектов этих данных.

Передача персональных данных - предоставление держателем персональных данных третьим лицам в соответствии с законом и международными договорами.

Трансграничная передача персональных данных - передача держателем персональных данных этих данных держателям, которые находятся под юрисдикцией другого государства.

Уточнение персональных данных - оперативное внесение изменений в персональные данные в соответствии с процедурами, установленными национальным законодательством.

Блокирование персональных данных - временное прекращение передачи, уточнения и уничтожения персональных данных.

Уничтожение персональных данных - действия держателя персональных данных по приведению последних в состояние, не позволяющее восстановить их содержание.

Обезличивание персональных данных - изъятие из персональных данных той их части, которая позволяет отождествить их с конкретным человеком.

База персональных данных - упорядоченный массив персональных данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных).

Режим конфиденциальности персональных данных - нормативно установленные правила, определяющие ограничения доступа, передачи и условия хранения персональных данных.

Статья 3. Принципы правового регулирования персональных данных

1. Персональные данные должны быть получены и обработаны законным образом на основании действующего законодательства.

2. Персональные данные включаются в базы персональных данных на основании свободного согласия субъекта, выраженного в письменной форме.

3. Персональные данные должны накапливаться для точно определенных и законных целей, не использоваться в противоречии с этими целями и не быть избыточными по отношению к ним.

4. Персональные данные, предоставляемые держателем, должны быть точными и в случае необходимости обновляться.

5. Персональные данные должны храниться не дольше, чем этого требует цель, для которой они накапливаются, и подлежать уничтожению по достижении этой цели или при миновании надобности.

6. Должны приниматься меры для охраны персональных данных, исключающие случайное или несанкционированное разрушение или случайную их утрату, а равно несанкционированный доступ к ним, изменение, блокирование или передачу данных.

7. Не допускается объединение баз персональных данных, собранных держателями в разных целях, для автоматизированной обработки информации.

8. Для лиц, занимающих высшие государственные должности, и кандидатов на эти должности национальным законодательством может быть установлен специальный правовой режим для их персональных данных, обеспечивающий открытость только общественно значимых данных.

Статья 4. Правовой режим персональных данных

1. Правовой режим персональных данных - нормативно установленные правила, определяющие условия доступа, хранения, уточнения, передачи, блокирования, обезличивания и уничтожения персональных данных.

2. Персональные данные, находящиеся в ведении держателя, относятся к конфиденциальной информации, кроме случаев, определенных настоящим Законом.

3. Режим конфиденциальности персональных данных снимается в случаях обезличивания персональных данных; требований субъекта в отношении своих персональных данных, не противоречащих национальному законодательству; включения персональных данных в общедоступные базы данных.

4. По желанию субъекта для его персональных данных может быть установлен режим общедоступной информации (био-, библиографические справочники, телефонные книги, адресные книги, частные объявления и т.д.).

5. С момента смерти субъекта персональных данных правовой режим персональных данных подлежит замене на режим архивного хранения или иной правовой режим, предусмотренный национальным законодательством.

6. Правовой режим для персональных данных, полученных в результате деятельности правоохранительных органов, устанавливается в соответствии с национальным законодательством.

7. Защита персональных данных умершего лица может осуществляться другими лицами, в том числе наследниками, в порядке, предусмотренном национальным законодательством о защите чести, достоинства, деловой репутации, личной и семейной тайн.

Статья 5. Основные формы государственного регулирования


Государство может осуществлять регулирование действий держателей персональных данных в формах:

- лицензирования действий с персональными данными;

- регистрации баз персональных данных;

- регистрации держателей персональных данных;

- сертификации информационных систем, предназначенных для обработки персональных данных.

Статья 6. Лицензирование действий (операций) с персональными данными


Путем лицензирования действий с персональными данными обеспечивается государственный контроль над деятельностью в этой сфере. Лицензия на действия с персональными данными выдается органами исполнительной власти, на которые возложены функции защиты прав субъектов персональных данных.

В лицензии на действия с персональными данными указываются:

- цели и способы получения и использования персональных данных, режимы и сроки их хранения;

- категории или группы субъектов персональных данных;

- перечень персональных данных;

- источники персональных данных;

- порядок информирования субъектов о получении их персональных данных;

- меры по обеспечению сохранности персональных данных и конфиденциальности обращения с ними;

- лица, непосредственно ответственные за работу с персональными данными;

- требование наличия сертификатов на информационные системы, предназначенные для обработки персональных данных, средств защиты информационных систем и персональных данных.

Информационные продукты, содержащие персональные данные, а также информация, предоставляемая субъекту персональных данных, должны содержать ссылку на выданную лицензию.

Лицензия не требуется:

- органам государственной власти и органам местного самоуправления, осуществляющим работу с персональными данными в соответствии со своей компетенцией;

- в случае работы с персональными данными для целей, исключающих передачу персональных данных иным юридическим и физическим лицам;

- в случае получения этих данных в личных целях, не предполагающих их распространения.

Статья 7. Регистрация баз персональных данных


Регистрация баз персональных данных обеспечивает их гласный учет и позволяет информировать граждан о возможностях доступа к своим персональным данным.

Базы персональных данных подлежат обязательной регистрации в органах исполнительной власти, на которые возложены функции защиты прав субъектов персональных данных.

При регистрации баз персональных данных фиксируются наименование баз персональных данных, цели получения и использования персональных данных, перечень собираемых персональных данных, категории или группы субъектов персональных данных, сроки хранения персональных данных.

Статья 8. Регистрация держателей персональных данных


Регистрация держателей персональных данных обеспечивает ведение общедоступного реестра держателей персональных данных. При регистрации держателей персональных данных указываются:

- цели и способы получения и использования персональных данных, режим и сроки их хранения;

- категории или группы субъектов персональных данных;

- источники персональных данных;

- порядок информирования субъектов о сборе их персональных данных;

- меры по обеспечению сохранности персональных данных и конфиденциальности действий с ними;

- лица, непосредственно ответственные за работу с персональными данными;

- требование наличия сертификатов на информационные системы, предназначенные для обработки персональных данных, средств защиты информационных систем и персональных данных.

Статья 9. Сертификация автоматизированных информационных систем,
предназначенных для обработки персональных данных


Сертификация автоматизированных информационных систем, предназначенных для обработки персональных данных, осуществляется с целью обеспечения требуемого уровня безопасности персональных данных.

Сертификации подлежат предназначенные для обработки персональных данных автоматизированные информационные системы, а также средства защиты информационных систем и персональных данных.

Сертификацию осуществляют органы по сертификации в соответствии с национальным законодательством.

Статья 10. Трансграничная передача персональных данных

1. Не может запрещаться или ставиться под специальный контроль трансграничная передача персональных данных, за исключением случаев, создающих угрозу национальной безопасности, и при необеспечении адекватного уровня защиты персональных данных.

2. Государство обеспечивает законные меры защиты находящихся на его территории или передаваемых через его территорию персональных данных, исключающие их искажение и несанкционированное использование.

3. При трансграничной передаче персональных данных передающая сторона исходит из того, что в соответствии с межгосударственными соглашениями либо национальным законодательством другая сторона обеспечивает адекватный уровень защиты прав субъектов персональных данных и охраны этих данных.

4. Передача персональных данных в страны, не обеспечивающие адекватный уровень защиты этих данных, может иметь место при условии:

- явно выраженного согласия субъекта персональных данных на эту передачу;

- необходимости передачи персональных данных для заключения и (или) исполнения договора между субъектом и держателем персональных данных либо между держателем и третьей стороной в интересах субъекта персональных данных;

- если передача необходима для защиты жизненно важных интересов субъекта персональных данных;

- если персональные данные содержатся в общедоступной базе персональных данных.

Статья 11. Общедоступные базы персональных данных

Этот документ входит в профессиональные
справочные системы «Кодекс» и  «Техэксперт»