(Юридическая фирма «Гольцблат БЛП», Практика трудового права)
(Подготовлен для системы КонсультантПлюс, 2011)
СОВЕРШЕНСТВОВАНИЕ ПРАВОВОЙ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
(Юридическая фирма «Гольцблат БЛП»,
Практика трудового права)
Информационное письмо N 259
Материал подготовлен с использованием правовых актов
по состоянию на 3 августа 2011 года
Юридическая фирма Goltsblat BLP сообщает, что принят Федеральный закон от 25 июля 2011 года N 261-ФЗ «О внесении изменений в Федеральный закон «О персональных данных», который вступил в силу с 27 июля 2011 г. и распространяет свое действие на правоотношения, возникшие с 1 июля 2011 г.
Данным Законом внесены существенные изменения, в том числе:
— уточнены основные понятия в области персональных данных и принципы обработки персональных данных;
— введены условия, которые оператор обязан соблюдать при поручении обработки персональных данных другому лицу. Так, для этого необходимо получить согласие субъекта персональных данных, между оператором и таким другим лицом должен быть заключен соответствующий договор, содержащий обязанность лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите персональных данных. При этом лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта на обработку его персональных данных. Ответственность перед субъектом персональных данных продолжает нести оператор;
— субъекту персональных данных или его представителю предоставлена возможность давать свое согласие на обработку персональных данных в любой форме, позволяющей подтвердить факт получения такого согласия;
— более подробно урегулирован порядок трансграничной передачи персональных данных. При этом указанный порядок зависит от того, являются ли иностранные государства сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Кроме того, уполномоченный орган по защите прав субъектов персональных данных утверждает перечень государств, не являющихся участниками названной Конвенции, однако обеспечивающих адекватную защиту прав субъектов персональных данных;
— вводятся новые требования к запросу субъекта персональных данных на доступ к его персональным данным. Помимо данных о документе, удостоверяющем личность субъекта персональных данных, запрос должен содержать сведения, подтверждающие участие этого субъекта в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя;
— указаны новые случаи, при которых право субъекта на доступ к его персональным данным может быть ограничено: обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ о транспортной безопасности;
— устанавливаются меры, направленные на обеспечение выполнения оператором возложенных на него обязанностей. При этом в Законе указано, что состав и перечень данных мер определяется оператором самостоятельно. К таким мерам, в частности, могут относиться назначение лица, ответственного за организацию обработки персональных данных, издание локальных нормативных актов и иных документов по вопросам обработки персональных данных, осуществление внутреннего контроля обработки персональных данных и др.;
— введено понятие уровней защиты персональных данных при их обработке в информационных системах, которые зависят от возможного вреда субъекту персональных данных, объема и содержания обрабатываемых данных и вида деятельности, при осуществлении которой они обрабатываются. При этом определено, что уровни защиты, а также требования к защите персональных данных и к материальным носителям биометрических персональных данных устанавливаются Правительством РФ;
— для работодателя, являющегося юридическим лицом, обязательным является назначение лица, ответственного за организацию обработки персональных данных. Указанное лицо подчиняется указаниям исполнительного органа юридического лица и подотчетно ему;
— на лицо, ответственное за организацию обработки персональных данных, возлагается обязанность осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства о персональных данных, доводить до сведения работников положения законодательства, регулирующего данные вопросы, организовывать прием и обработку обращений и запросов субъектов персональных данных;
— закреплено положение, в соответствии с которым гражданин, права которого нарушены при обработке персональных данных, имеет право требовать возмещения морального вреда, при этом такая компенсация производится независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков;
— помимо федеральных и региональных органов государственной власти правом принимать нормативные правовые акты по отдельным вопросам, касающимся обработки персональных данных, наделены Банк России и органы местного самоуправления.
