"Будущие изменения в законодательстве о персональных данных"

Совсем недавно мы, специалисты, связанные с информационной безопасностью, жили в ожидании времени «Ч», когда должен был вступить в полную силу Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных».Основные волнения вызывал, в частности, пункт 3 ст. 25 этого закона, где заявлено, что«информационные системы персональных данных, созданные до 1 января 2011 г.,должны быть приведены в соответствие с требованиями настоящего федеральногозакона не позднее 1 июля 2012 г.».Закон, принятый пять лет назад, имел свои недоработки, не соответствовал требованиямЕвропейской конвенции по защите персональных данных, но широко обсуждался в сообществе. При этом активно разрабатывались рекомендации, отраслевые стандарты, которые должныбыли упростить операторам жизнь при реализации требований настоящего федерального закона.В том числе, было дано поручение президента от 02.06.2011, в котором он потребовал: «Ускоритьприведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных. Срок – 1 августа 2011 г.».Было назначено заседание Государственной думы, которое должно было утвердить новый законопроект. Надо признать, что в случае его принятия многие проблемы были бы сняты. Законпровозглашал:запрет на использование документов ДСП, не зарегистрированных в Минюсте, таких как постановление Правительства № 330 «Об особенностях оценки соответствия продукции (работ,услуг), используемой в целях защиты сведений, относимых к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, а также процессов ее проектирования (включая изыскания), производства, строительства, монтажа, наладки, эксплуатации, хранения, перевозки, реализации, утилизации и захоронения, об особенностях аккредитации органов по сертификации и испытательных лабораторий (центров), выполняющих работы по подтверждению соответствия указанной продукции (работ, услуг)» и устанавливающих обязательное требование по использованию сертифицированных средств защиты информации при обработке персональных данных. В ч. 2 ст. 4 читаем: «Такие нормативные правовые акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию»;признание конклюдентных действий, что позволяет обрабатывать ПДн как для исполнения,так и для заключения договора по инициативе субъекта.