Комментарий к Федеральному закону от 25.07.2011 N 261-ФЗ "О внесении изменений в Федеральный закон о персональных данных" (Ю. Михаилов, "Налоговый вестник: комментарии к нормативным документам для бухгалтеров", N 9, сентябрь 2011 г.)

Комментарий к Федеральному закону от 25.07.2011 N 261-ФЗ "О внесении изменений в Федеральный закон о персональных данных"

Вступила в действие обновленная редакция Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон). В предлагаемом вниманию читателей комментарии наиболее подробно освещены важнейшие изменения и дополнения, внесенные Федеральным законом от 25.07.2011 N 261-ФЗ.

Прежде всего - несколько слов, характеризующих обновленную редакцию Закона в целом*(1). Изменения затронули 21 из 25 статей Закона. Кроме того, в Законе появились две новые статьи - 18.1 и 22.1. Таким образом, содержание Закона уточнено весьма значительно.

В организационно-правовом контексте особый интерес представляют уточнения, внесенные в общие положения, а также в положения, устанавливающие принципы и условия обработки персональных данных. Так, уточняется сфера действия Закона, к которой, в соответствии с обновленной редакцией ст. 1, относится регулирование отношений, связанных с обработкой персональных данных, осуществляемой:

- федеральными органами государственной власти;

- органами государственной власти субъектов РФ;

- иными государственными органами;

- органами местного самоуправления;

- иными муниципальными органами;

- юридическими и физическими лицами.

Отметим, что действие Закона отныне распространяется в т.ч. на отношения (см. ч. 2 ст. 1), возникающие при обработке подлежащих включению в Единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, при условии, что такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя. Уточнен по сравнению с первоначальной версией Закона и понятийный (терминологический) аппарат, из которого, в частности, изъяты понятия (термины) "использование персональных данных", "конфиденциальность персональных данных" и "общедоступные персональные данные". Одновременно ст. 3 дополнена такими понятиями (терминами), как "автоматизированная обработка персональных данных"*(2) и "предоставление персональных данных"*(3). Расширен и состав органов, уполномоченных (в пределах предоставленной компетенции) принимать нормативные правовые акты по отдельным вопросам обработки персональных данных (см. в этой связи ч. 2 ст. 4) - теперь помимо государственных органов такими полномочиями наделены Банк России и органы местного самоуправления.

Существенные уточнения претерпели положения ст. 5, определяющей принципы обработки персональных данных. С учетом особой значимости данной статьи приводим текст ее обновленной редакции полностью:

1. Обработка персональных данных должна осуществляться на законной и справедливой основе.

2. Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

6. При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

7. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

По-новому определены и условия обработки персональных данных, которая должна осуществляться с соблюдением принципов и правил, предусмотренных Законом. Перечень обстоятельств, при наступлении которых допускается обработка персональных данных, носит исчерпывающий характер и представлен на рисунке (см. в этой связи ст. 6 Закона).

    /-------------------------------------------------------------\

    |Обработка персональных данных допускается в следующих случаях|

    \-------------------------------------------------------------/

/---------------------------------\  |  /-------------------------------\

|   Обработка осуществляется с    |  |  |   Обработка необходима для    |

| согласия субъекта персональных  |  |  |   осуществления правосудия    |

|     данных на обработку его     |--+--|  (исполнения судебного акта)  |

|       персональных данных       |  |  |                               |

\---------------------------------/  |  \-------------------------------/

/---------------------------------\  |  /-------------------------------\

|    Обработка необходима для     |  |  |   Обработка необходима для    |

|достижения целей, предусмотренных|  |  |  предоставления (обеспечения  |

| международным договором РФ или  |--+--|предоставления) государственной|

|           законом*(4)           |  |  |    (муниципальной) услуги     |

\---------------------------------/  |  \-------------------------------/

/---------------------------------\  |  /-------------------------------\

|    Обработка необходима для     |  |  |Обработка необходима для защиты|

|регистрации субъекта персональных|  |  |   жизненно важных интересов   |

|    данных на едином портале     |  |  | субъекта персональных данных, |

| государственных (муниципальных) |--+--|    если получение согласия    |

|              услуг              |  |  | субъекта персональных данных  |

|                                 |  |  |          невозможно           |

\---------------------------------/  |  \-------------------------------/

/---------------------------------\  |  /-------------------------------\

|   Обработка осуществляется в    |  |  |   Обработка необходима для    |

|   исследовательских целях, за   |  |  |    исполнения (заключения)    |

| исключением целей, указанных в  |  |  |  договора, стороной которого  |

|   ст. 15 Закона, при условии    |--+--| либо выгодоприобретателем или |

|   обязательного обезличивания   |  |  |    поручителем по которому    |

|       персональных данных       |  |  | является субъект персональных |

|                                 |  |  |            данных             |

\---------------------------------/  |  \-------------------------------/

/---------------------------------\  |  /-------------------------------\

|    Обработка необходима для     |  |  |   Обработка необходима для    |

|     осуществления законной      |  |  | осуществления прав и законных |

|профессиональной деятельности СМИ|  |  | интересов оператора (третьих  |

|  (журналиста) либо творческой   |--+--|   лиц) либо для достижения    |

| деятельности, если при этом не  |  |  |  общественно значимых целей,  |

|   нарушаются права и законные   |  |  |  если при этом не нарушаются  |

| интересы субъекта персональных  |  |  |   права и свободы субъекта    |

|             данных              |  |  |      персональных данных      |

\---------------------------------/  |  \-------------------------------/

/---------------------------------\  |  /-------------------------------\

|    Осуществляется обработка     |  |  |   Осуществляется обработка    |

|   персональных данных, доступ   |  |  |персональных данных, подлежащих|

|   неограниченного круга лиц к   |  |  |опубликованию или обязательному|

| которым предоставлен субъектом  |-----|  раскрытию в соответствии с   |

|персональных данных (либо по его |     |      федеральным законом      |

|            просьбе)             |     |                               |

\---------------------------------/     \-------------------------------/

Уточнен порядок поручения оператором обработки персональных данных другому лицу. Согласно обновленной редакции ст. 6 Закона оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

В этом случае оператор обязан заключить с таким лицом соответствующий договор (поручить данному лицу с соблюдением установленного порядка обработку персональных данных определенного лица, круга лиц), при этом в договоре (поручении) должны быть:

- определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, а также цели их обработки;

- установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечить безопасность персональных данных при их обработке;

- указаны требования к защите обрабатываемых персональных данных.

Отметим также, что лицо, осуществляющее обработку персональных данных в соответствии с договором (поручением), не обязано получать согласие на это субъекта, чьи данные обрабатываются.

Если оператор поручает обработку персональных данных другому лицу, то ответственность перед субъектом персональных данных за действия указанного лица несет оператор. В свою очередь лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед соответствующим оператором.

В целях обеспечения конфиденциальности лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, кроме случаев, предусмотренных федеральными законами. Что касается порядка получения согласия субъекта персональных данных на их обработку, то в соответствии с обновленной редакцией ст. 9 он предусматривает следующее:

1. Субъект персональных данных (его представитель) принимает решение о предоставлении персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе, при этом:

- согласие на обработку персональных данных должно быть конкретным, информированным и сознательным;

- согласие на обработку персональных данных может быть дано субъектом персональных данных (его представителем) в любой позволяющей подтвердить факт его получения форме (в общем случае - письменной), если иное не установлено федеральным законом;

- при получении согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором, в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных, а в случае смерти субъекта персональных данных (если такое согласие не было дано субъектом персональных данных при его жизни) - наследники субъекта персональных данных.

2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных, при этом оператор вправе продолжить обработку данных без согласия субъекта персональных данных при наличии оснований, предусмотренных Законом.

3. Обязанность предоставить доказательство получения согласия субъекта на обработку его персональных данных (доказательство наличия оснований, предусмотренных Законом) возлагается на оператора, при этом они могут быть получены оператором от лица, не являющегося субъектом персональных данных, только после предоставления оператору подтверждения наличия соответствующих оснований.

4. В случаях, предусмотренных Законом, обработка персональных данных осуществляется только с письменного согласия субъекта персональных данных*(5), содержащем следующие основные сведения:

- Ф.И. О., адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, а при получении согласия от представителя субъекта персональных данных - вышеперечисленные сведения об этом представителе, а также реквизиты доверенности (иного документа), подтверждающего полномочия этого представителя;

- наименование (Ф.И. О.) и адрес оператора, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- наименование (Ф.И.О.) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

- подпись субъекта персональных данных (либо его представителя).

Порядок получения согласия субъекта на обработку его персональных данных в электронной форме для предоставления (необходимых и обязательных для предоставления) государственных и муниципальных услуг устанавливается Правительством РФ.

Расширен перечень случаев обработки специальных категорий персональных данных. Согласно обновленной редакции ст. 10 такая обработка может осуществляться в т.ч. в соответствии с законодательством о государственной социальной помощи, трудовым и пенсионным законодательством, а также в случаях, предусмотренных законодательством, государственными (муниципальными) органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.

Статья 12 дополнена положениями о трансграничной передаче персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы. Статья 14 дополнена положениями, определяющими порядок повторного запроса субъекта на получение информации об обработке его персональных данных, при этом перечень видов такой информации существенно расширен и включает информацию, содержащую:

- правовые основания обработки персональных данных;

- цели обработки персональных данных;

- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

- порядок осуществления субъектом персональных данных прав, предусмотренных Законом;

- информацию об осуществленной (предполагаемой) трансграничной передаче персональных данных;

- наименование (Ф.И.О.) и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена (будет поручена) такому лицу;

- иные сведения, предусмотренные федеральными законами.

Кроме того, в соответствии с обновленной редакцией указанной статьи расширен перечень случаев, при которых допускается ограничение права субъекта на доступ к его персональным данным. Отныне такое право может быть ограничено, в т.ч. если обработка персональных данных осуществляется:

- в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

- в случаях, предусмотренных законодательством о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

Сроки рассмотрения оператором возражений субъекта персональных данных относительно решения, принятого исключительно на основании автоматизированной обработки персональных данных, в соответствии с обновленной редакцией ст. 16 увеличены с 7 до 30 дней.

Существенно уточнены обязанности оператора при сборе персональных данных, получении обращения (запроса), по устранению допущенных нарушений при обработке персональных данных (см. ст. 18, 20 и 21 Закона), а также содержание мер, направленных на обеспечение безопасности персональных данных в процессе обработки (см. ст. 19 Закона).

При сборе персональных данных оператор обязан:

1. Предоставить субъекту персональных данных по его просьбе информацию, предусмотренную ч. 7 ст. 14 Закона.

2. Разъяснить субъекту персональных данных юридические последствия отказа эти данные предоставить.

3. Предоставить субъекту персональных данных (если таковые получены не от субъекта, за исключением случаев, предусмотренных ч. 4 ст. 18 Закона), до начала обработки следующую информацию:

- наименование либо фамилия, имя, отчество и адрес оператора (его представителя);

- цель обработки персональных данных и ее правовое основание;

- предполагаемые пользователи персональных данных;

- установленные Законом права субъекта персональных данных;

- источник получения персональных данных.

Оператор освобождается от обязанности предоставить субъекту персональных данных вышеуказанные сведения, если:

- субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

- персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

- персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

- оператор осуществляет обработку персональных данных для исследовательских целей, профессиональной деятельности журналиста либо иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

- предоставление субъекту персональных данных сведений, предусмотренных ч. 3 ст. 18 Закона, нарушает права и законные интересы третьих лиц.

При получении обращения (запроса) субъекта персональных данных (его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан:

1. Сообщить субъекту (его представителю) информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также обеспечить возможность ознакомления с этими персональными данными в течение 30 дней с даты получения соответствующего запроса.

2. В случае отказа в предоставлении по обращению (запросу) информации о наличии персональных данных о соответствующем субъекте персональных данных субъекту персональных данных (его представителю) - дать письменный мотивированный ответ в срок, не превышающий 30 дней со дня получения обращения (запроса).

3. Предоставить безвозмездно субъекту персональных данных (его представителю) возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных, при этом:

- в срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных (его представителем) сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, - внести в них необходимые изменения;

- в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных (его представителем) сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели, - уничтожить такие персональные данные;

- уведомить субъекта персональных данных (его представителя) о внесенных изменениях и предпринятых мерах, а также принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

4. Сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса.

Как отмечалось, обновленная редакция Закона дополнена двумя новыми статьями. Одна из них - 18.1 - определяет перечень мер, направленных на обеспечение выполнения оператором обязанностей, предусмотренных Законом (помимо мер, предусмотренных ст. 18 Закона). Подчеркнем, что оператор вправе самостоятельно определять состав и перечень таких мер. К мерам, направленным на обеспечение выполнения оператором обязанностей, предусмотренных законом, могут, в частности, относиться:

- назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

- издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение, выявление и устранение последствий нарушений законодательства РФ;

- применение предусмотренных Законом правовых, организационных и технических мер по обеспечению безопасности персональных данных;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона, соотношения указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом;

- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в т.ч. с требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Кроме того, оператор обязан:

- обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;

- опубликовать в соответствующей информационно-телекоммуникационной сети*(6) документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей ИТС;

3) представить соответствующие документы, локальные акты по запросу уполномоченного органа по защите прав субъектов персональных данных.

В целях устранения нарушений законодательства, допущенных при обработке персональных данных, оператор обязан.

1. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных (его представителя либо уполномоченного органа по защите прав субъектов персональных данных) - осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента получения обращения (запроса) на весь период проверки.

2. В случае выявления неточных персональных данных при обращении (запросе) субъекта персональных данных (его представителя либо уполномоченного органа по защите прав субъектов персональных данных) - осуществить блокирование персональных данных, относящихся к этому субъекту, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента получения обращения (запроса) на весь период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

3. В случае подтверждения факта неточности персональных данных на основании сведений, представленных субъектом персональных данных (его представителем либо уполномоченным органом по защите прав субъектов персональных данных) - уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

4. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором (лицом, действующим по поручению оператора) - прекратить неправомерную обработку персональных данных или обеспечить ее прекращение в срок, не превышающий трех рабочих дней с даты выявления этого.

5. В случае, если обеспечить правомерность обработки персональных данных невозможно - в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожить такие персональные данные или обеспечить их уничтожение, уведомив об этом субъекта персональных данных (его представителя или (и) уполномоченный орган по защите прав субъектов персональных данных).

6. В случае достижения цели обработки персональных данных - прекратить обработку персональных данных (обеспечить ее прекращение, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные (обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

7. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных - прекратить их обработку (обеспечить прекращение такой обработки, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные (обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.

8. В случае отсутствия возможности уничтожения персональных данных в течение вышеуказанного срока - блокировать такие персональные данные или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечить уничтожение персональных данных в срок не более чем 6 месяцев, если иной срок не установлен федеральными законами.

Меры по обеспечению безопасности персональных данных при их обработке следующие:

1. Определение угроз безопасности персональных данных*(7) при их обработке в информационных системах персональных данных (далее - ИСПД).

2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПД, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных.

3. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПД.

5. Учет машинных носителей персональных данных.

6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер.

7. Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

8. Установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПД.

9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПД.

10. Использование и хранение биометрических персональных данных вне ИСПД только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

В свою очередь, ст. 22.1 определяет полномочия лица, назначенного ответственным за организацию обработки персональных данных, например специалиста по кадрам и т.п. Лицо, ответственное за организацию обработки персональных данных, получает указания непосредственно от исполнительного органа предприятия (организации, учреждения), являющегося оператором (в общем случае - руководителя предприятия), и подотчетно ему. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

- осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства РФ о персональных данных, в т.ч. требований к их защите;

- доводить до сведения работников оператора положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

- организовывать прием и обработку обращений (запросов) субъектов персональных данных (их представителей) и (или) осуществлять контроль за приемом и обработкой таких обращений (запросов).

Подводя итог, обратим внимание на обновленную редакцию ст. 24 Закона, согласно которой закрепляется право субъекта персональных данных на возмещение морального вреда вследствие нарушения его прав, правил обработки персональных данных, а также требований к их защите, установленных Законом. Возмещение морального вреда в перечисленных случаях производится в соответствии с законодательством РФ независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Ю. Михаилов,

эксперт

"Налоговый вестник: комментарии к нормативным документам для бухгалтеров", N 9, сентябрь 2011 г.

-------------------------------------------------------------------------

*(1) Действие положений Закона в ред. от 25.07.2011 распространяется на правоотношения, возникшие с 1 июля 2011 г.

*(2) Трактуемая Законом как "обработка персональных данных с помощью средств вычислительной техники".

*(3) Трактуемое Законом как "действия, направленные на раскрытие персональных данных определенному лицу (кругу лиц)".

*(4) Для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.

*(5) Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

*(6) Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей (далее - ИТС).

*(7) Для целей Закона под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в т.ч. случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.