Юридическая фирма «Розенберг и партнеры» доводит до сведения своих клиентов, что 25 июля 2011 года был принят Федеральный закон №261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных». Изменения, закрепленные в этом документе, заключаются в следующем:

• Определены фундаментальные понятия, используемые в сфере персональных данных, а также принципы обработки информации. Указаны условия, которые должны соблюдаться оператором в обязательном порядке при передаче функции обработки персональных данных третьему лицу. Это требует получения от субъектов персональных данных согласия на перепоручение работ, а также заключения между оператором и третьим лицом соответствующего договора, содержащего в себе пункты о соблюдении конфиденциальности информации, обеспечении ее безопасности, а также перечень требований для осуществления защиты персональных данных. При этом в обязанности третьего лица, являющегося непосредственным исполнителем работ, не входит получение согласия от субъектов персональных данных — ответственность перед ними в полном объеме несет оператор.
• Субъекты персональных данных, а также их представители могут давать оператору согласие на обработку информации третьим лицом в любой форме, которая позволяет в дальнейшем подтвердить факт его получения.
• Более детально регламентирована процедура передачи персональных сведений между российскими и зарубежными субъектами. Конкретный ее порядок устанавливается в зависимости от того, является ли иностранное государство, с которым осуществляется связь, участником Конвенции Совета Европы, регулирующей защиту интересов частных лиц при автоматической обработке персональной информации. Кроме этого, уполномоченным органом, осуществляющим охрану прав субъектов персональных данных, разрабатывается перечень зарубежных стран, не входящих в число участников Конвенции, но поддерживающих необходимый уровень сохранности персональных сведений.
• Установлены новые требования к запросам субъектов на доступ к их персональным данным. За исключением сведений о документе, удостоверяющем личность, в запросе должна содержаться информация, свидетельствующая о наличии договорных отношений между субъектом персональных данных и оператором. В качестве подтверждения может послужить номер договора, дата его заключения, кодовые обозначения, личная подпись субъекта либо его представителя, а также иные сведения, удостоверяющие факт обработки персональной информации оператором.
• Определены новые обстоятельства, при которых может быть ограничено право субъектов на доступ к их персональным данным: обработка персональной информации осуществляется согласно законодательным нормам о борьбе с легализацией доходов, полученных в результате преступной деятельности, о противодействии финансированию терроризма; нормам об обеспечении транспортной безопасности.
• Установлены меры, способствующие надлежащему выполнению оператором договорных обязанностей. При этом закон предоставляет право самостоятельного утверждения конкретного их перечня оператору. В частности, такими мерами могут являться: назначение должностного лица, ответственного за обработку персональной информации; издание локальных документов, регламентирующих процесс обработки данных; осуществление внутреннего контроля за выполнением работ.
• Определено понятие уровней защиты персональных данных при осуществлении их автоматической обработки в информационных системах. Они зависят от степени риска причинения вреда субъектам персональных данных, содержания и объема информации и направления деятельности, при осуществлении которой происходит обработка. Уровни защиты персональных сведений, перечень требований к ним, а также к оборудованию, на котором записываются биометрическая информация, утверждается Правительством РФ.
• Юридическое лицо, предоставляющее услуги связи, обязано иметь в своем штате сотрудника, в должностные обязанности которого входит контроль за организацией процесса обработки персональной информации. Данный работник несет ответственность за качество обработки и обеспечение защиты данных, он подчиняется исполнительному органу работодателя и подотчетен ему.
• Сотрудник, ответственный за организацию процесса обработки, обязан осуществлять проверку соблюдения оператором, а также его работниками законодательства о персональных данных, снабжать работников всей необходимой информацией законодательного характера, принимать и обрабатывать запросы, поступающие от клиентов.
• Утверждено положение, согласно которому при нарушении прав субъектов персональных данных пострадавшая сторона имеет право на возмещение морального ущерба. Данная компенсация производится отдельно от возмещения материальных убытков.
• Правом принятия нормативных актов по отдельным вопросам, имеющим отношение к обработке персональных сведений, наделены не только органы государственной власти федерального и регионального масштаба, но и Банк России, а также местное самоуправление.