152-ФЗ Утвержденные рекомендации парламентских слушаний 20.10.09 (1027776), страница 2
Текст из файла (страница 2)
закрепления права оператора определять сроки хранения и уничтожения персональных данных в соответствии с условиями договора с субъектом персональных данных, если иное не установлено федеральным законом (ст. 5, 21);
определения порядка использования персональных данных при осуществлении деятельности, предшествующей заключению договора, и утверждения перечня обрабатываемых персональных данных (ст. 6);
уточнения перечня случаев, когда согласие субъекта на обработку его персональных данных не требуется (ч. 2 ст. 6);
определения перечня случаев, когда обеспечение конфиденциальности персональных данных не требуется (ст.7);
уточнения общих принципов обработки биометрических персональных данных, включая установление правил их получения от субъекта персональных данных; закрепление возможности обработки биометрических персональных данных без согласия субъектов персональных данных в случаях, предусмотренных законодательством о борьбе с преступностью и противодействии коррупции (ст. 11);
определения порядка оценки адекватности защиты прав субъектов на территории иностранного государства при трансграничной передаче персональных данных (ст. 12);
уточнения перечня подлежащих представлению субъекту сведений о лицах, которые имеют доступ к его персональным данным, а также ограничения права субъекта на получение сведений об операторе и иных сведений об обработке его персональных данных (ст. 14);
конкретизации условий обработки персональных данных при продвижении товаров, работ и услуг на рынке и других целей, предусмотренных статьей 15 Федерального закона;
уточнения механизмов реализации права субъекта персональных данных при принятии решений на основании исключительно автоматизированной обработки его персональных данных (ст. 16);
уточнения содержания обязанности оператора сообщать субъекту об обработке персональных данных, полученных от третьих лиц (ст. 18);
исключения требования по обязательному использованию средств криптозащиты для обеспечения безопасности обработки персональных данных (ч. 1 ст. 19):
распространения обязательных требований по безопасности обработки персональных данных, установленных Правительством РФ, на государственные информационные системы, содержащие персональные данные (ст. 19), определив в качестве критериев при разработке этих требований соразмерность затрат и возможности возникновения ущерба субъекту персональных данных, соответствие природе обрабатываемых данных и масштабам обработки;
определения для негосударственных и муниципальных информационных систем общеобязательных минимальных требований к обеспечению безопасности персональных данных при их обработке, реализация которых не зависит от применения конкретного технического решения, и установления права оператора негосударственной и муниципальной информационной системы самостоятельно определять методы и средства обеспечения безопасности персональных данных при их автоматизированной обработке с учетом отраслевых (ведомственных) методических рекомендаций по обеспечению безопасности информационных систем персональных данных (ст. 19;)
возможности распространения на информационные системы персональных данных правовых режимов и способов защиты коммерческой, профессиональной и иной, охраняемой законом тайны (ст. 19);
уточнения полномочий регулирующих органов при осуществлении контроля (надзора) за обеспечением оператором безопасности обработки персональных данных (ст. 19);
уточнения требований по обработке биометрических персональных данных (ч. 4 ст. 19);
уточнения порядка и сроков уничтожения персональных данных с учетом возможности прекращения доступа к персональным данным и последующим их уничтожением (ст. 21):
уточнения перечня случаев, когда оператор вправе осуществлять обработку персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных (ч. 2 ст. 22) и содержания уведомления об обработке персональных данных в части описания мер, которые оператор обязуется осуществлять при обработке персональных данных (ч. 3 ст. 22), включив в него сведения о наличии шифровальных (криптографических) средств и их наименование;
дополнение обязанностей Уполномоченного органа по защите прав субъектов персональных данных (ч. 5 ст. 23) обязанностью информировать ФСБ и ФСТЭК о мерах, принимаемых операторами, по обеспечению безопасности персональных данных при их обработке;
продление на 1 год срока вступления в силу положений части 3 статьи 25 в отношении исполнения требований по безопасности обработки персональных данных применительно к информационным системам персональных данных, действовавшим до вступления в силу Федерального закона (ст. 25).
2. До конца 2009 года внести изменения в Федеральный закон от 8 июля 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» в части ограничения лицензируемого вида деятельности по технической защите конфиденциальной информации деятельностью по предоставлению услуг по технической защите информации ограниченного доступа (не составляющей государственную тайну) (пункт 11 части 1 статьи 17) и уточнения формулировки лицензируемого вида деятельности в пункте 10 части 1 статьи 17.
3. В возможно кратчайшие сроки внести на рассмотрение Государственной Думы во втором чтении проект федерального закона № 217355-4 «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных», дополнив его статьями, предусматривающими внесение изменений в федеральные законы, направленных на усиление административной ответственности за нарушение требований закона; уточнение положений Федерального закона «О связи» (абз. 4 ч. 2 ст. 53); федеральных законов, регулирующих банковскую деятельность, уточнения формулировки понятия «конфиденциальность информации» (ст. 2 Федерального закона «О информации, информационных технологиях и о защите информации»), Основ законодательства Российской Федерации об охране здоровья граждан, а также уточнение Федеральных законов «О государственной охране», «О ведомственной охране», «О милиции», «О частной детективной и охранной деятельности в Российской Федерации» в части предоставления органам государственной охраны, ведомственной охраны, вневедомственной охраны, частным охранным предприятиям права осуществлять получение и обработку биометрических персональных данных без согласия субъектов персональных данных при осуществлении мероприятий по обеспечению пропускного режима на охраняемых объектах с использованием автоматизированных систем контроля и управления доступом.
4. В ходе подготовки проекта федерального закона № 369593-3 «Об основных документах, удостоверяющих личность гражданина Российской Федерации» рассмотреть вопрос о дополнении законопроекта положением о паспортно-визовых документах нового поколения с электронными носителями информации, в которые заносятся биометрические персональные данные гражданина.
Правительству Российской Федерации
1. До конца 2009 года внести в Государственную Думу проект федерального закона «О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», в том числе предусматривающий внесение изменений в Федеральный закон «О персональных данных» в части определения предмета, сроков и оснований проведения проверок в области защиты персональных данных.
2. После внесения изменений в Федеральный закон «О персональных данных» привести в соответствие с ним нормативные правовые акты Правительства Российской Федерации (включая Положение об уполномоченном органе по защите прав субъектов персональных данных) и нормативные акты федеральных органов исполнительной власти.
Организовать публичные обсуждения проектов нормативных правовых и нормативно-технических актов, подготовленных во исполнение Федерального закона «О персональных данных».
3. Принять рассчитанный на 1 год план мероприятий по подготовке к вступлению в силу Федерального закона «О персональных данных», включающий:
1) разработку под общим руководством Минкомсвязи России и при участии заинтересованных министерств и ведомств (совместно с общественными организациями операторов и профильными компаниями) отраслевых методических рекомендаций по обеспечению безопасности информационных систем персональных данных;
2) уточнение сфер компетенции федеральных органов исполнительной власти в области защиты прав граждан при автоматизированной обработке их персональных данных,
3) создание в рамках выполнения ФЦП «Электронная Россия» типового программного обеспечения для обработки персональных данных в информационных системах муниципальных учреждений;
4) в рамках областей компетенции Минкомсвязи России, ФСТЭК России и ФСБ России провести работу по согласованию отраслевых методических рекомендаций по обеспечению безопасности информационных систем персональных данных с учетом международного опыта гармонизации стандартов в области информационной безопасности, обеспечивающих решение задач по интеграции России в мировое информационное пространство;
5) разработку, согласование и доведение до сведения операторов административного регламента проведения совместных мероприятий Роскомнадзора, ФСТЭК России и ФСБ России по контролю и надзору в области персональных данных, включая возможность представления контролирующему органу электронных документов;
6) организацию общедоступных порталов по проблемам, связанным с обеспечением безопасности персональных данных, размещать на них методические материалы, разъяснения, информацию о типичных ошибках, примеры для построения систем защиты персональных данных (ФСТЭК России и ФСБ России);
7) обеспечение применения отраслевых методических рекомендаций организациями отрасли (федеральные органы исполнительной власти);
8) подготовку учебно-методической базы, включающей согласованные с Роскомнадзором, ФСТЭК России и ФСБ России программы обучения представителей операторов вопросам организации работы с персональными данными.
Генеральной прокуратуре Российской Федерации, Роскомнадзору, Федеральной службе по труду и занятости, Федеральной антимонопольной службе
разработать единый порядок взаимодействия их территориальных органов при выявлении, пресечении и профилактике правонарушений в сфере обработки персональных данных.
Совету при Президенте Российской Федерации по развитию информационного общества в Российской Федерации
включить мероприятия по обеспечению безопасности персональных данных в Типовую форму ведомственной программы внедрения информационно-коммуникационных технологий в деятельность федерального органа государственной власти.
Высшим органам исполнительным власти субъектов Российской Федерации
организовать работу по приведению государственных информационных систем субъектов Российской Федерации в соответствие с требованиями Федерального закона «О персональных данных»;
оказать поддержку органам местного самоуправления и муниципальным организациям в приведению муниципальных информационных систем персональных данных в соответствие с требованиями Федерального закона «О персональных данных».
Комиссиям (Советам) по защите информации при Полномочных представителях Президента Российской Федерации в федеральных округах
подготовить планы мероприятий по стимулированию организаций к выполнению требований Федерального закона, по разъяснению его положений и подготовке специалистов по технической защите персональных данных;
рассматривать на своих заседаниях ход выполнения планов мероприятий.
Первый заместитель председателя
Комитета по безопасности М.И. Гришанков
Председатель Комитета по
конституционному законодательству
и государственному строительству В.Н. Плигин
Председатель Комитета по
финансовому рынку В.М. Резник












