1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Вчера вечером, сидя за кружечкой чая перед уныло светящимся монитором и ваяя очередной шедевр внутреннего нормотворчества, схлестнулся с Алексеем Лукацким (которому, видно, тоже было недосуг) в занимательной дискуссии на тему полномочий горячо уважаемого и часто упоминаемого мной в последнее время ведомства под названием Роскомнадзор. Не всех, конечно, полномочий - а только тех, которые касаются проверки оным . Алексей (и не он один) считает, что 152-ФЗ не дает Роскомнадзору таких полномочий, вне зависимости от того, с привлечением экспертов и экспертных организаций проводится проверка или без таковых. Я же, в душе согласный с его точкой зрения, вынужден был возражать, поскольку не по наслышке знаком с точкой зрения самого Роскомнадзора, которую здесь излагаю.

Логика Роскомнадзора начинается с п. 9 ч. 3 ст. 23 152-ФЗ, дающего ему право "привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона". Одним из таких нарушений, как мы знаем, является указание оператором недостоверных сведений в уведомлении, подаваемом в Роскомнадзор, в котором, согласно п. 7 ч. 3 ст. 22 152-ФЗ, указывается "описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств". Согласно п. 2 ст. 3 152-ФЗ, Роскомнадзор имеет право "осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных" самостоятельно "или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий". Более того - ч. 2 ст. 7 294-ФЗ дает Роскомнадзору право для проверки достоверности сведений, указанных в уведомлении, в том числе и в части ст. 18.1 и 19, привлекать эксперта или экспертную организацию.

В соответствии с ч. 4 ст. 18.1 152-ФЗ, "оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных" . Таким образом, оператор, в ходе проверки, не только показывает документы, но и демонстрирует меры "вживую", чем удовлетворяет (или не удовлетворяет) "уполномоченный орган" и (или) приглашенного эксперта.

Как мы знаем, в части 1 ст. 18.1 сказано, что "оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами", и "оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами ".

Именно самостоятельно выбранные меры (в том числе применение статьи 19 по собственному желанию) оператор и указывал бы в уведомлении, если бы не "проблема статьи 18.1", отмеченная жирным шрифтом, и ниже, в статье 19, предусмотреннаая обязанность оператора "принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных". Ну, а раз обязан - тогда получай и часть 2 с "уровнями защищенности", "оценкой соответствия" и "оценкой эффективности".

Многие думают, что ч. 8 ст. 19 ограничивает область госконтроля и надзора за соблюдением требований, указанных в ст. 19, исключительно государственными ИСПДн. Однако это совсем не так: на самом деле, часть 8 говорит о том, что контроль соблюдения требований в государственных ИСПДн осуществляет ФСТЭК и ФСБ. Часть 9 определяет, случаи, в которых эти два регулятора могут проконтролировать негосударственные ИСПДн. При этом, нигде не написано, что в негосударственных ИСПДн такого контроля быть не должно в принципе, а стало быть - его, из-за "проблемы статьи 18.1", осуществляет Роскомнадзор, в том числе с привлечением экспертов!

Как и во многих других случаях, все решает суд и грамотность оператора. Если оператор не будет писать лишнего в уведомлении, и ему удастся доказать, что указанные в соответствие со статьей 18.1 меры в уведомлении имеют добровольный характер, и Роскомнадзор превысил свои полномочия, требуя от оператора того, чего не указано в уведомлении - победит оператор. Если Роскомнадзор вспомнит, что в соответствие с п. 42.1 зарегистрированного в Минюсте административного регламента Роскомнадзора, у него есть право привлекать эксперта для оценки "эффективности принимаемых Оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных" и докажет, что "эффективность" = "достаточность" - победит Роскомнадзор.

Но лучше вспомнить знаменитую поговорку кота Леопольда: "ребята, давайте жить дружно".

Федеральный закон от 19.07.2018 N 203-ФЗ "О внесении изменений в статью 18.1 Федерального закона "О содержании под стражей подозреваемых и обвиняемых в совершении преступлений" и Федеральный закон "Об общественном контроле за обеспечением прав человека в местах принудительного содержания и о содействии лицам, находящимся в местах принудительного содержания"

РОССИЙСКАЯ ФЕДЕРАЦИЯ

ФЕДЕРАЛЬНЫЙ ЗАКОН

О ВНЕСЕНИИ ИЗМЕНЕНИЙ

В СТАТЬЮ 18.1 ФЕДЕРАЛЬНОГО ЗАКОНА "О СОДЕРЖАНИИ

ПОД СТРАЖЕЙ ПОДОЗРЕВАЕМЫХ И ОБВИНЯЕМЫХ В СОВЕРШЕНИИ

ПРЕСТУПЛЕНИЙ" И ФЕДЕРАЛЬНЫЙ ЗАКОН "ОБ ОБЩЕСТВЕННОМ КОНТРОЛЕ

ЗА ОБЕСПЕЧЕНИЕМ ПРАВ ЧЕЛОВЕКА В МЕСТАХ ПРИНУДИТЕЛЬНОГО

ПРИНУДИТЕЛЬНОГО СОДЕРЖАНИЯ"

Государственной Думой

Советом Федерации

Статью 18.1 Федерального закона от 15 июля 1995 года N 103-ФЗ "О содержании под стражей подозреваемых и обвиняемых в совершении преступлений" (Собрание законодательства Российской Федерации, 1995, N 29, ст. 2759; 2010, N 27, ст. 3416) дополнить частями второй - четвертой следующего содержания:

"Члены общественной наблюдательной комиссии вправе осуществлять кино-, фото- и видеосъемку в целях фиксации нарушения прав подозреваемых и обвиняемых с письменного согласия самих подозреваемых и обвиняемых в местах, определяемых администрацией места содержания под стражей, в порядке, установленном федеральным органом исполнительной власти, в ведении которого находится данное место содержания под стражей. Кино-, фото- и видеосъемка в целях фиксации нарушения прав несовершеннолетнего подозреваемого или обвиняемого осуществляется с письменного согласия одного из родителей или иного законного представителя такого подозреваемого или обвиняемого и письменного согласия самого лица. Подозреваемый или обвиняемый может отозвать свое согласие на кино-, фото- и видеосъемку, осуществляемую в целях фиксации нарушения его прав.

Кино-, фото- и видеосъемка объектов, обеспечивающих безопасность и охрану подозреваемых и обвиняемых, осуществляется с письменного разрешения начальника места содержания под стражей или его заместителя. Отказ начальника места содержания под стражей или его заместителя в кино-, фото- и видеосъемке объектов, обеспечивающих безопасность и охрану подозреваемых и обвиняемых, в письменной форме передается членам общественной наблюдательной комиссии.

В случае обсуждения членами общественной наблюдательной комиссии вопросов, не относящихся к обеспечению прав подозреваемых и обвиняемых, либо нарушения членами общественной наблюдательной комиссии Правил внутреннего распорядка беседа немедленно прерывается.".

Внести в Федеральный закон от 10 июня 2008 года N 76-ФЗ "Об общественном контроле за обеспечением прав человека в местах принудительного содержания и о содействии лицам, находящимся в местах принудительного содержания" (Собрание законодательства Российской Федерации, 2008, N 24, ст. 2789; 2010, N 27, ст. 3416; 2011, N 49, ст. 7056; N 50, ст. 7353; 2013, N 27, ст. 3477; N 44, ст. 5633; 2015, N 7, ст. 1020; 2017, N 24, ст. 3481) следующие изменения:

1) в статье 2:

а) в пункте 1 слова "настоящей статьи;" заменить словами "настоящей статьи; лица, к которым применены принудительные меры медицинского характера; лица, госпитализированные в медицинскую организацию, оказывающую психиатрическую помощь в стационарных условиях, в недобровольном порядке или направленные на психиатрическое освидетельствование в недобровольном порядке;";

б) в пункте 2 слова "в Российской Федерации" заменить словами "в Российской Федерации; судебно-психиатрические экспертные медицинские организации; медицинские организации, оказывающие психиатрическую помощь в стационарных условиях, общего типа, специализированного типа или специализированного типа с интенсивным наблюдением";

2) часть 2 статьи 4 изложить в следующей редакции:

"2. Не допускается вмешательство субъектов осуществления общественного контроля и содействия лицам, находящимся в местах принудительного содержания, в оперативно-разыскную, уголовно-процессуальную деятельность, производство по делам об административных правонарушениях, медицинскую деятельность, в том числе в проведение психиатрического освидетельствования и судебно-психиатрических экспертиз, а также разглашение без письменного согласия лица, находящегося в месте принудительного содержания, или его законного представителя сведений, составляющих врачебную тайну.";

3) статью 7 дополнить частью 3 следующего содержания:

"3. Общественная палата субъекта Российской Федерации и уполномоченный по правам человека в субъекте Российской Федерации направляют в совет Общественной палаты рекомендации по формированию состава общественной наблюдательной комиссии.";

4) в статье 10:

а) часть 3 дополнить словами ", и общественные объединения, включенные в реестр некоммерческих организаций, выполняющих функции иностранного агента";

б) пункт 2 части 4 изложить в следующей редакции:

"2) выписка из единого государственного реестра юридических лиц;";

в) в части 5 слова "вправе обратиться" заменить словом "обращается";

г) часть 6 после слов "60 дней со дня опубликования уведомления," дополнить словами "а также рекомендации общественной палаты субъекта Российской Федерации и уполномоченного по правам человека в субъекте Российской Федерации по формированию состава общественной наблюдательной комиссии";

5) в части 2 статьи 12 слова "лицо, имеющее судимость" заменить словами "лицо, имеющее неснятую или непогашенную судимость или близких родственников, отбывающих наказание в местах лишения свободы,";

6) в части 1 статьи 14:

а) пункт 2 изложить в следующей редакции:

"2) возникновение оснований, предусмотренных частями 2 и 3 статьи 12 настоящего Федерального закона;";

б) пункт 5 признать утратившим силу;

в) дополнить пунктом 9.1 следующего содержания:

"9.1) решение совета Общественной палаты, принятое по результатам рассмотрения обращения общественного совета при федеральном органе исполнительной власти по вопросу прекращения полномочий члена общественной наблюдательной комиссии, допустившего нарушение законодательства Российской Федерации при посещении места принудительного содержания;";

7) в статье 16:

а) в части 1:

пункт 1 изложить в следующей редакции:

"1) в составе не менее двух членов общественной наблюдательной комиссии без специального разрешения в порядке, установленном соответствующим федеральным органом исполнительной власти, в ведении которого находятся места принудительного содержания, либо в порядке, установленном частью 1.1 настоящей статьи, посещать места принудительного содержания при соблюдении установленных в них правил внутреннего распорядка. Члены общественной наблюдательной комиссии вправе посещать камеры, карцеры, стационарные отделения, прогулочные дворики, библиотеки, столовые, штрафные и дисциплинарные изоляторы, одиночные камеры, помещения для обеспечения личной безопасности лиц, указанных в пункте 1 статьи 2 настоящего Федерального закона, иные помещения мест принудительного содержания, за исключением объектов и сооружений, на посещение которых необходимо согласие администраций мест принудительного содержания. При посещении мест принудительного содержания члены общественной наблюдательной комиссии вправе использовать измерительные приборы для контроля за микроклиматом в жилых и производственных помещениях, прошедшие государственную аттестацию и имеющие свидетельство о поверке;";

в пункте 3 слова "актами Российской Федерации;" заменить словами "актами Российской Федерации. В случае обсуждения членами общественной наблюдательной комиссии вопросов, не относящихся к обеспечению прав подозреваемых и обвиняемых в местах принудительного содержания, либо нарушения членами общественной наблюдательной комиссии установленных в местах принудительного содержания правил внутреннего распорядка беседа немедленно прерывается;";

дополнить пунктом 7 следующего содержания:

"7) при посещении мест принудительного содержания осуществлять кино-, фото- и видеосъемку в целях фиксации нарушения прав лиц, указанных в пункте 1 статьи 2 настоящего Федерального закона. Кино-, фото- и видеосъемка лиц, находящихся в местах принудительного содержания, за исключением судебно-психиатрических экспертных медицинских организаций, медицинских организаций, оказывающих психиатрическую помощь в стационарных условиях, общего типа, специализированного типа или специализированного типа с интенсивным наблюдением, осуществляется с письменного согласия этих лиц в местах, определяемых администрацией места принудительного содержания, в порядке, установленном федеральным органом исполнительной власти, в ведении которого находятся места принудительного содержания. Кино-, фото- и видеосъемка лиц, находящихся в медицинских организациях, оказывающих психиатрическую помощь в стационарных условиях, общего типа и специализированного типа, осуществляется с письменного согласия этих лиц в местах, определяемых руководителями этих медицинских организаций, в порядке, установленном федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере здравоохранения. Кино-, фото- и видеосъемка лиц, находящихся в судебно-психиатрических экспертных медицинских организациях и медицинских организациях, оказывающих психиатрическую помощь в стационарных условиях, специализированного типа с интенсивным наблюдением, осуществляется с письменного согласия этих лиц в местах, определяемых руководителями этих медицинских организаций, в порядке, установленном федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере здравоохранения, по согласованию с федеральным органом исполнительной власти, на который возложены обеспечение безопасности и охрана мест содержания под стражей. Кино-, фото- и видеосъемка несовершеннолетнего лица, находящегося в месте принудительного содержания, осуществляется с письменного согласия одного из родителей или иного законного представителя такого лица и письменного согласия самого лица. Кино-, фото- и видеосъемка лица, признанного в установленном порядке недееспособным, находящегося в месте принудительного содержания, осуществляется с письменного согласия опекуна или медицинской организации, исполняющей обязанности опекуна или попечителя. Лицо, находящееся в месте принудительного содержания, может отозвать свое согласие на кино-, фото- и видеосъемку, осуществляемую в целях фиксации нарушения его прав. Кино-, фото- и видеосъемка объектов, обеспечивающих безопасность и охрану лиц, находящихся в местах принудительного содержания, осуществляется с разрешения в письменной форме начальника (руководителя) места принудительного содержания или его заместителя. Отказ начальника (руководителя) места принудительного содержания или его заместителя в кино-, фото- и видеосъемке объектов, обеспечивающих безопасность и охрану лиц, находящихся в местах принудительного содержания, в письменной форме передается членам общественной наблюдательной комиссии.";

б) дополнить частью 1.1 следующего содержания:

"1.1. Порядок посещения членами общественной наблюдательной комиссии медицинских организаций, оказывающих психиатрическую помощь в стационарных условиях, общего типа и специализированного типа, а также условия проведения членами общественной наблюдательной комиссии беседы с находящимися в этих медицинских организациях лицами устанавливает федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере здравоохранения. Порядок посещения членами общественной наблюдательной комиссии судебно-психиатрических экспертных медицинских организаций и медицинских организаций, оказывающих психиатрическую помощь в стационарных условиях, специализированного типа с интенсивным наблюдением, а также условия проведения членами общественной наблюдательной комиссии беседы с находящимися в этих медицинских организациях лицами устанавливает федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере здравоохранения, по согласованию с федеральным органом исполнительной власти, на который возложены обеспечение безопасности и охрана мест содержания под стражей.";

8) часть 2 статьи 17 после слова "начальник" дополнить словом "(руководитель)", после слова "начальника" дополнить словом "(руководителя)".

Президент

Российской Федерации

Москва, Кремль

Аналогичное письмо направлено в Совет Федерации ФС РФ на имя (исх. № А-01/5-541 от 01.01.2001)

Исх. № А-01/5-540

от 01.01.2001

Председателю Правительства

Российской Федерации

О новой редакции статьи 19 Федерального закона «О персональных данных»

Принятие Федерального закона от 01.01.01 года «О персональных данных» (далее – Закон) стало важным шагом по защите прав граждан Российской Федерации, а также повышению качества защиты информационных систем персональных данных.

Вместе с тем, Закон содержит целый ряд норм, выполнение которых либо крайне затруднительно, либо допускает различное толкование, либо связано с неадекватными затратами операторов персональных данных.

Особую озабоченность вызывали подзаконные нормативные акты и методические документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, разработанные во исполнение Постановления Правительства Российской Федерации от 01.01.01 года № 000 «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

Помимо юридической неурегулированности статуса принятых документов имелись также определенные вопросы к техническим требованиям, изложенным в этих документах. По мнению ряда специалистов в области информационной безопасности , представленная в документах методология защиты информационных систем персональных данных являлась организационно сложной и финансово обременительной для большинства операторов персональных данных и создавала серьезные затруднения в процессе реализации норм Закона. В этой связи возникали сомнения в том, что основная масса организаций сможет привести свои системы персональных данных в соответствие с требованиями упомянутых документов.

В этой связи Ассоциация российских банков обращалась в уполномоченные государственные органы с вопросом о неадекватности мер по обеспечению безопасности обрабатываемых персональных данных.

В результате, по Вашему поручению, закрепленному Протоколом совещания от 01.01.01 года № ДП-П39-1пр, был разработан и внесен в Государственную Думу Федерального Собрания Российской Федерации проект федерального закона № «О внесении изменений в Федеральный закон «О персональных данных» (далее – Законопроект). Положения Законопроекта в значительной части основывались на Рекомендациях Парламентских слушаний на тему: «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных», состоявшихся в Государственной Думе ФС РФ 20 октября 2009 года.

Дальнейшая работа над Законопроектом велась при активном участии уполномоченных государственных органов, Банка России, банковского сообщества и всех заинтересованных лиц.

В результате многосторонних переговоров было достигнуто общее понимание о следующих принципах регулирования мер по обеспечению безопасности персональных данных при их обработке (статья 19 Закона):

– Правительство Российской Федерации устанавливает требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;

– Правительство Российской Федерации устанавливает требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.

– Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности , и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных (см. приложение 1).

Таким образом, модель регулирования мер по обеспечению безопасности персональных данных при их обработке должна была быть выстроена на принципах саморегулирования для различных групп организаций, осуществляющих деятельность определенного вида. Полагаем, что разработка и установление требований по обеспечению безопасности персональных данных, а также контроль за соблюдением указанных требований вполне возможно реализовать на практике, поскольку данная инициатива была поддержана Центральным Банком Российской Федерации и организациями, специализирующимися в области информационной безопасности.

Полагаем, такой подход более эффективен и повлечет меньшие затраты, чем установление общего регулирования для всех участников обработки персональных данных.

Однако, на последнем этапе обсуждения Законопроекта в Государственной Думе Федерального Собрания Российской Федерации Комитетом Государственной Думы Федерального Собрания Российской Федерации по конституционному законодательству и государственному строительству была рекомендована к принятию принципиально иная редакция статьи 19 Закона, которая предусматривает сохранение ныне действующей, крайне жесткой, неэффективной и чрезвычайно затратной для всех операторов персональных данных модели регулирования мер по обеспечению безопасности персональных данных при их обработке (см. приложение 2).

Тем самым, вопреки Вашему поручению, данному по результатам встречи 13 ноября 2009 года, в Законе сохранены положения, применение которых вызывает самые значительные возражения со стороны субъектов рынка и дальнейшая реализация которых повлечет несоразмерные поставленным целям затраты и издержки для всех субъектов Закона как государственных органов, так и юридических лиц.

Данная модель регулирования, в противовес изложенной выше, содержит явные недостатки, которые на практике могут повлечь серьезные проблемы для участников обработки персональных данных. Приведем некоторые из них.

Во-первых, Законопроектом не определена отраслевая модель регулирования. Предлагаемые Законопроектом подходы к установлению жестких требований Федеральной службы безопасности Российской Федерации (далее – ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) по защите персональных данных не учитывает интересы кредитно-финансовых организаций. Требования ФСБ России и ФСТЭК России предполагают существенные затраты и издержки, а также технически слабореализуемыми в информационных системах современной кредитной организации.

Во-вторых, Законопроект определяет неочевидный порядок контроля и надзора для коммерческих, в том числе для кредитно-финансовых организаций. Согласно Законопроекту, правом контроля и надзора за выполнением требований по обеспечению безопасности персональных данных в государственных информационных системах обладают исключительно ФСБ России и ФСТЭК России. При этом, по решению Правительства Российской Федерации ФСБ России и ФСТЭК России могут быть наделены полномочиями по осуществлению контроля и надзора в любой отрасли.

В этом случае возникает вопрос, на соответствие каким нормам и требованиям будет осуществляться контроль и надзор регуляторами.

В-третьих, право на принятие нормативных правовых актов в области определения угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, будет иметь целый ряд органов, включая федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативному правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы. Полагаем, что наделение нормотворческими функциями такого обширного и, по сути, неограниченного круга лиц не будет способствовать реализации принципа правовой определенности.

Принимая во внимание изложенное, просим Вас рассмотреть вопрос о внесении официальным представителем Правительства в Совете Федерации Федерального Собрания Российской Федерации предложения об отклонении Советом Федерации проекта федерального закона № «О внесении изменений в Федеральный закон «О персональных данных» в целях его доработки согласительной комиссией палат Федерального Собрания Российской Федерации с учетом изложенных обстоятельств.

Приложение на 9 листах.

С уважением,

Тосунян

Приложение 1

Редакция статьи 19 Федерального закона от 01.01.01 года «О персональных данных», согласованная участниками рынка

1. Оператор обязан принимать или обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с ними (далее – меры по обеспечению безопасности персональных данных). Указанные меры принимаются с учетом возможного вреда субъекту персональных данных, объема и характера обрабатываемых персональных данных, условий обработки персональных данных, актуальности угроз безопасности персональных данных, а также возможностей технической реализации этих мер.

2. Меры по обеспечению безопасности персональных данных включают в себя, в частности:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение методов (способов) защиты информации и прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

3) оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

4) учет машинных носителей персональных данных;

5) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

6) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

8) контроль принимаемых мер по обеспечению безопасности персональных данных.

3. Оператор, на которого в соответствии с законодательством Российской Федерации возложена обязанность обеспечивать сохранение охраняемой законом тайны, принимает меры по обеспечению безопасности персональных данных, составляющих соответствующую охраняемую законом тайну, при их обработке в информационных системах персональных данных в соответствии с требованиями, установленными для защиты сведений, составляющих соответствующую охраняемую законом тайну. Указанные меры должны обеспечивать соблюдение прав субъектов персональных данных, предусмотренных настоящим Федеральным законом.

4. Правительство Российской Федерации устанавливает с учетом частей 1 и 2 настоящей статьи:

1) требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;

2) требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.

5. Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных с учетом частей 1 и 2 настоящей статьи.

6. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных в государственных и муниципальных информационных системах персональных данных, установленных Правительством Российской Федерации в соответствии с частью 4 настоящей статьи, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

7. Федеральные органы исполнительной власти, иные государственные органы, органы местного самоуправления , операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе издавать стандарты обеспечения безопасности персональных данных. Стандарты обеспечения безопасности персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требований, устанавливаемых Правительством Российской Федерации в соответствии с частью 5 настоящей статьи. Стандарты обеспечения безопасности персональных данных в государственных и муниципальных информационных системах персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требованиями, указанными в пункте 1 части 4 настоящей статьи.

8. Оператор обязан принять решение о присоединении к стандарту обеспечения безопасности персональных данных, за исключением случаев, предусмотренных частью 22 статьи 25 настоящего Федерального закона. В случае, если необходимый стандарт обеспечения обработки персональных данных отсутствует, оператор вправе издать стандарт обеспечения безопасности персональных данных. Решение о присоединении к стандарту обеспечения безопасности персональных данных или об издании стандарта обеспечения безопасности персональных данных оператор принимает самостоятельно, если иное не установлено федеральным законом или международным договором Российской Федерации.

9. Федеральные органы исполнительной власти, иные государственные органы, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов уведомляют федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, об изданных ими стандартах обеспечения безопасности персональных данных, а также о свом решении о присоединении к стандартам обеспечения безопасности персональных данных.»

Приложение 2

Редакция статьи 19 Федерального закона от 01.01.01 года «О персональных данных», изложенная в проекте федерального закона № «О внесении изменений в Федеральный закон «О персональных данных», принятого Государственной Думой в трех чтениях

«Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласования проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.».

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласовании проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

• Условия обработки персональных данных

  3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.