Госдума приняла поправки о требованиях к информсистемам персональных данных

Документ внес в Госдуму глава комитета по финансовому рынку Владислав Резник в ноябре 2009 года, в первом чтении документ был принят в мае 2010 года, во втором чтении - 1 июля 2011 года.

Документом вносятся значительные изменения в 9 статью закона, касающуюся мер по обеспечению безопасности персональных данных при их обработке.

Документ устанавливает необходимость использования операторами средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия. Кроме того, операторы обязаны определять угрозы безопасности, оценивать эффективность мер по обеспечению безопасности до ввода информсистемы в эксплуатацию. Прописывается требование установить правила доступа к персональным данным, а также обеспечить регистрацию и учет всех действий, совершаемых с данными в информсистеме. Перечень мер безопасности также содержит требование об обнаружении фактов несанкционированного доступа к данным и принятии соответствующих мер, а также требование восстановить данные в случае их модификации или уничтожения из-за несанкционированного доступа.

При этом правительство должно будет издать ряд подзаконных актов, в которых должны быть определены уровни защищенности данных при их обработке в информсистемах в зависимости от угроз безопасности; требования к материальным носителям биометрических данных и технологиям их хранения вне систем. В свою очередь органы исполнительной власти, органы власти субъектов РФ, Банк России и другие должны будут принять нормативные акты, в которых определят уровни угрозы безопасности в отдельных видах деятельности.

Документом также уточняется ряд понятий действующего закона. Вводится понятие автоматизированной обработки персональных данных, предоставления персональных данных. Исключается понятие использования персональных данных, конфиденциальности персональных данных, общедоступных персональных данных.

Более подробно прописываются нормы о праве оператора поручить обработку персональных данных другому лицу при согласии субъекта персональных данных.

Уточняется, что лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его данных.

В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.

В соответствии с документом субъект может дать согласие на обработку своих данных не только самостоятельно, но и через своего представителя. В этом случае оператор должен проверить сам факт согласия.

Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, в том числе при предоставлении государственных и муниципальных услуг и в том случае, если обработка необходима для осуществления правосудия.

В закон вводится новая статья о мерах, направленных на обеспечение выполнения оператором своих обязанностей. В ней в том числе говорится о том, что правительство РФ устанавливает перечень этих мер для операторов, являющихся государственными и муниципальными органами.

Закон вступит в силу со дня официального опубликования. При этом действие положений всего закона «О персональных данных» распространяется на правоотношения, возникшие с 1 июля 2011 года.

Минкомсвязи России

http://minsvyaz.ru/ru/monitoring/index.php?id_4=42599