Правила меняются во время игры.
Законом, в частности, предусматривается, что нормативные правовые акты по отдельным вопросам обработки персональных данных могут принимать не только государственные органы, как это установлено в настоящее время, но и органы местного самоуправления, а также Банк России. Такие акты принимаются во исполнение федеральных законов и в пределах полномочий указанных органов и Банка России.
Наиболее важные изменения коснулись статьи 18, в частности, введением статьей 18.1 — «Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим законом». Теперь многие требования по обеспечению безопасности персональных данных вышли на федеральный уровень, в отличие от предыдущего закона, когда требования устанавливались актами Правительства РФ и регуляторами. Сюда можно включить и требование об организационно-технических мерах по обеспечению безопасности персональных данных, и ознакомление работников оператора с положениями законодательства РФ о персональных данных.
Новый закон эклектичен относительно подходов правового регулирования: например, пункт 5 части 1 статьи 18.1 вводит новеллу — «оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального Закона…». Подобный принцип регулирования на сегодняшний день действует за рубежом и его можно увидеть в международно-правовом законодательстве. Следует отметить, что за границей это выражается в либеральном и демократичном подходе, в то время как новый Закон (в продолжение старого) подразумевает иную концепцию, которая выражается в статье 19 Закона — «Меры по обеспечению безопасности персональных данных при их обработке». В данной статье перечислены требования безопасности, необходимые для исполнения операторами. Вводится такое понятие как «уровень защищенности» персональных данных. Операторы должны осуществлять внутренний контроль или аудит соответствия обработки персональных данных федеральному законодательству и требованиям к их защите, а также оценивать вред, который может быть причинен субъектами персональных данных в случае нарушения указанных требований.
Изменения коснулись не только операторов, но и правового статуса субъектов. Например, статья 14 Закона дополняет перечень ограничений, при которых право субъекта персональных данных на доступ к своим персональным данным ограничивается. Согласно статье 9 Закона согласие на обработку персональных данных может быть дано субъектом или его представителем в любой форме, подтверждающей факт его получения. В пункте 6 той же статьи, в случае недееспособности субъекта персональных данных согласие на обработку дает его законный представитель.
Подробно описан правовой режим деятельности лиц, которым поручена операторам обработка персональных данных, то есть тем, кто обрабатывает их, если у компании нет на это собственных ресурсов.
Итак, новый Закон несколько изменил правовой статус операторов персональных данных. Многие нормы «перешли» из подзаконных нормативных правовых актов, более подробно описывающих права и обязанности операторов, при этом несколько улучшив их положение, но принципиально его не изменив.
Скорее всего, история с поправками только начинается. На очереди подзаконные акты Правительства РФ, а также ведомственные документы регуляторов, которые должны быть приведены в соответствие с новым законом.
Компания «ИнфоТехноПроект» приглашает всех специалистов по работе с персональными данными, независимо от сферы деятельности компаний, на семинар «Старый новый Федеральный закон «О персональных данных» (http://seminar-itp.ru/), который состоится 09 августа 2011 года. Посетив его вы сможете получить ответы на все вопросы, касающиеся организации работы с персональными данными, в соответствии внесенными изменениями в Федеральный закон № 152-ФЗ «О персональных данных».
Пресс-служба «ИнфоТехноПроект»