Закон о персональных данных вступил в силу 27 июля 2011 г.

Документ ужесточает ответственность организаций за соблюдение защиты личной информации россиян. Напомним, принятый в 2006 году Федеральный закон "О персональных данных" предоставлял отсрочку по введению этой нормы до 1 января 2010 года. Впоследствии Госдума дважды продлевала этот срок, и в последний раз - до 1 июля 2011 года. В мае депутаты решили не откладывать срок еще раз.

Новый закон напрямую затрагивает десятки тысяч российских компаний и организаций (кроме, разве что, архивов), которые сегодня регистрируют приватные, контактные сведения о людях в компьютерных базах данных. Речь идет в первую очередь о поликлиниках и медицинских центрах, операторах мобильной связи, банках, страховых компаниях, пенсионных и инвестиционных фондах, отелях и гостиницах, туристических агентствах.

Операторы должны установить правила доступа к персональным данным, регистрацию всех действий, совершаемых с информацией. Фиксировать факты несанкционированного доступа, а также восстановления потерянной информации, которая может быть повреждена или уничтожена в результате взлома или хакерской атаки. При этом они должны оценить вред, который может быть причинен гражданам. И соблюдать установленные правительством технические требования по защите информации. И при этом использовать только определенные сертифицированные приборы и программы, одобренные уполномоченными на то силовыми структурами: Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю (ФСТЭК). Эти же организации будут контролировать выполнение новых требований.

Для граждан наиболее существенным является, то, что их согласие на обработку информации персональных данных о них может быть дано теперь в произвольной форме. Достаточно в анкете поставить галочку на сайте оператора в графе "согласен", и это будет считаться положительным ответом. Исключения касаются государственных ведомств и их ресурсов.

Вторым важным изменением является то, что вопрос, какими способами и технологиями осуществлять сохранность данных, выбирает оператор. Раннее уполномоченными органами, которые определяли технологии сохранности данных, были спецслужбы, которые рекомендовали использование дорогостоящих методов. В результате операторы просто не ставили защиту на персональные данные, и этим грешили практически все.

Кроме того, закон вводит понятие биометрических персональных данных. Но прерогатива их хранения и использования отдана в основном государственным службам, которые смогут к ним обратиться в случае необходимости установления личности. При этом обязательно письменное согласие человека на сбор и дальнейшее использование его биометрических данных, к которым относятся индивидуальные рисунки на пальцах рук и сетчатке глаза. Однако если человека подозревают в нарушении закона, причастности к терактам, то согласия, понятно, не требуется.

Важным является раздел по трансграничной передаче персональных данных, то есть о передаче их операторам других стран. Теперь туроператоры и транспортные компании должны иметь в виду, что если правила другой страны противоречат основным Нашим законам, в том числе Конституции, то передача данных может быть даже запрещена. Кроме того, оператора обязывают убедиться в том, что иностранным государством, на территорию которого осуществляется передача данных, обеспечивается защита их обладателя. Причем сделать это надо до начала их передачи. Сама же передача персональной информации за рубеж не может осуществляться без письменного согласия субъекта.

Закон также определяет право гражданина на получение сведений о своих персональных данных. Он имеет право потребовать убрать информацию о себе из базы коммерческого оператора. В случае если этого по техническим причинам сделать нельзя, информация должна быть заблокирована. На то, чтобы стереть данные, оператору дается семь дней.