Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных», принятый Государственной Думой 5 июля 2011 года и одобренный Советом Федерации 13 июля 2011 года, подписан Президентом Российской Федерации Д.А. Медведевым 26 июля 2011 года. Закон вступает в силу со дня его официального опубликования, а действие его положений будет распространяться на правоотношения, возникшие с 1 июля 2011 года.

Федеральный закон уточняет сферу действия закона «О персональных данных», используемые в нём основные понятия, принципы и условия обработки персональных данных.

Новая редакция закона в большей степени учитывает европейский опыт регулирования обработки персональных данных, в частности, требования Дополнительного протокола к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации (Страсбург, 8 ноября 2001 г.) и Директивы 95/46/ЕС о защите физических лиц при обработке их персональных данных. Положения европейских документов нашли отражение в понятии персональных данных, которое стало более конкретным, перечне действий, считающихся обработкой персональных данных (перечень расширен), условиях трансграничной передачи персональных данных (такая передача допускается в страны-участницы упомянутой Конвенции или иные страны, обеспечивающие защиту персональных данных в соответствии с требованиями Конвенции), принципах обработки персональных данных.

Под персональными данными теперь понимается «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (ранее – «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация»).

Существенное внимание в новом законе уделяется мерам по обеспечению безопасности персональных данных при их обработке. Закон определяет перечень таких мер, а также предусматривает, что уровни защищённости персональных данных при их обработке в информационных системах персональных данных, требования к их защите, а также к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем устанавливаются Правительством Российской Федерации. Ассоциации, союзы и иные объединения операторов с учётом осуществляемой ими деятельности вправе определять дополнительные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Федеральным законом также определяются федеральные органы исполнительной власти, осуществляющие контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке.

Законом предусматривается, что нормативные правовые акты по отдельным вопросам обработки персональных данных могут принимать не только государственные органы, но и органы местного самоуправления, и Банк России – во исполнение федеральных законов и в пределах своих полномочий.

Согласие субъекта персональных данных поставлено в один ряд с другими возможными случаями обработки (на основании закона, международных договоров, для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных). Расширен перечень случаев обработки персональных данных без согласия субъекта (заключение договора с субъектом персональных данных или договора, по которому субъект является выгодоприобретателем или поручителем; осуществление функций оператора, установленных законодательством, или прав и обязанностей оператора).

В принципах обработки персональных данных акцентируется внимание на законности их обработки, соответствии содержания и объёма обрабатываемых персональных данных заявленным целям обработки.

Существенно переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных. В частности, подробно описан правовой режим деятельности лиц, которым обработка персональных данных передается оператором на аутсорсинг (т.н. «обработчиков»). По закону, операторам при утечке персональных данных в поисковые системы, в случае установления их вины, грозит ответственность, установленная КОАП РФ.

Источник: Минкомсвязь России