Единый федеральный информационный регистр, содержащий сведения о населении: читаем закон

8 июня, в день подписания президентом, вступил в силу Федеральный закон от 08.06.2020 № 168-ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» (дальше для краткости буду называть его Единый регистр населения).

Правда, «вступил в силу» – это, в данном случае, слишком громко сказано. Пока только дана отмашка на создание регистра, само вступление закон в силу в полном объеме произойдет только с 1 января 2026 года и разбито на несколько этапов: с 1 января 2022 года, 2023 года, 2024 года, 2026 года.

Для того, чтобы закон заработал, необходимо принятие целого ряд нормативных правовых актов Президентом и Правительством, причем содержание части из них пока совершенно не ясно.

Единый регистр формируется и ведется ФНС России, она же является оператором этой информационной системы.

В Единый регистр населения вносятся две категории сведений: первая - это записи о физическом лице – ФИО, даты и места рождения и смерти, пол (в том числе  сведения о его изменении),сведения о семейном положении, сведения о гражданствах и выходе из них, о наличии документа на право постоянного проживания в иностранном государстве. Не так и много, как видно.

Вторая категория – не сами сведения, а идентификаторы записей о физическом лице из других систем госорганов и внебюджетных фондов, их гораздо больше.

На самом деле регистра два: один содержит все перечисленные выше сведения, а другой, хранящийся обособленно, – обезличенные персональные данные. В дополнение к персональным данным, полученным в результате обезличивания, о которых я не так давно писал, появляется еще одна новая сущность. Одно ли это и то же или разные сведения – совершенно не понятно, поскольку, как и в законе о проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта, в новом законе нет определения того, что это означает, и как именно должно осуществляться обезличивание. И даже нет поручения кому бы то ни было определить такой порядок для Единого регистра населения.

При этом необезличенный регистр делится на части. В первой части содержатся сведения о простых смертных, во второй, формируемой обособленно, – сведения о лицах, которым предоставляется государственная защита. Делается это, как указано в части 12 статьи 8 закона, в целях обеспечения безопасности государства, а также прав и свобод этих самых отдельных физических лиц.

К обезличенному регистру будут получать доступ органы власти, которым нужны статистические данные и которые не занимаются предоставлениям персонифицированных услуг населению.

В статье 10 определяется закрытый перечень органов и организаций, предоставляющих сведения в Единый регистр населения: МВД, Минобороны, Минкомсвязи (или Минцифры, как стало модно его называть), Минобрнауки, Рособрнадзор, ФНС, Росморречфлот, Роструд, ПФР, ФСС, ТФОМС.

Но вот в части 15 статьи 8 указано, что сведения, предусмотренные частью 2 статьи 7 закона и ранее не учтенные в государственных информационных системах органов государственной власти, органов управления государственными внебюджетными фондами, могут вноситься в Единый реестр населения ФСБ, СВР, ФСО и «иными органами, уполномоченными на решение задач в области обеспечения безопасности Российской Федерации».

Я, конечно, могу предположить, что это за сведения, но лучше дождаться, как это предусмотрено законом, указа Президента, определяющего перечень таких органов, и постановления Правительства, определяющего порядок предоставления сведений.

Еще один интересный момент – все, что предоставляется в Единый регистр населения и хранится в нем, каждая запись, должны заверяться усиленной квалифицированной электронной подписью, которую необходимо иметь возможность проверить. Похоже, о том, что ключ такой подписи и сертификат ее проверки имеют ограниченный срок действия (очень ограниченный), что криптография для электронной подписи периодически меняется, что СКЗИ снимаются с производства и утрачивают сертификаты соответствия, законодатели не задумывались. Теперь то, как решить эти проблемы (цитирую: «обеспечивается подтверждение … действительности усиленных квалифицированных электронных подписей», при этом из текста закона следует, что обеспечивается вечно), должно очень быстро придумать правительство. Причем изменений в законе «Об электронной подписи» закон о Едином регистре населения не предполагает.

Весьма интересный подход предлагается к восстановлению записей в Едином регистре населения. Понятия резервное копирование, резервная копия, территориально распределенная система резервирования в законе не упоминаются. Но зато написано, что запись федерального регистра сведений о населении подлежит восстановлению на основании сведений, направляемых в уполномоченный орган органами и организациями, указанными в статье 10 закона. Запись должна быть восстановлена полностью, но частичное восстановление записи допускается в исключительном случае, если ФНС были исчерпаны все возможные способы получения сведений о физическом лице в целях восстановления записи. При этом, вместо определения порядка резервного копирования и восстановления данных предложено поручить правительству определить перечень способов получения сведений о физическом лице в целях восстановления записи Единого  регистра населения и правила их применения, в том числе порядок взаимодействия с органами и организациями, предоставляющими сведения в регистр.

С защитой данных в регистре все очень строго. Никаких оценок соответствия средств защиты информации, только сертификация, о чем прямо написано в законе.

Ну, и, как обычно, вишенка в конце. К сведениям о себе любимом субъект сможет получить доступ только после полного формирования регистра, с 1 января 2026 года, и при условии, что у него есть учетная запись на портале госуслуг. До этого – ни-ни.

Защита персональных данных 18-19 мая: разберемся, что нового

18 и 19 мая в Учебном центре «Информзащита» буду читать очередной курс КП-32 «Защита персональных данных». Скорее всего, пройдет он полностью онлайн, но это ничего не меняет – все будет видно и слышно, как обычно 😊.

Курсу 13 лет, и все эти годы он меняется – вместе с законом, практикой правоприменения, судебными решениями, позицией надзорного органа.

Поскольку сейчас возможность его проводить у меня появляется не часто, примерно раз в квартал, каждый раз в курсе происходят изменения.

В этот раз будет несколько нововведений:

·    добавлен блок с разбором характерных нарушений, возникающих в ходе последних проверок Роскомнадзором;

·    расскажем о новых тенденциях законотворчества, в первую очередь, связанных с обезличиванием персональных данных и большими пользовательскими данными, возможности формирования с их использованием социальных профилей и рейтингов;

·    подробно остановимся на том, когда возникает и когда не возникает поручение обработки персональных данных, в первую очередь при передаче персональных данных работников работодателем иным лицам, поскольку такая передача связана с получением согласия в письменной форме, которое, по мнению надзорного органа, должно даваться для каждого поручения отдельно;

·    в блоке о биометрических данных разберем практику использования системы распознавания лиц в Москве и проанализируем, насколько она законна, и что надо было бы сделать для ее полной легализации.

Будет и еще одно нововведение: слушатели курса за оставшееся до курса время могут направить мне свои вопросы по адресу электронной почты, указанному на блоге, я подготовлю ответы на них, и в ходе курса мы разберем проблему. В зависимости от количества вопросов это будет или специально выделенная сессия вопросов и ответов 19 мая в конце курса, или я отвечу на них в соответствующих разделах курса.

Привилегия только для слушателей, никаких публикаций с ответами по результатам не будет.

Так что милости прошу на курс, и как обычно, уверяю – скучно не будет! 

Персональные данные, полученные в результате обезличивания

С глубоким разочарованием и внутренним стыдом осознавая, что совершенно ничего не понимаю в трейдерской деятельности по закупке бочек с нефтью с отрицательной ценой (что, правда доплачивают по 40 баксов за бочку каждому купившему? Не верю! Я же математик все-таки по образованию) и во взаимодействии коронавируса с разными типами белков при проникновении в организм, продолжаю писать о том, в чем понимаю.

17 апреля ТАСС сообщил, что Совет Федерации одобрил законопроект «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных"».

С недоумением наблюдаю, как в последнее время законодатели и правоприменители плодят все новые и новые сущности. Вот и новый практически уже закон вносит в 152-ФЗ «О персональных данных» принципиально новое понятие «персональные данные, полученные в результате обезличивания», сохраняя «добрую» традицию не давать определение используемому термину.

Давайте сначала разберемся с понятиями действующего законодательства. В действующей редакции закона 152-ФЗ определено, что обезличивание персональных данных – это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Такое определение фактически допускает два принципиально разных подхода к обезличиванию: (1) когда оператор заменяет информацию, идентифицирующую субъекта, например, ФИО и СНИЛС, некими условными идентификаторами, с сохранением возможности при необходимости связать обезличенные данные с конкретным субъектом (назовем его обратимым обезличиванием) и (2) необратимое обезличивание, когда оператор уничтожает идентифицирующие данные, что не позволяет сделать даже ему процесс обезличивания обратимым, и использует эти данные для статистических, аналитических целей, таких, например, как андеррайтинг или исследование рынка.

В европейском GDPR для таких видов обезличивания используются разные термины – псевдонимизация и анонимизация, и выдвигаются совершенно разные требования к защите полученных данных, точнее, к обработке анонимизированных данных не выдвигается вообще никаких требований, а к псевдонимизированным требуется относиться также, как и к персональным данным.

Наши законодатели пошли своим путем. У меня давно было подозрение, что наше обезличивание – это не совсем обезличивание. Основывалось оно на том, что в требованиях и методах по обезличиванию, утвержденных приказом Роскомнадзора № 996 от 05.09.2013, среди обязательных для выполнения госорганами требований при обезличивании есть обратимость, то есть возможность проведения деобезличивания - процесса, в результате которого данные опять становятся персональными. Это полностью противоречит букве и духу закона 152-ФЗ, который в части 7 статьи 5 однозначно допускает, в случае достижения цели обработки персональных данных, два возможных действия – их уничтожение или обезличивание, то есть после обезличивания данные должны перестать быть персональными, и их привязка к конкретному субъекту должна быть невозможна.

Первый звоночек прозвенел, когда появился законопроект, в котором упоминались обезличенные данные и обезличенные персональные данные. Но, пока законопроект пребывает где-то в недрах законотворчества, появился другой – тот самый, о котором 17 апреля сообщил ТАСС.

Что же в новом законопроекте, «почти законе», написано про использование «персональных данных, полученных в результате обезличивания»?

Правительство Москвы наделяется полномочиями по согласованию с Минкомсвязи России определять порядок и условия обработки участниками экспериментального правового режима персональных данных, полученных в результате обезличивания, на основании соглашений, которые таким участникам надо будет заключить с уполномоченным органом в г. Москве (его определит московское правительство, как я понимаю, это будет ДИТ Москвы).

Персональные данные, полученные в результате обезличивания и обрабатываемые в установленном Правительством Москвы порядке, не могут быть переданы лицам, не являющимся участниками экспериментального правового режима (то есть участникам эксперимента передать их можно).

В случае утраты статуса участника экспериментального правового режима или прекращения эксперимента лицо, являвшееся участником экспериментального правового режима, утрачивает право на получение персональных данных, полученных в результате обезличивания, а хранящиеся у такого лица данные подлежат уничтожению в порядке, установленном уполномоченным Правительством Москвы органом по согласованию с Минкомсвязи России. Для уничтожения этих данных применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации, в составе которых реализована функция уничтожения информации.

Участники экспериментального правового режима несут ответственность за соблюдение прав субъектов персональных данных в течение всего срока проведения эксперимента и после прекращения их участия в эксперименте. Уполномоченный орган и координационный совет экспериментального правового режима осуществляют в порядке, установленном Правительством Москвы по согласованию с Правительством РФ, мероприятия по контролю за соблюдением обязанности по уничтожению персональных данных, полученных в результате обезличивания (вот и еще один надзорный орган появился).

Все используемые участниками эксперимента обезличенные персональные данные хранятся на территории города Москвы.

В части 1 статьи 6 закона «О персональных данных» появится еще одно основание обработки персональных данных без согласия субъекта – обработка персональных данных, полученных в результате обезличивания персональных данных, в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом «О проведении эксперимента по установлению специального регулирования…», в порядке и на условиях, предусмотренных этим законом.

Обезличивать и использовать без согласия субъекта для проведения эксперимента в этих целях можно будет, в том числе и сведения о состоянии здоровья, для чего вносятся поправки в статью 10 закона «О персональных данных».

Закон вступит в силу уже 1 июля этого года, однако, кто и как определит порядок обезличивания персональных данных для проведения эксперимента, в нем не указывается. Как мне кажется, Приказ Роскомнадзора № 996 здесь вряд ли подойдет, поскольку, судя по количеству флажков (требований), которыми обставлено использование обезличенных данных, обезличиваться они будут, как бы помягче сказать, не совсем полностью, иначе зачем так беспокоиться о сертифицированных средствах уничтожения этих данных.

И главное. Из текста закона нельзя понять, для чего будут собираться, обезличиваться и передаваться участникам экспериментального правового режима персональные данные. Заявленные законом цели проведения эксперимента - обеспечение повышения качества жизни населения; повышение эффективности государственного или муниципального управления; повышение эффективности деятельности хозяйствующих субъектов в ходе внедрения технологий искусственного интеллекта; формирование комплексной системы регулирования общественных отношений, возникающих в связи с развитием и использованием технологий искусственного интеллекта с персональными данными связаны как-то слабо. Но вот требование о том, что результатом установления экспериментального правового режима не может быть ограничение конституционных прав и свобод граждан и введение для них дополнительных обязанностей заставляет задуматься.

Ну, и для полноты картины проведения эксперимента и сложившегося порядка написания законов, Правительство Москвы в этом же законе наделили полномочиями самостоятельно устанавливать порядок и случаи передачи собственниками систем фото- и видеонаблюдения полученных изображений органам государственной власти и организациям, осуществляющим публичные функции, перечень которых определит … ну, вы уже догадались – Правительство Москвы. Причем передавать без всякой связи с проводимым экспериментом, чтобы два раза уже не вставать.

Атака на обезличивание

Некоторое время назад я зарекся комментировать законопроекты и проекты иных нормативных правовых актов – слишком часто конечный результат достаточно радикально отличался от проекта, и анализ именно проекта особого смысла в конечном итоге не имел.

Но здесь особый случай. На Федеральном портале проектов нормативных правовых актов появились проекты трех документов, на которые необходимо обратить внимание именно сейчас, пока они не приняты в предлагаемой редакции.

Минкомсвязи выступила с инициативой жестко отрегулировать обезличивание персональных данных. Суть предложения проста и прямолинейна: обезличивать персональные данные можно будет только в случаях, прямо установленных законодательством Российской Федерации и в соответствии с требованиями и методами, установленными Роскомнадзором. Точка.

Если любой оператор, а не только орган власти или местного самоуправления, как сейчас, данные не обезличивает в установленных законом случаях или обезличивает их неправильно, это страшное деяние влечет административную ответственность, для чего Минкомсвязи предлагает уточнить редакцию части 7 статьи 13.11 КоАП РФ. При этом административная ответственность за обезличивание данных в непредусмотренных законом случаях не устанавливается, но может квалифицироваться по части 1 статьи 13.11 – обработка персональных данных, не предусмотренная законом.

Зачем это предлагается сделать? В Пояснительной записке к законопроекту указывается, что нововведение предлагается «во исполнение поручения Президента Российской Федерации от 23 ноября 2015 г. № Пр-2414 в целях защиты интересов субъектов персональных данных». С этим распоряжением отдельная детективная история. Вот что выдает результат поиска на сайте Президента:

Ни Консультант, ни Гарант про это распоряжение тоже ничего не знают. Найти его силами Гугла и Яндекса тоже не удалось. Буду благодарен читателям блога, которые располагают текстом документа и смогут поделиться им со мной.

Тем не менее, Приказом Роскомнадзора от 30.11.2015 № 154, «в соответствии с поручением Президента Российской Федерации от 23 ноября 2015 г. № Пр-2414» территориальным органам Роскомнадзора было поручено провести внеплановые проверки деятельности операторов связи, оказывающих телематические услуги связи и услуги подвижной радиотелефонной связи на предмет выявления незаконной деятельности по обработке данных сторонними компаниями в сетях российских операторов связи. Опять-таки, приказ совсем не про обезличивание.

Но вернемся к сути предлагаемых поправок. В упоминавшейся выше Пояснительной записке указывается, что «согласно Закону о персональных данных обезличивание персональных данных может также осуществляться операторами, не являющимися государственными и муниципальными органами в законодательно установленных случаях». А вот этого в законе нет, совсем нет.

Обезличивание упоминается в законе «О персональных данных» ровно четыре раза: в пункте 3 статьи 3, где дается определение обработки персональных данных, и в пункте 9 той же статьи, дающем определение термина «обезличивание»; в части 7 статьи 5, наделяющей оператора полномочиями обезличить, а не уничтожить персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей; и в пункте 9 части 1 статьи 6, разрешающей обрабатывать персональные данные без согласия субъекта в статистических или иных исследовательских целях, за исключением целей директ-маркетинга, при условии обязательного обезличивания персональных данных. Все. Никаких установленных законом случаев обезличивания. Более того, предлагаемая норма прямо противоречит части 7 статьи 5.

Теперь про цель принятия поправок в закон – защиту интересов субъектов персональных данных. Долго думал. И так не придумал, как же обезличивание может нарушить права субъекта, если данные у оператора больше с субъектом не соотносятся и установить его личность оператор более не может.

Предлагаемая поправка наотмашь бьет науку и бизнес. Исследования, неважно, медицинские, социологические или любые иные, построены на статистическом анализе данных об огромном количестве людей, которые именно для защиты их интересов обезличиваются соответствующими организациями. Но, например, в законе «Об основах охраны здоровья…» обезличивание предусматривается только в Единой государственной информационной системе в сфере здравоохранения, но ничего нет про право обезличивать данные медицинских и исследовательских учреждений. Перепись населения производится с использованием обезличенных переписных листов, но в законе «О всероссийской переписи населения» это тоже не установлено, лишь в Приказе Росстата от 17.04.2018 № 179 указано, что «хранение данных должно осуществляться при условии обязательного обезличивания персональных данных». Но приказ – не закон и не основание для обезличивания в предлагаемом варианте поправок.

Наконец, методики банковского и страхового андеррайтинга, расчета процентов, премий и выплат основаны, естественно, на статистике, требующей обезличивания и длительного хранения огромного количества персональных данных клиентов, касающихся исполнения договоров банковского обслуживания и страхования. Но в законах «О банках и банковской деятельности» и многочисленных законах, регламентирующих страховое дело (их очень много!) вопросы обезличивания никак не регламентируются.

Принятие законопроекта потребует внесения изменений в огромное количество законодательных актов для легализации обезличивания персональных данных в различных сферах деятельности, а до их принятия действия операторов по обезличиванию будут противоречить закону.\

Законопроект идет вразрез с мировой практикой регулирования обработки персональных данных. В европейском регламенте GDPR псевдонимизация является базовой мерой проектируемой защиты данных (Data protection by design) и должна применяться всегда, когда и где это возможно.

Тем временем, на том же портале http://regulation.gov.ru появился проект другого документа – Указания Банка России «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента». Документ требует отдельного анализа, но, пока он не принят, обратим внимание только на один момент.

В нем как раз предусматривается обезличивание данных о владельцах предполагаемых дроперских счетов, но вместо обезличивания используется совсем другой термин – хэширование, в частности, номера документа, удостоверяющего личность в целях идентификации лица, и СНИЛС. Передача фамилий, имен и отчеств плательщиков и получателей средств не предполагается.  В сегодняшнем комментарии «Ведомостям» я уже высказывал точку зрения, что такая обработка персональных данных не требует согласия субъекта и не противоречит закону, но там другая загвоздка.  

В соответствии с позицией Минкомсвязи и 8 Центра ФСБ России, «хеширование не входит в число методов обезличивания персональных данных». Кроме того, структурированность форматов текстовой информации сокращает множество входных значений хэш-функции, и, как следствие, область значений функции хеширования, что в совокупности приводит к возможности возникновения угрозы подбора нарушителем персональных данных для конкретного субъекта методом перебора.

Из всего этого делается категоричный вывод: «Таким образом применение хеширования для обезличивания персональных данных является нелегитимным».

Подводим итоги. Хочется надеяться, что инициативы Минкомсвязи в отношении обезличивания не найдут поддержки, и законопроект не будет принят. И очень надеюсь, что указание Банка России будет принято, и в отношении хэширования как способа обезличивания будет создан прецедент.

ФЗ-152: требования к государственным и муниципальным органам определены

В соответствии с частью 3 ст.18прим ФЗ «О персональных данных» Постановлением Правительства Российской Федерации от 21.03.2012 № 211 утвержден «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

Постановление опубликовано на сайте Правительства и появилось в «Консультанте».

Читать придется внимательно, но есть несколько моментов, бросающихся в глаза даже при беглом прочтении. Разделю их на несколько групп, по своему усмотрению, конечно.

Революционное. Похоже, в недрах регуляторов появилось нечто принципиально новое, касающееся обезличивания персональных данных.

В Перечне мер по этому поводу сразу три новшества.

(1) Подпункт з) пункта 1 Перечня требует осуществлять обезличивание персональных данных, обрабатываемых в информационных системах персональных данных государственных и муниципальных органов, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных. Ждем нового документа от Роскомнадзора, который наконец-то раскроет секрет, что такое обезличивание.

Подпункт б) того же пункта 1 обязывает утвердить (2) правила работы с обезличенными данными и (3) перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.

Крепко задумался. Каких таких особых правил требует работа с обезличенными данными, которые нельзя соотнести с конкретным субъектом, и зачем ограничивать к ним доступ, формируя перечень должностей? Это «ж-ж-ж» неспроста…

Неожиданное. В тексте документа появилось принципиально новое понятие - оператор информационной системы персональных данных. И только в случае, если гос- или муниципальный орган является оператором этой системы, на него возлагается принятие правовых, организационных и технических мер по обеспечению безопасности персональных данных, выполнение установленных Правительством Российской Федерации требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных. В ФЗ-152 это - прямая обязанность оператора персональных данных, неразрывно связанного с определением целей обработки. Чтобы это значило? Чем отличается оператор персданных от оператора системы? Не сигнал ли это к давно обсуждаемому переводу государственных и муниципальных систем в облака, где ответственность за выполнением мер безопасности переложат на провайдера?

Предписано утверждать типовую форму согласия на обработку персональных данных служащих государственного или муниципального органа. Государственные служащие в соответствии с ФЗ «О государственной гражданской службе Российской Федерации» при поступлении на службу заключают государственный контракт, а муниципальные служащие, в соответствии с ФЗ «О муниципальной службе в Российской Федерации», поступают на службу на условиях трудового договора в соответствии с трудовым законодательством с учетом некоторых особенностей.

В соответствии со ст.6 ФЗ-152 согласия субъекта, имеющего договор с оператором  (в том числе трудовой), на обработку персональных данных оператору не требуется. Означает ли требование Перечня о наличии типовой формы согласия служащего на обработку персданных, что государственный контракт и трудовой договор муниципального служащего договорами в понятиях ФЗ-152 не являются? Интересно, будем разбираться.

Вызывающее задумчивость. Перечень локальных актов, издаваемых оператором, весьма велик. Из текста вроде бы следует, что надо принимать как самостоятельные все указанные документы. Многовато получается. Правила обработки персональных данных в гос- и муниципальных органах теперь должны устанавливать процедуры, направленные на выявление и предотвращение нарушений законодательства и определять для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований. Т.е. фактически дается структура локального акта оператора. С высокой вероятностью она начнет транслироваться на всех остальных операторов. Проще, наверное, при разработке документов ориентироваться именно на эту структуру. 
Постановлением предусмотрено уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных и наличие исключений для такого уведомления, установленных Федеральным законом «О персональных данных». Учитывая, что отношения госслужащего с органом власти не рассматриваются, как трудовые, а у гос- и муниципальных органов нет договоров с субъектами, оснований для исключение не видно никаких.  Будем смотреть, какие гос- и муниципальные органы под исключения подпадут и почему.

Ожидаемое. Закреплено требование о разработке перечней обрабатываемых персональных данных, отсутствующее в законе, но вполне естественное, если исходить как из его буквы, так и из духа. Списки допущенных к обработке персданных лиц предусмотрено формировать не поименно, а по должностям, как во всех действующих положениях органов госвласти.

Окончательно легализовано Постановление Правительства № 687 про неавтоматизированную обработку, весьма перпендикулярное к новой редакции ФЗ-152. Ожидаемо, но грустно.

В общем, вопросов новый документ вызывает много. И ситуация с правоприменением не проясняется. Будем ждать и смотреть.