09.12.2011

Судьба открытого письма Президенту

Сегодня, 9-го декабря, спустя 5 месяцев после публикацией нами открытого письма Президенту по поводу внесений изменений в ФЗ-152, хотелось бы подвести промежуточные итоги. Письмо, отправленное через Администрацию Президента, было направлено по подведомственности в Минкомсвязь, в Департамент создания и развития информационного общества. Была организована встреча с руководством Департамента, на которой нас пригласили к совместной работе над подзаконными актами, которые должны выйти во исполнение нового, на тот момент еще законопроекта.

Нами было предложено несколько идей:
  1. Внести в КоАПП и УК РФ (здесь надо уточнить просто формулировку ст.138 УК РФ) ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.
  2. Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».
  3. Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.
  4. Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.
  5. Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие факта утечек ПДн субъектов.
Нам ответили, что это лозунги, а и нужно не то, "что нужно сделать (разработать и пр.....) в смысле процесса, а как сделать это сделать (конкретные методики, формулировки статей) в смысле конкретной реализации".

Алексей Волков, Александр Токаренко, Александр Бондаренко, Женя Царев и я предложили конкретные формулировки там, где это можно было сделать (п.1, 2 и 5).

Ответом нам стало "Статус Ваших предложений - предложения-)).  К сожалению, большая часть из них не по-нашему столу. Они больше для наших коллег по этому процессу. Сейчас для нас основная задача - подготовка подзаконных актов, в том числе требований. Как они будут подготовлены, так и будет работать закон. Ваши предложения мы постараемся учесть на этом этапе, хотя я уверен, что и мы и Вы еще не раз будем это обсуждать".

В рамках дальнейшей дискуссии выяснилось, что у нас есть возможность поучаствовать в формировании содержания двух Постановлений Правительства:
  • «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных»
  • «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных».
Дальше началась работа, которая длилась около двух месяцев с переменным успехом. В итоге под руководством Алексея Волкова родился документ под названием "ПРЕДЛОЖЕНИЯ по вопросу формирования подзаконных актов, определяющих уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных и требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных в соответствии с п. 1 и 2 ч. 3 ст. 19 Федерального закона №152-ФЗ "О персональных данных".

Александр высказал мысль, что представленная схема слишком сложна для восприятия , а это в свою очередь означает, что либо законодатели не поймут и не примут документ в таком виделибо операторы поймут еще меньше и начнутся премудрости. Консенсуса у нас в группе найдено не было и предложения были в двух вариантах - как предлагал Алексей и как предлагал Александр.

В ноябре появилась информация о промежуточных результатах. Правительство поручило разработку указанных выше двух Постановлений ФСТЭК и ФСБ и Минкомсвязь переслал наши предложения регуляторам, которые должны утвердить указанные документы в 1-2 кварталах следующего года. Теперь остается только ждать...

5 коммент.:

Роман Кобцев комментирует...

"Ответственность за УЩЕРБ субъекту" путь тупиковый в нашей стране. Ущерб нужно еще доказать в суде, а с нашей судебной системой это настолько сложная процедура (к сожалению, имею печальный опыт)...
Было бы, конечно, лучше иметь административную ответственность за сам факт утечки.

Вихорев комментирует...

Дожно быть и то и то.
Ответственность за УЩЕРБ, вернее ВРЕД, определяется главой 59 ГК РФ, чего выдумывать велосипед? Если субъекту причинен ущерб (вред) и это ДОКАЗАНО - вопросв нет.
А такое деяние как невыполнение мер защиты, которе может привести к неправомерным действиям, даже если еще вред субъекту не причинен - уже само по себе есть состав правонарушения. И это не новое изобретение.
как-то я уже спроил с А. Волковым по поводу того, что если ты пересчешь слошную линию на дороге, то тебя оштрафуют, что бы впредь не повадно было, даже, если ты не причинил инкому вреда.

Алексей Волков комментирует...

Вихореву: к сожалению, в плане требований по защите ПДн все далеко не так очевидно, как с двойной сплошной. Установите адекватные требования - и мы с удовольствием их будем исполнять. Пока же, увы - ПДД и ПДн вещи несравнимые.

Алексей Лукацкий комментирует...

Да и с ПДД находятся желающие в погонах трактовать правила как хочется

Артем Агеев комментирует...

а где можно посмотреть сами документы?