Статья 1
Внести в Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»(Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2009, № 48, ст. 5716; № 52, ст. 6439; 2010, № 31, ст. 4196; № 52, ст. 6974; 2011, № 23, ст. 3263; № 31, ст. 4701; 2013, № 14, ст. 1651) следующие изменения:
1) статью 3 дополнить пунктом 12 следующего содержания:
«12) обработчик– лицо, осуществляющее обработку персональных данных по поручению оператора.»;
2) статью 5 дополнить частью 8 следующего содержания:
«8. Обработка персональных данных в составе сведений конфиденциального характера, связанных с профессиональной деятельностью,доступ к которым ограничен федеральным законом, осуществляется в порядке, установленном федеральным законом и принятыми в соответствии с ним нормативными правовыми актамидля соответствующей информации. Обработка персональных данных в составе сведений конфиденциального характера, связанных с профессиональной деятельностью, доступ к которым ограничен федеральным законом, осуществляется в порядке, установленном настоящим Федеральным законом, если федеральный закон и принятые в соответствии с ним нормативные правовые актыне регулируют обработку соответствующей информации.»;
3) в статье 6:
а) части 3 – 5 изложить в следующей редакции:
«3. Оператор вправе поручить обработку персональных данных обработчику с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с обработчиком договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение оператора). Обработчик обязан соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться обработчиком, и цели обработки, должна быть установлена обязанность обработчика соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.
4. Договор, заключенный между оператором и субъектом персональных данных, означает в том числе согласие субъекта персональных данных на поручение оператором обработки персональных данных обработчику в целях исполнения договора.
5. Обработчик не обязан дополнительнополучать согласие субъекта персональных данных на обработку его персональных данных.»;
б) дополнить частью 6 следующего содержания:
«6. Ответственность перед субъектом персональных данных за действия обработчика несет оператор. Обработчик несет ответственность перед оператором.»;
4) статью 7 изложить в следующей редакции:
«Статья 7. Конфиденциальность персональных данных
1.Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2. Обеспечение конфиденциальности персональных данных не требуетсяв отношении персональных данных, сделанных общедоступными субъектом персональных данных, в отношении данных, полученных оператором в результате обезличивания персональных данных, а также в отношении персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.»;
5) часть 1 статьи 9 после слова «форме,» дополнить словами «в том числе дистанционно, путем использования электронных средств, которые позволяют оператору удостовериться в согласии лица на обработку его персональных данных,»;
6) часть 1 статьи 11 изложить в следующей редакции:
«1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для автоматической идентификации субъекта персональных данных (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»;
7) в статье 12:
а) часть 4 дополнить пунктом 6 следующего содержания:
«6) обеспечения условиями договора, заключенного между лицами, осуществляющими обработку персональных данных, адекватной защиты прав субъектов персональных данных. Необходимые условия договора, обеспечивающего адекватную защиту прав субъектов персональных данных, определяются уполномоченным органом по защите прав субъектов персональных данных.»;
б) дополнить частью 5 следующего содержания:
«5. В случае передачи оператору, находящемуся на территории Российской Федерации, персональных данных, обработанных за пределами территории Российской Федерации, положения настоящего Федерального закона применяются к обработке персональных данных, осуществляемой исключительно на территории Российской Федерации.»;
8) в части 4 статьи 18:
а) пункт 4 после слова «осуществления» дополнить словами «деятельностизарегистрированного средства массовой информации,»;
б) дополнить пунктом 6 следующего содержания:
«6) персональные данные подлежат опубликованию или обязательному раскрытию в соответствии с федеральным законом.»;
9) в статье 181:
а) в части 3 слова «являющимися государственными или муниципальными органами» заменить словами «обрабатывающими персональные данные для целей предоставления государственных и муниципальных услуг, являющимися федеральными органами исполнительной власти, органами государственных внебюджетных фондов, исполнительными органами государственной власти субъектов Российской Федерации и органами местного самоуправления, осуществляющими исполнительно-распорядительные полномочия.»;
б) дополнить частью 5 следующего содержания:
«5. Оператор обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о факте неправомерного раскрытия персональных данных неопределенному кругу лиц.»;
10) в абзаце первом части 2 статьи 19 слово «достигается» заменить словами «может достигаться»;
11) в статье 22:
а) в части 2:
пункт 2 изложить в следующей редакции:
«2) полученных оператором в связи с намерением субъекта персональных данных заключить договор или в связи с заключением договора, стороной которого или выгодоприобретателем является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных или без иных оснований, установленных законодательством Российской Федерации, и используются оператором исключительно для оценки возможности заключения указанного договора, его заключения и исполнения;»;
пункт 4 после слов»персональных данных» дополнить словами «или с согласия субъекта персональных данных»;
б) часть 4 после слов «при их обработке»дополнить словами «и персональных данных лица,ответственного за организацию обработки персональных данных,»;
12) статью 25 дополнить частью 6 следующего содержания:
«6. До дня принятия нормативных правовых актов, указанных в части 5 статьи 19 настоящего Федерального закона, операторы вправе в локальных актахсамостоятельно определять угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки. Указанные локальные акты подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.».
Статья 2
1) пункт 58 части 2 статьи 28.3 Кодекса Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, № 1, ст. 1; № 44, ст. 4295; 2003, № 27, ст. 2700, 2708, 2717; № 46, ст. 4434; № 50, ст. 4847, 4855; 2004, № 31, ст. 3229; № 34, ст. 3529, 3533; 2005, № 1, ст. 9, 13; № 10, ст. 763; № 13, ст. 1077; № 19, ст. 1752; № 27, ст. 2719, 2721; № 30, ст. 3104, 3131; 2006, № 1, ст. 10; № 10, ст. 1067; № 12, ст. 1234; № 17, ст. 1776; № 18, ст. 1907; № 19, ст. 2066; № 23, ст. 2380; № 31, ст. 3420, 3438, 3452; № 45, ст. 4641; № 50, ст. 5279; № 52, ст. 5498; 2007, № 1, ст. 21, 29; № 30, ст. 3755; № 31, ст. 4007, 4008, 4015; № 41, ст. 4845; № 43, ст. 5084; 2008, № 18, ст. 1941; № 20, ст. 2251; № 30, ст. 3604; № 52, ст. 6235; 2009, № 7, ст. 777; № 23, ст. 2759; № 26, ст. 3120, 3122; № 29, ст. 3642; № 30, ст. 3739; № 52, ст. 6412; 2010, № 1, ст. 1; № 21, ст. 2525; № 23, ст. 2790; № 27, ст. 3416; № 30, ст. 4006, 4007; № 31, ст. 4164, 4195, 4207, 4208; № 41, ст. 5192; № 49, ст. 6409; 2011, № 1, ст. 10, 23, 54; № 7, ст. 901; № 17, ст. 2310; № 23, ст. 3260; № 27, ст. 3873; № 29, ст. 4290, 4298; № 30, ст. 4573, 4585, 4590, 4598, 4600, 4605; № 46, ст. 6406; № 49, ст. 7061; № 50, ст. 7342, 7345, 7351, 7352, 7355, 7362, 7366; 2012, № 10, ст. 1166; № 19, ст. 2278, 2281; № 24, ст. 3082; № 31, ст. 4320, 4330; № 47, ст. 6402, 6403; № 49, ст. 6757; № 53, ст. 7577, 7602, 7640; 2013, № 14, ст. 1651, 1666; № 19, ст. 2323; № 26, ст. 3207, 3208; № 27, ст. 3454; № 30, ст. 4025, 4029, 4030, 4031, 4032, 4034, 4036, 4040, 4044, 4078, 4082; № 31, ст. 4191; № 43, ст. 5443, 5444; № 44, ст. 5643)после слов «частями 1 и 2 статьи 13.5,» дополнить словами «статьей 13.11,».
Президент
Российской Федерации