Статья 1
Внести в Федеральный закон «Об информации, информационных технологиях и о защите информации» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3448; 2010, № 31, ст. 4196; 2011, № 15, ст. 2038; № 30, ст. 4600; 2012, № 31, ст. 4328; 2013, № 14, ст. 1658; № 23, ст. 2870; № 27, ст. 3479; № 52, ст. 6961, 6963; 2014, № 19, ст. 2302; № 30, ст. 4223, 4243; № 48, ст. 6645; 2015, № 1, ст. 84; № 27, ст. 3979; № 29, ст. 4389, 4390; 2016, № 26, ст. 3877; № 28, ст. 4558; № 52, ст. 7491; 2017, № 18, ст. 2664; № 24, ст. 3478; № 25, ст. 3596, № 27, ст. 3953, № 31, ст. 4790, 4825, 4827, № 48, ст. 7051; 2018, № 1, ст. 66, № 18, ст. 2572; № 27, ст. 3956; Российская газета, 2018, № 160) следующие изменения:
1) дополнить статью 1 частью 3 следующего содержания:
«3. Положения статей 122-124 настоящего Федерального закона не распространяются на отношения, возникающие в связи со сбором, записью, систематизацией и анализом данных для целей исследования объема зрительской аудитории телеканалов (телепрограмм, телепередач) в соответствии с законодательством Российской Федерации о средствах массовой информации.»;
2) дополнить статью 2 пунктами 21-23 следующего содержания:
«21) большие пользовательские данные – совокупность не содержащей персональных данных информации о физических лицах и (или) их поведении, не позволяющая без использования дополнительной информации и (или) дополнительной обработки определить конкретное физическое лицо, собираемой из различных источников, в том числе сети «Интернет», количество которых превышает тысячу сетевых адресов;
22) оператор больших пользовательских данных – федеральный орган исполнительной власти, орган исполнительной власти субъекта Российской Федерации, орган местного самоуправления, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку больших пользовательских данных, а также определяющие цели их обработки, состав больших пользовательских данных, подлежащих обработке, действия (операции), совершаемые с большими пользовательскими данными;
23) обработка больших пользовательских данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с большими пользовательскими данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу, удаление, уничтожение больших пользовательских данных.»;
3) дополнить статьями 122- 124 следующего содержания:
Статья 122. Особенности государственного регулирования обработки больших пользовательских данных
1. Оператор больших пользовательских данных до начала обработки больших пользовательских данных, за исключением случая, если в рамках такой обработки предполагается на безвозмездной основе или за плату передача больших пользовательских данных третьим лицам и (или) получение больших пользовательских данных у третьих лиц, и (или) иная обработка больших пользовательских данных для третьих лиц (далее – обработка больших пользовательских данных для целей третьих лиц), размещает на своем сайте в сети «Интернет» информационное сообщение, а при отсутствии такого сайта иным доступным способом информирует в электронной форме пользователя абонентского терминала (пользовательского оборудования) о своем намерении осуществлять такую обработку (далее – информационное сообщение).
Требования к информационному сообщению и его форма устанавливаются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.
2. Оператор больших пользовательских данных до начала обработки больших пользовательских данных для целей третьих лиц обязан получить информированное согласие в электронной форме пользователя абонентского терминала (пользовательского оборудования) об идентификации сетевого адреса (далее – информированное согласие).
Требования к информированному согласию и его форма устанавливаются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.
3. Оператор больших пользовательских данных, осуществляющий обработку, в том числе сбор больших пользовательских данных посредством идентификации не менее ста тысяч сетевых адресов, за исключением федерального органа исполнительной власти, органа исполнительной власти субъекта Российской Федерации, органа местного самоуправления, обязан уведомить федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, о своем намерении осуществлять обработку больших пользовательских данных для целей третьих лиц.
4. Уведомление, предоставляемое оператором больших пользовательских данных федеральному органу исполнительной власти, осуществляющему функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, (далее – уведомление об обработке больших пользовательских данных) должно содержать следующие сведения:
1) наименование (фамилию, имя, отчество), адрес оператора больших пользовательских данных;
2) цель обработки больших пользовательских данных;
3) перечень действий с большими пользовательскими данными, общее описание используемых оператором больших пользовательских данных способов обработки;
4) дату начала обработки больших пользовательских данных для целей третьих лиц.
Порядок предоставления уведомления об обработке больших пользовательских данных, требования к уведомлению и его форма устанавливаются федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.
5. Оператор больших пользовательских данных не вправе осуществлять обработку больших пользовательских данных:
указанную в части 1 настоящей статьи до размещения на своем сайте в сети «Интернет» информационного сообщения, а при отсутствии такого сайта до информирования в электронной форме пользователя абонентского терминала (пользовательского оборудования) иным доступным способом в соответствии с частью 1 настоящей статьи;
для целей третьих лиц до получения информированного согласия в соответствии с частью 2 настоящей статьи;
направленную на определение (идентификацию) конкретного физического лица, за исключением случаев такой обработки по запросам федеральных органов исполнительной власти, осуществляющих оперативно-розыскную деятельность.
Оператор больших пользовательских данных, осуществляющий сбор больших пользовательских данных посредством идентификации не менее ста тысяч сетевых адресов, за исключением федерального органа исполнительной власти, органа исполнительной власти субъекта Российской Федерации, органа местного самоуправления, в дополнение к ограничениям, установленным настоящей частью, не вправе осуществлять обработку больших пользовательских данных для целей третьих лиц до направления уведомления об обработке больших пользовательских данных в адрес федерального органа исполнительной власти, осуществляющего функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи.
6. Деятельность хозяйственных обществ, входящих в одну группу лиц в соответствии с законодательством Российской Федерации о защите конкуренции, в части передачи и (или) получения больших пользовательских данных, и (или) иной обработки больших пользовательских данных между ними не является обработкой больших пользовательских данных для целей третьих лиц.
Статья 123. Реестр операторов больших пользовательских данных
1. Федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в порядке, установленном Правительством Российской Федерации, создается и ведется федеральная государственная информационная система «Реестр операторов больших пользовательских данных» (далее – реестр операторов больших пользовательских данных).
2. В целях эксплуатации реестра операторов больших пользовательских данных федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, может привлекать в соответствии с законодательством Российской Федерации подведомственные и иные организации.
3. Реестр операторов больших пользовательских данных формируется из состава сведений, предоставляемых операторами больших пользовательских данных в обязательном порядке в соответствии с частью 4 статьи 122 настоящего Федерального закона.
4. Основанием для включения сведений об операторе больших пользовательских данных в реестр операторов больших пользовательских данных является получение федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, от оператора больших пользовательских данных уведомления об обработке больших пользовательских данных.
Статья 124. Контроль и надзор за обработкой больших пользовательских данных
1. Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере средств массовой информации, массовых коммуникаций, информационных технологий и связи, в целях обеспечения контроля и надзора за соответствием обработки больших пользовательских данных требованиям настоящего Федерального закона имеет право:
1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке больших пользовательских данных, и (или) привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3) осуществлять проверку фактов передачи на безвозмездной основе и (или) за плату больших пользовательских данных третьим лицам, получения больших пользовательских данных от третьих лиц, иной обработки больших пользовательских данных для третьих лиц операторами больших пользовательских данных, в том числе не включенными в реестр операторов больших пользовательских данных.».
Статья 2
Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней после дня его официального опубликования.
Президент Российской Федерации