2. В случае подтверждения факта недостоверности персональных данных оператор обязан на основании документов, представленных субъектом персональных данных, исправить их и снять блокирование.

3. В случае установления неправомерности действий с персональными данными либо достижения цели их обработки оператор обязан уничтожить соответствующие данные в срок, не превышающий 3 дней с даты такого установления, и официально уведомить об этом субъекта персональных данных, если иное не предусмотрено федеральными законами.

Статья 20. Обязанности оператора персональных данных, касающиеся ответа на запрос субъекта персональных данных.

1. Оператор обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение 10 дней с даты получения запроса в порядке, предусмотренном статьей 12 настоящего Федерального закона.

2. В случае отказа в предоставлении субъекту персональных данных по его требованию информации о наличии персональных данных о нем, а также самих персональных данных оператор обязан дать письменный мотивированный ответ, содержащий ссылку на положение, указанное в статье 12 настоящего Федерального закона или в иных федеральных законах, являющееся основанием для такого отказа, в срок, не превышающий 7 дней с даты получения запроса субъекта персональных данных.

Глава 5. Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований по защите персональных данных

Статья 21. Уполномоченный орган по защите прав субъектов персональных данных.

1. Правительство Российской Федерации определяет уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием сбора и обработки персональных данных требованиям настоящего Федерального закона.

2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания и способов обработки персональных данных цели их обработки и принимает соответствующее решение.

3. Уполномоченный орган по защите персональных данных имеет право:

1) бесплатно получать от физических и юридических лиц информацию, необходимую для реализации своих полномочий;

2) осуществлять проверку сведений, сообщаемых операторами при регистрации информационных систем персональных данных;

3) требовать уточнения (исправления), блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) составлять протоколы в порядке административного производства о нарушениях настоящего Федерального закона в части сбора и обработки персональных данных.

4. В отношении персональных данных, ставших известными уполномоченному органу по защите прав субъектов персональных данных в ходе осуществления им своей деятельности, должна обеспечиваться их конфиденциальность.

5. Решения уполномоченного органа по защите прав субъектов персональных данных могут быть обжалованы в судебном порядке.

6. Уполномоченный орган по защите прав субъектов персональных данных ежегодно представляет отчет о своей деятельности в Правительство Российской Федерации.

Отчет публикуется в средствах массовой информации.

Статья 22. Реестр информационных систем персональных данных.

1. Информация, предоставленная в соответствии с частью 4 статьи 16 настоящего Федерального закона, дата регистрации информационной системы персональных данных (или ее аннулирования) должны быть занесены в реестр информационных систем персональных данных, который ведется уполномоченным органом по защите прав субъектов персональных данных.

2. Информация, содержащаяся в реестре информационных систем персональных данных, за исключением сведений о средствах обеспечения целостности и сохранности персональных данных, является общедоступной.

Статья 23. Идентификаторы персональных данных.

1. Органы государственной власти Российской Федерации, органы государственной власти субъектов Российской Федерации и органы местного самоуправления при реализации своих полномочий присваивают уникальные и постоянные для каждого лица идентификаторы персональных данных, формируемые в соответствии с законодательством Российской Федерации.

2. Идентификаторы персональных данныхдолжны применяться в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления в соответствии с порядком использования таких идентификаторов, установленных нормативными правовыми актами Российской Федерации, и при соблюдении требований к обеспечению конфиденциальности персональных данных.

3. Оператор не вправе, за исключением случаев, предусмотренных законодательством Российской Федерации:

1) требовать от субъекта персональных данных сообщения идентификатора персональных данных, присвоенного такому субъекту другим оператором;

2) передавать или иным способом сообщать идентификаторы персональных данных третьим лицам.

Статья 24. Государственный регистр населения Российской Федерации.

1. В целях обеспечения непротиворечивости содержащихся в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления персональных данных физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации, создается государственный регистр населения Российской Федерации.

2. Государственный регистр населения Российской Федерации содержит идентификаторы персональных данных всех физических лиц, постоянно или временно проживающих или пребывающих на территории Российской Федерации.

3. Государственный регистр населения Российской Федерации ведется уполномоченным федеральным органом исполнительной власти, определяемым Президентом Российской Федерации.

Статья 25. Ответственность за нарушение требований о защите персональных данных.

1. В случае нарушения оператором требований настоящего Федерального закона уполномоченный орган по защите прав субъектов персональных данных может аннулировать регистрацию информационной системы персональных данных либо потребовать устранения нарушения.

После аннулирования регистрации информационной системы персональных данных обработка персональных данных в ней запрещается.

Персональные данные, обработанные до аннулирования регистрации, подлежат уничтожению, если иное не установлено нормативными правовыми актами Российской Федерации применительно к персональным данным, содержащимся в информационных системах персональных данных органов государственной власти Российской Федерации, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.

Оператор, регистрация информационной системы персональных данных которого аннулирована, обязан в срок, не превышающий 5 рабочих дней с даты аннулирования регистрации, уведомить уполномоченный орган по защите прав субъектов персональных данных об уничтожении персональных данных, обработанных до аннулирования регистрации.

2. В случае нарушения права на неприкосновенность частной жизни при обработке персональных данных оператор несет предусмотренную законодательством Российской Федерации ответственность.

Статья 26. Заключительные положения.

1. Настоящий Федеральный закон вступает в силу со дня его официального опубликования, за исключением абзаца второго части 1 статьи 16 настоящего Федерального закона.

2. Абзац второй части 1 статьи 16 настоящего Федерального закона вступает в силу с 1 января 2007 года.

Президент Российской Федерации

В.В. Путин