Обзор законодательства Российской Федерации: Персональные данные, личная и семейная тайна

Обзор законодательства Российской Федерации в сфере информационной безопасности — Часть 2: Персональные данные, личная и семейная тайна.

Персональные данные и защита частной жизни в России

Конституция России предусматривает, что каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.

Оглавление (показать/скрыть)

Часть 1: Общий обзор законодательства Российской Федерации в сфере информационной безопасности
Часть 2: Персональные данные, личная и семейная тайна
Часть 3: Государственная тайна
Часть 4: Коммерческая тайна
Часть 5: Иные виды тайн
Часть 6: Криптография
Часть 7: Техническая защита информации
Часть 8: Прослушка
Часть 9: Борьба с киберпреступностью

Неприкосновенность частной жизни, личная и семейная тайна относятся к объектам гражданских прав и защищаются всеми способами, предусмотренными Гражданским кодексом (прежде всего, в исковом порядке, путем возмещения причиненного морального вреда). Суды, по заявлениям граждан, присуждают им возмещение морального вреда (как правило, в сравнительно небольших суммах), причиненного нарушением неприкосновенности частной жизни: распространением информации в СМИ, опубликованием личной переписки, раскрытием фактов личной жизни гражданина.

В 2001 году Россия подписала, а в 2005 – ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. В целях имплементации Конвенции был принят отдельный Федеральный закон «О персональных данных», по структуре аналогичный директиве 95/46/ЕС и вступивший в силу в 2007 году. Таким образом, в России сложилась двойная система охраны личной информации: как в рамках собственно охраны неприкосновенности частной жизни, личной и семейной тайны, так и в рамках особого правового режима информации, относящейся к персональным данным, и необязательно являющейся тайной.

Основные понятия

Персональные данные определяются законом как любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Закон не содержит никаких указаний относительно сложности способов, позволяющих сопоставить данные лицу, таким образом, определяя понятие персональных данных максимально широко.

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая:

сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Субъектами отношений в области  обработки персональных данных являются сам субъект персональных данных (физическое лицо), а также оператор — любое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Субъектом отношений по обработке персональных данных также является лицо, действующее по поручению оператора (для такого лица отдельный термин в законе не предусмотрен). Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

Законом различаются автоматизированная и неавтоматизированная обработка персональных данных.  Автоматизированной признается обработка персональных данных с помощью средств вычислительной техники. Обработка, осуществляемая в отсутствие таких средств, регулируется законом, только если она соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации. Например, если она позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным. Основным случаем автоматизированной обработки является обработка в информационной системе персональных данных, под которой понимается совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Отдельно стоит обратить внимание на закрепленное законом понятие обезличивания персональных данных. Под ним понимаются действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Роскомнадзором утверждены требования и методы по обезличиванию персональных данных.

К свойствам обезличенных данных относятся:

• полнота (сохранение всей информации о конкретных субъектах или группах субъектов, которая имелась до обезличивания);
• структурированность (сохранение структурных связей между обезличенными данными конкретного субъекта или группы субъектов, соответствующих связям, имеющимся до обезличивания);
• релевантность (возможность обработки запросов по обработке персональных данных и получения ответов в одинаковой семантической форме);
• семантическая целостность (сохранение семантики персональных данных при их обезличивании);
• применимость (возможность решения задач обработки персональных данных, стоящих перед оператором), без предварительного деобезличивания всего объема записей о субъектах).
• анонимность (невозможность однозначной идентификации субъектов данных, полученных в результате обезличивания, без применения дополнительной информации).

Роскомнадзор считает, что обезличивание является обратимым процессом (то есть существует возможность преобразования, обратного обезличиванию (деобезличивание), которое позволит привести обезличенные данные к исходному виду, позволяющему определить принадлежность персональных данных конкретному субъекту, устранить анонимность).

Принципы и условия обработки персональных данных

Закон называет 7 принципов обработки персональных данных:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.
2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Закон предусматривает закрытый перечень из 11 случаев, в которых могут обрабатываться персональные данные (для специальных категорий персональных данных и биометрических данных предусмотрен отдельный перечень):

1. имеется согласие субъекта персональных данных на обработку его персональных данных;
2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3. обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
4. обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
5. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
6. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
7. обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
8. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
9. обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
10. осуществляется обработка персональных данных, сделанных общедоступными субъектом персональных данных;
11. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается только в следующих случаях:

1. субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2. персональные данные сделаны общедоступными субъектом персональных данных;
3. обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
4. обработка персональных данных осуществляется в соответствии с Федеральным законом «О Всероссийской переписи населения»;
5. обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
6. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
7. обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
8. обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
9. обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
10. обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
11. обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
12. обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
13. обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
14. обработка персональных данных осуществляется в соответствии с законодательством о гражданстве Российской Федерации.

Обработка Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии, за исключением случаев, предусмотренных частью 2 настоящей статьи.

Обработка биометрических персональных данных (данных, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) может осуществляться только в случаях

1. наличия согласия в письменной форме субъекта персональных данных;
2. реализации международных договоров Российской Федерации о реадмиссии;
3. осуществления правосудия и исполнения судебных актов;
4. в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.

Трансграничная передача персональных данных по умолчанию разрешается только в отношении иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. Перечень иностранных государств, не являющихся сторонами Конвенции и обеспечивающих адекватную защиту прав субъектов персональных данных, составляется и публикуется Роскомнадзором.

Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.

Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:

1. наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных;
2. предусмотренных международными договорами Российской Федерации;
3. предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
4. исполнения договора, стороной которого является субъект персональных данных;
5. защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

Отдельно стоит отметить требования, распространяющиеся на сбор персональных данных, в том числе посредством Интернета. В этом случае оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации (требование о локализации данных). Данное требование не распространяется на обработку персональных данных в следующих случаях:

1. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
2. обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
3. обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;
4. обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

Также требуется особое согласие субъектов персональных данных при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке, а также в целях политической агитации; при принятии решений на основании исключительно автоматизированной обработки их персональных данных.

Права субъекта данных и обязанности оператора. Ответственность

Субъект персональных данных имеет право на получение от оператора обширного перечня сведений, указанных в законе. Это право ограничивается только в случаях, связанных с осуществлением оператором правоохранительной деятельности, а также если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

Если персональные данные получены не от самого субъекта персональных данных, оператор до начала обработки таких персональных данных обязан уведомить субъекта о начале обработки его данных. Из этой обязанности сделаны следующие исключения:

1. субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;
2. персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
3. персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
4. оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
5. уведомление субъекта персональных данных  нарушает права и законные интересы третьих лиц.

Субъект персональных данных вправе обжаловать незаконные действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке. Законом также подробно регламентированы обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных на основании запроса субъекта персональных данных или уполномоченного органа.

Федеральный закон «О персональных данных» предусматривает ответственность оператора перед субъектом персональных данных в виде возмещения причиненного последнему морального вреда и убытков.

За нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных установлена также административная ответственность в виде штрафа в размере от трехсот до пятисот рублей для граждан; от пятисот до одной тысячи рублей должностных лиц; от пяти тысяч до десяти тысяч рублей юридических лиц. Тем самым, законодательство не мотивирует операторов к соблюдению правил обработки персональных данных.

Конфиденциальность и безопасность персональных данных

Персональные данные не относятся к информации ограниченного доступа, однако, в соответствии с законом, операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В целях  выполнения возложенных законом на оператора обязанностей, оператор разрабатывает и воплощает меры, включающие в себя, в частности:

1. назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2. издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных и устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства, устранение последствий таких нарушений;
3. применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4. осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему закону и политике оператора в отношении обработки персональных данных;
5. оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона, соотношение указанного вреда и принимаемых оператором мер;
6. ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства, документами, определяющими политику оператора в отношении обработки персональных данных, и (или) обучение указанных работников.

Перечень мер для операторов,  являющихся государственными или муниципальными органами, устанавливается Правительством России.

Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием Интернета, обязан опубликовать на сайте документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных.

Обеспечение безопасности персональных данных при их обработке достигается, в соответствии с законом, путем:

1. определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2. применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3. применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4. оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5. учета машинных носителей персональных данных;
6. обнаружения фактов несанкционированного доступа к персональным данным и принятием мер;
7. восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8. установления правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечениея регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9. контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1. уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
2. требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
3. требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются ФСБ России и ФСТЭК России.

ФСБ России и ФСТЭК России осуществляют контроль и надзор за реализацией требований к информационной безопасности персональных данных при их обработке только в отношении  государственных информационных систем. Для остальных информационных систем требования по информационной безопасности де-факто являются рекомендательными.

Уполномоченный орган

Уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор. Он наделен широкими полномочиями по контролю и надзору за операторами. В частности, он имеет право:

1. запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;
2. осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
3. требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;
4. ограничивать доступ к информации, обрабатываемой с нарушением законодательства в области персональных данных;
5. принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона;
6. обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде;
7. направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;
8. направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;
9. вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;
10. привлекать к административной ответственности лиц, виновных в нарушении закона.

К полномочиям Роскомнадзора относится рассмотрение жалоб и обращений граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, и принятие решений по результатам рассмотрения указанных жалоб и обращений.

Оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных, за исключением случаев обработки персональных данных:

1. в соответствии с трудовым законодательством;
2. полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3. относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией,  при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4. сделанных субъектом персональных данных общедоступными;
5. включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6. необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7. включенных в государственные автоматизированные информационные системы персональных данных;
8. обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9. обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности.

Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление должно содержать следующие сведения:

1. наименование (фамилия, имя, отчество), адрес оператора;
2. цель обработки персональных данных;
3. категории персональных данных;
4. категории субъектов, персональные данные которых обрабатываются;
5. правовое основание обработки персональных данных;
6. перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;
7. описание мер, направленных на выполнение обязанностей оператора, и обеспечение информационной безопасности персональных данных , в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
8. фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
9. дата начала обработки персональных данных;
10. срок или условие прекращения обработки персональных данных;
11. сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
12. сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
13. сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

Роскомнадзор в течение тридцати дней с даты поступления уведомления об обработке персональных данных вносит данные из уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

Читать далее: Часть 3: Государственная тайна