В Закон о персональных данных вносились многочисленные изменения.

В связи с этим пересмотрены требования по защите этих данных при их обработке в соответствующих информационных системах.

Система защиты персональных данных призвана нейтрализовывать актуальные угрозы их безопасности. Она включает в себя организационные и (или) технические меры.

Последние зависят от установленного уровня защищенности персональных данных. Он определяется исходя из типа угроз (приведена их классификация), вида персональных данных (биометрические, общедоступные и пр.), количества их субъектов и прочих факторов.

За безопасность персональных данных отвечает оператор системы, который их обрабатывает, или уполномоченное им лицо.

Оператор системы выбирает средства защиты информации в соответствии с нормативными актами ФСБ России и ФСТЭК России.

Выполнение требований контролируется оператором (уполномоченным лицом) самостоятельно и (или) с привлечением на договорной основе юрлиц и ИП. Последние должны иметь лицензию на занятие деятельностью по технической защите конфиденциальной информации.

Контроль проводится не реже 1 раза в 3 года. Конкретные сроки определяются оператором (уполномоченным лицом).

Прежние требования признаны утратившими силу.