Законопроектом в том числе вводится обязанность операторов незамедлительно информировать об инцидентах с принадлежащими им базами персональных данных уполномоченные органы власти, а также обязанность обеспечивать непрерывное взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ.
Устанавливается запрет операторам на отказ гражданам в оказании услуг при отказе предоставить свои персональные данные (в т.ч. биометрические), если такое предоставление не является обязательным.
Устанавливаются ограничение на обработку биометрических персональных данных несовершеннолетних и обязанность операторов информировать уполномоченные органы власти о намерении трансграничной передачи персональных данных. В исключительных случаях при наличии угроз для обороны, безопасности и основ конституционного строя такая передача может быть ограничена по решению уполномоченного органа власти.