1. Оператор при обробці персональних даних зобов'язаний приймати необхідні правові, організаційні та технічні заходи або забезпечувати їх прийняття для захисту персональних даних від неправомірного або випадкового доступу до них, знищення, перекручення, блокування, копіювання, надання, поширення персональних даних, а також від інших неправомірних дій щодо персональних даних.
2. Забезпечення безпеки персональних даних досягається, зокрема:
1) визначенням загроз безпеки персональних даних при їх обробці в інформаційних системах персональних даних;
2) застосуванням організаційних і технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних, необхідних для виконання вимог до захисту персональних даних, виконання яких забезпечує встановлені Урядом Російської Федерації рівні захищеності персональних даних;
3) застосуванням пройшли в установленому порядку процедуру оцінки відповідності засобів захисту інформації;
4) оцінкою ефективності вжитих заходів щодо забезпечення безпеки персональних даних до введення в експлуатацію інформаційної системи персональних даних;
5) урахуванням машинних носіїв персональних даних;
6) виявленням фактів несанкціонованого доступу до персональних даних та вжиттям заходів;
7) поновленням персональних даних, модифікованих або знищених внаслідок несанкціонованого доступу до них;
8) встановленням правил доступу до персональних даних, оброблюваних в інформаційній системі персональних даних, а також забезпеченням реєстрації та обліку всіх дій, що здійснюються з персональними даними в інформаційній системі персональних даних;
9) контролем за прийнятими заходами щодо забезпечення безпеки персональних даних і рівня захищеності інформаційних систем персональних даних.
3. Уряд Російської Федерації з урахуванням можливої шкоди суб'єкту персональних даних, обсягу і змісту оброблюваних персональних даних, виду діяльності, при здійсненні якого обробляються персональні дані, актуальності загроз безпеки персональних даних встановлює:
1) рівні захищеності персональних даних при їх обробці в інформаційних системах персональних даних в залежності від загроз безпеки цих даних;
2) вимоги до захисту персональних даних під час їх обробки в інформаційних системах персональних даних, виконання яких забезпечує встановлені рівні захищеності персональних даних;
3) вимоги до матеріальних носіїв біометричних персональних даних і технологій зберігання таких даних поза інформаційних систем персональних даних.
5. Федеральні органи виконавчої влади, які здійснюють функції з вироблення державної політики та нормативно-правового регулювання у встановленій сфері діяльності, органи державної влади суб'єктів Російської Федерації, Банк Росії, органи державних позабюджетних фондів, інші державні органи в межах своїх повноважень приймають нормативні правові акти, в яких визначають загрози безпеки персональних даних, актуальні при обробці персональних даних в інформаційних системах персоналом них даних, експлуатованих при здійсненні відповідних видів діяльності, з урахуванням змісту персональних даних, характеру і способів їх обробки.
6. Поряд із загрозами безпеці персональних даних, визначених у нормативних правових актах, прийнятих відповідно до частини 5 цієї статті, асоціації, спілки та інші об'єднання операторів своїми рішеннями право визначити додаткові загрози безпеки персональних даних, актуальні при обробці персональних даних в інформаційних системах персональних даних, експлуатованих при здійсненні певних видів діяльності членами таких асоціацій, спілок та інших об'єднань операторів, з урахуванням змісту перс нальних даних, характеру і способів їх обробки.
7. Проекти нормативних правових актів, зазначених у частині 5 цієї статті, підлягають узгодженню з федеральним органом виконавчої влади, уповноваженим в галузі забезпечення безпеки, і федеральним органом виконавчої влади, уповноваженим в галузі протидії технічним розвідкам та технічного захисту інформації. Проекти рішень, зазначених у частині 6 цієї статті, підлягають узгодженню з федеральним органом виконавчої влади, уповноваженим в галузі забезпечення безпеки, і федеральним органом виконавчої влади, уповноваженим в галузі протидії технічним розвідкам та технічного захисту інформації, в порядку, встановленому Кабінетом Міністрів України. Рішення федерального органу виконавчої влади, уповноваженого в галузі забезпечення безпеки, і федерального органу виконавчої влади, уповноваженого в галузі протидії технічним розвідкам та технічного захисту інформації, про відмову в погодженні проектів рішень, зазначених у частині 6 цієї статті, має бути мотивованим.
8. Контроль і нагляд за виконанням організаційних і технічних заходів щодо забезпечення безпеки персональних даних, встановлених відповідно до цієї статті, при обробці персональних даних в державних інформаційних системах персональних даних здійснюються федеральним органом виконавчої влади, уповноваженим в галузі забезпечення безпеки, і федеральним органом виконавчої влади, уповноваженим в галузі протидії технічним розвідкам та технічного захисту інформації, в межах їх повн мочій і без права ознайомлення з персональними даними, що обробляються в інформаційних системах персональних даних.
9. Федеральний орган виконавчої влади, уповноважений в області забезпечення безпеки, і федеральний орган виконавчої влади, уповноважений в області протидії технічним розвідкам та технічного захисту інформації, рішенням Уряду Російської Федерації з урахуванням значущості та змісту оброблюваних персональних даних можуть бути наділені повноваженнями по контролю за виконанням організаційних і технічних заходів щодо забезпечення безпеки персональних даних, встановлених відповідно до цієї ста тьей, при їх обробці в інформаційних системах персональних даних, експлуатованих при здійсненні певних видів діяльності і які не є державними інформаційними системами персональних даних, без права ознайомлення з персональними даними, що обробляються в інформаційних системах персональних даних.
10. Використання і зберігання біометричних персональних даних поза інформаційних систем персональних даних можуть здійснюватися тільки на таких матеріальних носіях інформації і з застосуванням такої технології її зберігання, які забезпечують захист цих даних від неправомірного або випадкового доступу до них, їх знищення, перекручення, блокування, копіювання , надання, поширення.