04.10.2010

И вновь о Роскомнадзоре и его мнении

В пятницу выступал на конференции в Ижевске. Как всегда в последнее время - по теме персданных. После меня выступала представительница Роскомнадзора. Классическое выступление, но несколько интересных высказываний я позволю себе привести тут:
  1. РКН не может направить дело в суд по ст.13.11 - это прерогатива только прокуратуры. А РКН, в свою очередь, обычно направляет дела только по статье 19.7 (непредоставление данных по запросу надзорного органа).
  2. У РКН нет задачи помогать операторам правильно защищать права субъектов. Представительница РКН заявила, что они по максимуму стараются доводить все дела до суда, чтобы наработать судебную практику.
  3. РКН не проверяет правильность классификации ИСПДн - это не его прерогатива.
  4. Несмотря на наличие в 687-м Постановлении указания, что обработка без средств автоматизации не означает отсутствие информационной системы, РКН все-таки считает, что 687-е касается только бумажной обработки.
  5. По мнению РКН существует только одна форма согласия - письменная. Ни устной, ни конклюдентной. Причем представительница РКН сама путалась в показаниях (заодно путая и аудиторию). Свою позицию (про только письменное согласие) она обосновывала следующим фрагментом ФЗ-152 "В случаях, предусмотренных настоящим Федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных" (ст.9.4). На мое замечание, что этих случаев всего 5 и они описаны в ФЗ-152, она заявила, что все наоборот - либо согласия не надо (согласно ст.6) либо согласие только в письменной форме. На мой вопрос - как РКН относится к тому, что в Европе практика применения Евроконвенции совершенно иная и она противоречит мнению РКН, представитель РКН ответила, что она это понимает, но официальная позиция РКН именно такая и никакой другой.
  6. Подисскутировали на тему "оператор - обработчик". РКН, как всегда, считает, что института обработчика у нас нет. В ситуации, когда одно юрлицо передает другому юрлицу обработку ПДн,второе юрлицо должно уведомлять субъектов ПДн о том, что их ПДн обрабатываются. Такова позиция РКН. На замечание, что это второе юрлицо может вообще не иметь информации о способах контакта с субъектом, было проигнорировано ;-( Как и замечание о том, что Евроконвенция оперирует и понятием "оператор" и понятием "обработчик". На упоминание судебной практики не в пользу РКН (суды нередко разделяют понятия оператор и обработчик ПДн) представительница регулятора заметила, что есть и другие прецеденты (правда, не назвала какие).

Вот такие дела творятся ;-(

ЗЫ. По дороге в Ижевск пролистывал журнал, полученный в самолете. В нем один ижевский интегратор по ИБ утверждает, что аттестация объекта информатизации, обрабатывающего ПДн, это обязательное требование к любому оператору ПДн. И начать делать это надо было еще в 2006-м году. А ведь на дворе уже октябрь 2010-года и 58-й приказ уже как полгода выпущен.

ЗЗЫ. Сегодня выступаю в Казани с той же темой. Планируется выступление и РКН. Может тоже, что интересное прозвучит ;-)

17 коммент.:

Алексей Волков комментирует...

С 2006-го почти 4 года прошло. Ничего нового...

mcvanich комментирует...

вот это постановление 687 - вообще не понятно для чего оно, учитывая что наличие ИС оно подразумевает.

Анна комментирует...

>> По мнению РКН существует только одна форма согласия - письменная. Ни устной, ни конклюдентной.

Уважаемые представители Роскомнадзора, ну изучите же Вы наконец закон "О персональных данных"! Там же все просто и четко изложено!

Алексей Лукацкий комментирует...

mcvanich: Оно создано для того, чтобы регуляторы в лице ФСТЭК и ФСБ не сильно лютовало

tiger-66 комментирует...

Все время идет ссылка на закон. А закон можно менять здесь ;-)
fz-152.org
Пока еще можно..

Анна комментирует...

tiger-66, не закон нужно менять, нужно менять его трактовку регуляторами.

ЕвгенийКР комментирует...

ммм...какие дамы приятные))) Не буду писать красиво, но кратко опишу еще одно выступление Роскомнадзора в г. Хабаровске на семинаре персональные данные от понятия до защиты. Не буду подробно о всех проблемах основных нарушений и что требуется. Запомнился момент что представители Роскомнадзора, вносят предложения в Государственную Думу по вопросу увеличения штрафов за нарушение ФЗ О персональных данных до 500 тыс. рублей среди юридических лиц, среди физических забыл... при этом ссылались представители Роскомнадзора, нынешние штрафы малы от пару сотен рублей (вроде). Перечислили основных нарушителей, выведя статистику из принимаемых жалоб, в четверки были банки, страховые компании, операторы связи(сотовые и стационарные), ЖКХ. Какие нарушения эти организации и без комментариев можно понять какие. С Роскомнадзор соглашусь, в том что материальную ответственность необходимо увеличивать, а то всем на чхать на соблюдение ФЗ. На некоторых вопросах представитель Роскомнадзора плавал также, часть вопросов переадресовали спросить у органов ФСБ(типа они по тех части) и ФСТЭК(крупные организации), хотя совещания совместно с ФСТЭК и ФСБ

ЕвгенийКР комментирует...

... хотя такие совещания нужно проводить совместно с ФСТЭК и ФСБ, чтоб были ясны все ответы на вопросы.

Алексей Лукацкий комментирует...

Есть проект изменения ст.13.11 и внесение в нее нового состава правонарушения, связанного именно с нарушением прав субъектов, а не только нарушением правил обработки ПДн. Сумма штрафа - до 1 миллиона рублей. Только вот уже год они не могут провести это изменение и говорят, что им и не дадут, т.к. коррупционная емкость статьи тогда возрастет многократно.

tiger-66 комментирует...

To Anna
>tiger-66, не закон нужно менять,

Если в законе не определены понятия или неправильно определены. то как не трактуй..
Например, отсутствует понятий обработчик, которое не помешало бы..
Как думаете?

ЕвгенийКР комментирует...

re Алексей Лукацкий; коррупция и так в цифрам запредельных. Пусть проходят коррупционные мероприятия - например РАССТРЕЛ )), в Китае такой способ работает, если не понимают за что их наказывают. По стране две сотни наказанных и увидите как резко вдвое упадет коррупция.

Алексей Лукацкий комментирует...

У нас мораторий на смертную казнь плюс демократия

ЕвгенийКР комментирует...

Это я помню, не это, тогда через кнут, иначе у нас никак, давно об этом говорят. Как котята или собаки чиновники, пока не ткнешь, так и будут гадить где хотят всегда )

Анна комментирует...

tiger-66,
Помните, как в математике? Всякий параллелограмм с прямыми углами есть прямоугольник, но не всякий прямоугольник есть квадрат :)

Так и в 152-ФЗ. Всякий, кто обрабатывает ПДн есть обработчик, но не всякий обработчик есть оператор.

Но я с Вами согласна, не помешало бы эти понятия раскрыть.

tiger-66 комментирует...

>Так и в 152-ФЗ. Всякий, кто обрабатывает ПДн есть обработчик,

Анна.. В том то и дело,что в упомянутом ФЗ понятия обработчик НЕТ.. Вообще нет.. Т.е. совсем нет.
Потому
Предложения по расширению перечня определений

http://fz-152.org/forum/viewtopic.php?f=9&t=2

Алексей Лукацкий комментирует...

Термина нет, а понятие есть ;-) У вас есть статья про то, что оператор может передавать ПДн третьим лицам для обпаботки (не операторам, а третьим лицам). Или статья про ответственность. Она тоже касается не операторов, а всех. Что нелогично, если считать, что у нас есть только операторы. И судебная практика говорит о том же.

tiger-66 комментирует...

> Термина нет, а понятие есть ;-)

Я хотел сказать, что нет законного определения на которое можно обоснованно опереться при принятии решений. Конкретно - о необходимости получения согласия