ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ В АКЦИОНЕРНОМ ОБЩЕСТВЕ

Обеспечение защиты информации и персональных данных является одним из приоритетных направлений и важнейшей задачей в обеспечении информационной безопасности акционерного общества. Невозможно представить деятельность компании без обработки информации о человеке. В акционерном обществе хранятся и обрабатываются данные об акционерах, членах органов управления и сотрудниках общества, о партнерах, о лицах, посещающих общество. Все это является персональными данными ( далее ПДн).

Нарушение конфиденциальности в обеспечении сохранности базы персональных данных общества - серьезный инцидент в обеспечении информационной безопасности, который может привести к невосполнимому ущербу и к многочисленным рискам. Это прежде всего финансовые риски, связанные с затратами на принятие срочных мер по устранению данной проблемы (проведение расследования, организация мероприятий по ликвидации данной проблемы), потеря репутации акционерного общества, а порой и полная остановка его деятельности.

Необходимость обеспечения безопасности персональных данных в настоящее время стала объективной реальностью. Эта необходимость вызвана быстрым развитием современных информационных технологий, средств электронной коммерции и электронного информационного обмена между партнерами по бизнесу, свободным доступом к средствам массовых коммуникаций, возможностью копирования и распространения информации.

В деле защиты персональных данных кроме внешних врагов существуют и внутренние враги, а именно инсайдеры. Сотрудники могут быть причастны к тому, что конфиденциальная информация и персональные данные, обрабатываемые в акционерном обществе, оказываются в открытом доступе в сети Интернет или, записанные на диски, продаются на черных" рынках.

Федеральный закон от 27.07.2010 г. № 224­ФЗ (ред. от 28.07.2012 г.) О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации" дает следующее определение инсайдерской информации:

4.2.1. Инсайдерской является существенная информация о деятельности общества, акциях и других ценных бумагах общества и сделках с ними, которая не является общедоступной и раскрытие которой может оказать существенное влияние на рыночную стоимость акций и других ценных бумаг общества."

Это существенная информация об активах компании ограниченного распространения. Вполне возможно, что информация персонального характера, например, об основных акционерах или учредителях, клиентах, об их финансовом положении, в конце концов, даже об их состоянии здоровья вполне может оказать существенное влияние на стоимость акций акционерного общества. Так что, если исходить из этого, персональные данные вполне можно отнести к инсайдерской информации.

Злоумышленниками активно используются все современные средства для добычи информации о персональных данных. Все это создает угрозу бизнесу, правам и законным интересам каждого человека.

Акционерные общества, обрабатывающие персональные данные, принимали меры по их защите, исходя из собственных представлений, закрепленных во внутренней политике информационной безопасности. Сейчас ситуация изменилась. В соответствии с Федеральным законом Российской Федерации от 27.07.2006 г. № 152­ФЗ О персональных данных" (в редакции № 261­ФЗ от 25.07.2011 г.) (далее - ФЗ № 152) существенно возросли требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе сведения о фамилиях, именах, отчествах акционеров). Такие компании, организации и физические лица относятся к операторам персональных данных.

Постановлением Правительства РФ от 01.11.2012 г. № 1119 установлены требования к защите персональных данных при их обработке в информационных системах, определяющие классификацию информационных систем по видам обрабатываемых данных, классификацию угроз для разных видов систем, а также необходимые уровни защищенности для каждого из видов таких систем. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Выбор средств защиты информации для системы осуществляется оператором в соответствии с нормативными правовыми актами ФСБ России и ФСТЭК России.

Основные нормативно-правовые акты в области защиты персональных данных

Для выполнения мероприятий по защите персональных данных необходимо знать основные нормативно­правовые акты в этой области. В данном разделе представлены указы Президента РФ, постановления Правительства РФ, нормативно­правовые акты, которые на сегодняшний день регламентируют обработку персональных данных.

Федеральные законы РФ:

• Федеральный закон Российской Федерации от 06.04.2011 г. № 63­ФЗ Об электронной подписи".
• Федеральный закон Российской Федерации от 29.07.2004 г. № 98­ФЗ О коммерческой тайне".
• Федеральный закон от 01.07.2011 г. № 261­ФЗ О внесении изменений в ФЗ О персональных данных".
• Федеральный закон Российской Федерации от 27.07.2006 г. № 152­ФЗ О персональных данных".
• Закон Российской Федерации О безопасности" от 05.03.1992 г. № 2446­I (с изменениями и дополнениями от 25.12.1992 г. № 4235­I; от 24.12.1993 г. № 2288; от 25.07.2002 г. № 116­ФЗ; от 07.03.2005 г. № 15­ФЗ).
• Федеральный закон от 27.07.2006 г. № 149­ФЗ Об информации, информационных технологиях и о защите информации".
• Федеральный закон от 30.11.2011 г. № 363­ФЗ О внесении изменений в статьи 19 и 25 Федерального закона О персональных данных".
• Конвенция о защите физических лиц при автоматизированной обработке персональных данных.
• Кодекс Российской Федерации об административных правонарушениях.
• Трудовой кодекс РФ. Глава 14 Защита персональных данных работника".

Указы Президента РФ:

• Доктрина информационной безопасности РФ от 09.09.2000 г.
• Концепция национальной безопасности Российской Федерации.
• Указ Президента Российской Федерации от 06.03.1997 г. № 188 Об утверждении перечня сведений конфиденциального характера".
• Указ Президента Российской Федерации от 17.03.2008 г. № 351 О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно­телекоммуникационных сетей международного информационного обмена".
• Указ Президента Российской Федерации от 30.05.2005 г. № 609 Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела".
• Указ Президента Российской Федерации от 15.01.2013 г. № 31с О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации".

Постановления Правительства РФ:

• Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
• Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
• Проект постановления Правительства РФ Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных" от 25.04.2012 г.
• Проект постановления Правительства РФ О требованиях к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных" от 25.04.2012 г.

Нормативные документы ФСТЭК России:

• Положение по аттестации объектов информатизации по требованиям безопасности информации.
• Положение о методах и способах защиты информации в информационных системах персональных данных.

Нормативные документы Роскомнадзора:

• Постановление Правительства Российской Федерации от 16.03.2009 г. № 228 О Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций" (с изменениями, согласно постановлениям Правительства Российской Федерации от 17.03.2010 г. № 160, от 24.03.2011 г. № 210, от 16.05.2011 г. № 368).
• Административный регламент проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Основные мероприятия по организации и обеспечению защиты персональных данных в акционерном обществе

Прежде чем приступить к мероприятиям по организации и обеспечению защиты персональных данных, необходимо назначить лицо (физическое или юридическое), ответственное за организацию защиты ПДн.

Ответственное лицо назначается приказом, и на него возлагается определенный круг обязанностей.

Основные мероприятия по организации и обеспечению защиты персональных данных представляют собой комплекс организационных и программно­технических мероприятий по защите информации. Мероприятия организационного характера проводятся независимо от того, нужно подавать уведомление в Роскомнадзор или же не нужно¹. Рассмотрим данные мероприятия подробней по этапам выполнения.

Организационные мероприятия

Первый этап. Обследование и инвентаризация информационных систем акционерного общества.

Прежде всего, необходимо провести анализ информационных систем ПДн акционерного общества (далее ­- ИСПДн). Это можно сделать самостоятельно или пригласив специалистов организации, которая этим занимается профессионально. На данном этапе решаются следующие задачи:

1.1. Составление перечня персональных данных, обрабатываемых в акционерном обществе.

В первую очередь, необходимо установить перечень персональных данных (ПДн) физических лиц, которые обрабатываются в акционерном обществе. Если бухгалтерский и кадровый учет есть в любом АО, то другие направления обработки ПДн необходимо выявлять. Это однозначно будут сведения об акционерах и членах органов управления и контроля акционерного общества. Могут быть данные клиентов, заказчиков, посетителей, партнеров, контрагентов и другие. Обработка этих сведений и данных производится в различных целях, на различных основаниях и в различных информационных системах.

Затем следует определить цели обработки персональных данных, все те категории персональных данных, которые обрабатываются в ИСПДн, и оценить правомерность их обработки.

ФЗ № 152 Закон о персональных данных" очень жестко требует, чтобы операторы обрабатывали только те персональные данные, которые отвечают заранее сформулированным целям. Это, прежде всего, трудовые отношения; кадровый учет; анкеты акционеров; списки лиц, имеющих право участвовать в общем собрании акционеров; бухгалтерские документы; данные клиентов, заказчиков, посетителей, партнеров, контрагентов и т. п.

После уточнения правомерности обработки сведений может потребоваться некоторая корректировка бизнес­процессов, связанных с обработкой персональных данных.

1.2. Определение сроков обработки и хранения персональных данных.

В соответствии с ФЗ № 152, хранение ПДн должно быть не дольше, чем этого требуют цели их обработки, по достижению которых ПДн подлежат уничтожению. Необходимо установить перечень ПДн, по которым цели обработки достигнуты.

Второй этап. Классификация информационных систем ПДн.

Классификация информационных систем персональных данных осуществляется в соответствии c Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".

Постановлением устанавливаются четыре уровня защищенности персональных данных при их обработке в информационных системах и требования для каждого из них.

Отнесение информационных систем к тому или иному уровню защищенности производится в зависимости от вида персональных данных, который обрабатывает информационная система (специальные, биометрические, общедоступные, иные), типа актуальных угроз (1­й, 2­й, 3­й), количества обрабатываемых информационной системой субъектов персональных данных и от того, обрабатываются ли персональные данные о сотрудниках оператора.

Для установления и оценки типа актуальных угроз необходимо привлекать специалистов в области информационной безопасности.

После установки исходных данных для конкретной ИСПДн определяется уровень защищенности персональных данных.

Третий этап. Разработка и утверждение распорядительных и нормативных документов по организации защиты ПДн в акционерном обществе.

Разработка пакета локальных нормативных актов акционерного общества по вопросам защиты персональных данных является важнейшей частью организационных мероприятий. ФЗ № 152 требует, чтобы к документам, определяющим политику оператора и сведения о реализуемых требованиях к защите персональных данных, был обеспечен неограниченный доступ, т. е. такой документ должен быть опубликован в Интернете.

Приведем перечень документов, адаптированный для акционерного общества.

Приказ О проведении работ по защите персональных данных".

Приказ вводит в действие документы по защите персональных данных, приведенные ниже.

Положение по защите персональных данных.

Определяет основные цели и задачи, а также общую стратегию построения системы защиты персональных данных АО. Включает в себя ряд инструкций и регламентов, в том числе:

1. Инструкцию по обеспечению безопасности рабочих мест обработки персональных данных.

Определяет требования по защите рабочих мест ИСПДн, на которых ведется обработка и хранение персональных данных.

2. Порядок резервирования и восстановления работоспособности.

Определяет меры и средства поддержания непрерывности работы и восстановления работоспособности ИСПДн.

3. Порядок уничтожения носителей персональных данных.

Комментарии излишни.

Положение об обработке персональных данных работников.

Определяет порядок обработки ПДн, права и обязанности общества и сотрудников, связанные с обработкой персональных данных; защиту персональных данных сотрудников. Все сотрудники должны быть ознакомлены с ним под роспись. В состав Положения входят:

1. 1. Инструкция по обработке персональных данных без использования средств автоматизации.
2. 2. Инструкция по работе с обращениями субъектов персональных данных.
3. 3. Инструкция пользователя информационной системы персональных данных.
4. 4. Инструкция по работе со съемными носителями, содержащими персональные данные.
5. 5. Описание технологического процесса обработки персональных данных.
6. 6. Инструкция по работе с обезличенными персональными данными.
7. 7. Дополнения в договоры с сотрудниками, обрабатывающими персональные данные.
8. 8. Обязательство о неразглашении информации, содержащей персональные данные (оформляется в случае, если обязательства о неразглашении персональных данных не прописаны в трудовом договоре с работниками, допущенными к обработке).
9. 9. Согласие сотрудника на обработку персональных данных.
10. 10. Согласие на обработку персональных данных.

1.3. Политика информационной безопасности.

Документ определяет основные требования к персоналу ИСПДн, степень ответственности персонала, структуру и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн.

1.4. План мероприятий по обеспечению безопасности персональных данных.

Определяет, какие мероприятия должны быть исполнены, и в какой срок.

1.5. Перечень персональных данных.

Определяет, какие персональные данные обрабатываются в организации, каковы правовые основания их обработки. Кроме того, в перечне указаны сроки и места хранения информации, содержащей персональные данные.

1.6. Перечень информационных систем персональных данных.

1.7. Положение о разграничении прав доступа к персональным данным.

В данном документе представлен список лиц, ответственных за обработку персональных данных в информационных системах персональных данных, а также уровень их прав доступа к обрабатываемым персональным данным.

1.8. Перечень помещений, предназначенных для обработки персональных данных.

Документ определяет перечень помещений, в которых производится обработка (в том числе и хранение) персональных данных. За каждым помещением закрепляется ответственный.

1.9. Инструкция о порядке физической охраны помещений, содержащих носители персональных данных.

Определяет обязанности должностных лиц и порядок взаимодействия между структурными подразделениями оператора по обеспечению безопасности носителей персональных данных.

1.10. Инструкция о порядке проведения разбирательств по фактам нарушений.

Кроме того, единоличным исполнительным органом акционерного общества издаются приказ о назначении ответственного за обеспечение безопасности персональных данных и приказ о создании комиссии для проведения классификации информационных систем ПДн, приказ о назначении администратора безопасности информационных систем персональных данных; утверждаются положение о комиссии по классификации информационных систем персональных данных, акт классификации информационных систем персональных данных, инструкция администратора безопасности информационной системы персональных данных.

Также издается приказ о контролируемой зоне. Контролируемая зона - это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств. Все элементы ИСПДн должны располагаться в пределах контролируемой зоны.

К иным документам следует отнести:

• приказ об утверждении перечня сотрудников, допущенных к обработке персональных данных;
• журнал антивирусных проверок;
• журнал учета логинов;
• журнал учета обращений субъектов;
• журнал учета СЗИ;
• журнал учета съемных носителей;
• инструкции по организации парольной защиты при организации доступа к информационным ресурсам локальной сети общества и сети Интернет.

При разработке этих документов необходимо быть предельно внимательными. Обязательные требования могут содержаться в самых различных документах, перечисленных выше. Так, например, в Трудовом кодексе (ст. 88) содержится требование о порядке передачи персональных данных работников в пределах одной организации, т. е. между ее структурными подразделениями.

Четвертый этап. Разработка и утверждение модели угроз безопасности персональных данных в акционерном обществе.

Модель угроз безопасности персональных данных (далее УБПДн) при их обработке в ИСПДн акционерного общества содержит в себе систематизированный перечень актуальных УБПДн, позволяет выявить маловероятные УБПДн, что дает возможность существенно снизить затраты на реализацию механизмов защиты ПДн на дальнейших этапах работ. Эта модель разрабатывается в соответствии с методическими документами ФСТЭК России Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных". Модель УБПДн составляется для каждой выявленной ИСПДн и оформляется в виде документа.

Модель УБПДн при их обработке в ИСПДн утверждается руководителем или начальником подразделения, ответственного за обеспечение безопасности ПДн. В ней отражаются:

1. Структура ИСПДн с указанием характеристик режима обработки ПДн (подробно).
2. Перечень обрабатываемых ПДн.
3. Вывод о категории обрабатываемых ПДн на основании состава ПДн.
4. Конфигурация ИСПДн, т. е. схематичное взаиморасположение элементов ИСПДн:

• группы пользователей ИСПДн;
• АРМ пользователей ИСПДн;
• сервера, например, почтовый, файловый, прокси­сервер, сервер приложений, баз данных и другие;
• сеть общего доступа и обмена, например, Интернет;
• схема территориального расположения ИСПДн относительно контролируемой зоны (далее КЗ).

5. Описание процесса обработки ПДн в ИСПДн.

6. Поименный список сотрудников, участвующих в обработке ПДн в ИСПДн, и другие вопросы в соответствии с методическими документами ФСТЭК России.

Работа эта очень сложная и кропотливая. Для разработки модели угроз необходимо привлечь специалистов в области информационной безопасности.

Пятый этап. Подготовка и отправка уведомления об обработке персональных данных.

Статья 22 Закона о персональных данных Уведомление об обработке персональных данных" гласит:

Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи."

Уведомление, предусмотренное частью 1 указанной статьи, должно быть направлено в письменной форме и подписано уполномоченным лицом или направлено в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством РФ.

Для подготовки заявления в уполномоченный орган о предоставлении выписки из реестра операторов, осуществляющих обработку персональных данных, рекомендуется воспользоваться электронной формой, размещенной на официальном сайте Роскомнадзора.

Непредставление оператором уведомления об обработке персональных данных или мотивированного ответа с отказом представить уведомление на информационное письмо Управления Роскомнадзора, а также нарушение сроков представления информации влекут за собой ответственность, предусмотренную ч. 1 ст. 19.7 Кодекса Российской Федерации об административных правонарушениях.

Программно-технические мероприятия

К выполнению этапов программно-­технических мероприятий, а именно: проектирование системы защиты информации ИСПДн; внедрение системы защиты информации ИСПДн и аттестация ИСПДн, необходимо привлекать организации, занимающиеся информационной безопасностью и имеющие лицензии ФСТЭК по технической защите конфиденциальной информации. Кратко рассмотрим перечень выполняемых работ на этапах программно­технических мероприятий.

1. Проектирование системы защиты информации ИСПДн акционерного общества.

Проектирование системы защиты персональных данных в составе ИСПДн осуществляется в целях корректного и наиболее эффективного выполнения всех требований безопасности и технического задания на создание системы защиты персональных данных (далее СЗПДн) и в общем случае включает следующие работы:

• разработку технического задания СЗПДн в соответствии с требованиями руководящих документов;
• разработку технического проекта построения СЗПДн (включая спецификацию на оборудование и программное обеспечение), определяющего дополнительные (к уже используемым в акционерном обществе) технические решения ИБ, их роль и место в ИТ­инфраструктуре, в объеме, необходимом и достаточном для исполнения требований ФЗ № 152 и подзаконных нормативных документов;
• разработку плана работ с оценкой стоимости каждого из этапов для реализации предложенных технических решений;
• макетирование и стендовые испытания СЗПДн;
• разработку рабочей документации на СЗПДн.

2. Внедрение системы защиты информации ИСПДн акционерного общества.

Этот процесс включает следующие работы:

• закупка, установка и настройка необходимых сертифицированных средств защиты информации (далее СЗИ);
• пуско­наладочные работы СЗИ ИСПДн;
• разработка комплекта эксплуатационной документации для администраторов и пользователей СЗИ;
• обучение пользователей и технического персонала ИСПДн.

По результатам испытаний оформляется заключение, содержащее вывод о степени соответствия системы защиты заданным требованиям по обеспечению безопасности ПДн и возможности принятия СЗПДн в эксплуатацию.

3. Аттестация ИСПДн акционерного общества.

Аттестационные испытания ИСПДн осуществляются аттестационной комиссией, формируемой органом по аттестации, аккредитованным ФСТЭК России. Аттестационные испытания проводятся по программе и методике испытаний и в соответствии с Положением по аттестации объектов автоматизации.

Уровень безопасности информации, оцениваемый в процессе аттестационных испытаний, определяется классом ИСПДн (по классификации в соответствии с нормативно­методическими документами ФСТЭК России). При этом выполнятся следующие работы: проведение аттестационных испытаний ИСПДн и разработка отчетных документов. Результатом аттестационных испытаний являются:

• протокол аттестационных испытаний ИСПДн;
• заключение по результатам аттестационных испытаний;
• аттестат соответствия на ИСПДн.

Контроль и надзор за обработкой персональных данных. Ответственность за нарушение требований ФЗ О персональных данных"

Согласно ст. 24 Федерального закона О персональных данных" на лиц, виновных в нарушении его требований, возлагается гражданская, уголовная, административная, дисциплинарная и иная предусмотренная законодательством РФ ответственность.

Кодекс об административных правонарушениях предусматривает максимальный штраф в 500 000 рублей за невыполнение законного предписания Роскомнадзора (ст. 19.5 КоАП РФ). Тот же Кодекс предусматривает приостановку деятельности организации на срок до 90 суток при осуществлении деятельности по защите персональных данных без специального разрешения (лицензии) (ст. 19.20 КоАП РФ).

В уголовном кодексе говорится о штрафе в 300 000 руб., обязательных работах на срок до 1­го года, аресте до 6­ти месяцев и лишении права занимать должность на срок до 5­ти лет при осуществлении защиты персональных данных без специального разрешения (лицензии) в случаях, если это деяние причинило крупный ущерб гражданам (ст. 171 УК РФ).

Контроль и надзор за выполнением требований законодательства в области защиты персональных данных осуществляют следующие федеральные службы:

• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) - федеральный орган исполнительной власти России в ведении Минкомсвязи России. Роскомнадзор является федеральным органом исполнительной власти, осуществляющим функции по контролю и надзору в сфере средств массовой информации, в том числе электронных, и массовых коммуникаций, информационных технологий и связи, функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

Роскомнадзор осуществляет контроль за соблюдением норм и требований по обработке персональных данных в соответствии с требованиями законодательства.

• Федеральная служба безопасности РФ (ФСБ РФ) осуществляет контроль за соблюдением требований по организации и обеспечению функционирования шифровальных (криптографических) средств в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. Устанавливает методы и способы защиты информации в информационных системах в пределах своих полномочий.
• Федеральная служба по техническому и экспортному контролю (ФСТЭК России) - федеральный орган исполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.

ФСТЭК России осуществляет контроль за соблюдением выполнения требований по организации и техническому обеспечению безопасности ПДн (не криптографическими методами) при их обработке в ИСПДн. Определяет методы и способы защиты информации в ИСПДн в пределах своих полномочий.

В статье использовались следующие материалы:

1. Журнал Защита персональных данных" № 4 (45), апрель 2012 г.
2. Статья Защита персональных данных в организациях ТЭК" М.Ю. Емельянникова, экcперта в области информационной безопасности и безопасности бизнеса. Управляющий партнер Консалтингового агентства Емельянников, Попова и партнеры"

¹ Летом 2012 года были внесены изменения в Федеральный закон от 27.07.2006 № 152­ФЗ О персональных данных". В соответствии с п. 2.1 ст. 25 все документы организаций­операторов должны быть не только приведены в соответствие с новой редакцией Закона о персональных данных, но до 1 января 2013 года организации­операторы должны были направить в территориальный орган Роскомнадзора РФ уведомление в установленной форме с приложением необходимого пакета документов.