27 июля 2011 года был опубликован и вступил в силу подписанный Президентом Российской Федерации Дмитрием Медведевым Закон «О внесении изменений в Федеральный закон «О персональных данных». Закон, вызвавший массу дискуссий на самых разных уровнях нашего общества, претерпел серьезные изменения, которые направлены на уточнение некоторых спорных положений, снятие противоречий и правовых коллизий, а также на нахождение баланса между интересами субъектов и операторов персональных данных. Удалось ли этого добиться, покажут время и правоприменительная практика.

Изменения в терминологии, используемой в федеральном законе

В новой редакции уточнены некоторые понятия, используемые в федеральном законе. Термин «персональные данные» стал еще более широким, что уже ближе к европейским нормам. Добавился термин «автоматизированная обработка», в котором четко определено, что использование любых средств вычислительной техники автоматически делает обработку автоматизированной. Некоторые эксперты ранее заявляли, что работа с отдельными Excel-таблицами, содержащими персональные данные, не относится к автоматизированной обработке. Эксперты компании LETA всегда высказывались против такого мнения, и внесенные изменения подтвердили нашу точку зрения. Термин «обезличивание персональных данных» был дополнен уточнением, указывающим на то, что обезличенной считается любая информация, которая сама по себе (без дополнительных источников информации) не позволяет определить принадлежность ее субъекту персональных данных.

Изменения в условиях обработки персональных данных

Согласно предыдущей редакции закона обработка персональных данных допускалась только с согласия субъекта, за некоторыми исключениями, которые были перечислены в тексте закона. В новой редакции данный подход несколько изменился. В соответствии с п. 1 ст. 6 обработка персональных данных допускается в ряде случаев (всего 11), одним из которых является наличие согласия на обработку персональных данных. Фактически это несколько упрощает вопрос наличия легитимного основания для обработки персональных данных и серьезно снижает количество ситуаций, при которых необходимо получение от субъекта согласия на обработку его персональных данных.

Также новой редакцией статьи 6 вводится возможность передачи обработки персональных данных от оператора другим лицам. При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. Однако нужно понимать, что в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица все равно несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность только перед оператором.

Изменения в форме предоставления согласия

В соответствии с новой редакцией федерального закона согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Таким образом, создаются предпосылки для применения так называемой конклюдентной формы согласия.

Для письменной формы согласия введено дополнение о необходимости указания в ней наименования или фамилии, имени, отчества и адреса лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу.

Изменения в вопросах трансграничной передачи персональных данных

И предыдущая, и вновь принятая редакции федерального закона определяли, что оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных до начала осуществления трансграничной передачи персональных данных. Однако ранее никак не разъяснялось, какие же страны обеспечивают адекватную защиту. Согласно внесенным поправкам к таким странам относятся иностранные государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также другие страны, внесенные Роскомнадзором в перечень стран, обеспечивающих адекватную защиту. Указанный перечень должен быть опубликован на сайте Роскомнадзора.

Изменения в части взаимодействия с субъектом персональных данных

Еще одно позитивное изменение в новой редакции федерального закона касается сроков реагирования на запросы субъектов персональных данных. Ранее сроки реагирования составляли от 3 до 10 дней. В новой редакции они увеличены до 30 дней.

Кроме того, определено, что повторный запрос от субъекта персональных данных в целях получения сведений от оператора может быть направлен также не ранее чем через 30 дней, что исключает ситуацию, при которой субъект мог «заваливать» организацию различными запросами.

Изменения в части организации порядка обработки и защиты персональных данных

Одним из нововведений новой редакции закона является то, что теперь оператор, являющийся юридическим лицом, должен назначить лицо, ответственное за организацию обработки персональных данных, которое будет обязано, в частности:

• осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

• доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
• организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов. 

Помимо этого, оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Одним из наиболее простых способов публикации является официальный веб-сайт организации.

Кроме того, в рамках обеспечения защиты персональных данных в организации должна быть проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим федеральным законом.

Изменения в части мер, необходимых для защиты персональных данных

В соответствии с требованиями новой редакции федерального закона обеспечение безопасности персональных данных достигается, в частности:

1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
5. учетом машинных носителей персональных данных;
6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Требования к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных, о которых в свою очередь говорится в п. 2, должны быть определены в соответствующих постановлениях Правительства РФ, которые пока не изданы. Кроме того, после публикации данных постановлений следует ожидать появление методических документов от ФСТЭК и ФСБ, определяющих состав и содержание необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого уровня защищенности, организационных и технических мер по обеспечению безопасности персональных данных.

Изменения в части ответственности за неисполнение требований закона

В новой редакции также несколько расширена ответственность за нарушение требований закона. Помимо того что лица, виновные в нарушении требований закона, несут предусмотренную законодательством Российской Федерации ответственность, вводится еще и понятие морального вреда.

Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных федеральным законом, а также требований к защите персональных данных, установленных в свою очередь в соответствии с федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Изменения в части уведомления уполномоченного органа

Помимо того что в новой редакции закона сохранились нормы, обязывающие операторов уведомлять уполномоченный орган (в настоящее время – Роскомнадзор), дополнительно к этому установлено, что все (!) операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных следующие сведения:

• правовое основание обработки персональных данных;
• фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
• сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

• сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.

На основании всего вышеизложенного можно отметить, что за некоторыми исключениями, новая редакция федерального закона содержит достаточно понятные и выполнимые нормы, соблюдение которых уже сейчас контролируется соответствующими уполномоченными органами, а значит, и бездействие в этой ситуации грозит для организаций санкциями как со стороны проверяющих органов, так и со стороны субъектов персональных данных в случае нарушения их законных прав и интересов. И недавние утечки персональных данных со стороны операторов связи, интернет-магазинов и других организаций это только подтверждают.