В частности, предусматривается, что нормативные правовые акты по отдельным вопросам обработки персональных данных могут принимать не только государственные органы, как это установлено в настоящее время, но и органы местного самоуправления, а также Банк России. Такие акты принимаются во исполнение федеральных законов и в пределах полномочий указанных органов и Банка России.
В принципах обработки персональных данных акцентируется внимание на законности их обработки, соответствии содержания и объёма обрабатываемых персональных данных заявленным целям обработки.
Подробно регулируются вопросы, связанные с обращением к оператору субъекта персональных данных и уполномоченного органа по защите персональных данных, а также с поручением оператора другому лицу осуществлять обработку персональных данных, включая ответственность оператора перед субъектом персональных данных в случае такого поручения.
Федеральным законом разделяется порядок трансграничной передачи персональных данных иностранным государствам, являющимся и не являющимся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. Перечень иностранных государств, не являющихся сторонами указанной Конвенции, утверждается уполномоченным органом по защите прав субъектов персональных данных.
В целях выполнения обязанностей по обработке персональных данных оператору предписывается принимать необходимые и достаточные для этого меры, к которым могут относиться: определение политики в отношении обработки персональных данных; назначение лиц, ответственных за обработку персональных данных; принятие локальных нормативных актов; осуществление внутреннего контроля или аудита соответствия обработки персональных данных федеральному законодательству и требованиям к их защите; оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения указанных требований.
Существенное внимание уделяется мерам по обеспечению безопасности персональных данных при их обработке. Федеральным законом определяется перечень таких мер, а также предусматривается, что уровни защищенности персональных данных при их обработке в информационных системах персональных данных, требования к их защите, а также к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем устанавливаются Правительством Российской Федерации. Ассоциации, союзы и иные объединения операторов с учётом осуществляемой ими деятельности вправе определять дополнительные меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Федеральным законом также определяются федеральные органы исполнительной власти, осуществляющие контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке.
