29.03.2012

Первое из трех новых постановлений Правительства по ПДн

21 марта Правительство утвердило, а вчера опубликовало новое Постановление №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (на сайта Правительства и Консультант+). Это первое из 3-х постановлений, которые должны появится в рамках реализации новой (или уже не новой) редакции ФЗ-152.

Указанное постановление определяет перечень мер, предусмотренный ст.18.1 ФЗ-152, но только для госорганов и муниципалов. Пересказывать постановление не буду, просто тезисно опишу важные моменты:
  • Определена необходимость (она и в ФЗ-152 было) назначения главного за обработку ПДн.
  • Определен перечень документов, который должен быть разработан госорганом или муниципальным органом.Вопрос у меня вызвало требование наличия документа, описывающего правила работы с обезличенными данными. Зачем? Обезличенные данные не подпадают под требования ФЗ-152 в принципе, т.к. не являются персональными.
  • Декларируется, что обработка ПДн без средств автоматизации регламентируется ПП-687.
  • Описано требование обезличивания ПДн в ИСПДн согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных. Пока этих требований и методов нет.
В целом ничено нового (кроме раздела про обезличивание) в Постановлении нет. Повторены многие пункты из ФЗ-152. Видимо без повторений новое Постановление было бы уж совсем коротким.

Кстати, вчера я был на одной конференции по ПДн, где представитель РКН сказал, что к лету готовится целый пакет разъяснений со стороны РКН по теме персданных. Видимо в этом пакете будут и требования по обезличиванию, а также список стран с адекватной защитой прав субъектов, разъяснение про биометрию, работу с коллекторами и многое другое.

Ждем еще двух постановлений - по уровням защищенности и по требованиям по защите. Они готовы и проходят последние согласования.

ЗЫ. Интересно, что экспертизу в Минюсте данное постановление не проходило. По крайней мере меня оно минуло, а я мониторю все проекты нормативных актов, которые проходят через Минюст. Хотя ничего крамольного в нем нет и экспертиза была бы излишней, на мой взгляд,

11 коммент.:

ZZubra комментирует...

Горд собой! :) Кроме "перечня должностей по обезличиванию" остальные документы были предсказаны и делались ранее, несмотря на сопротивление ГиМ органов. Все названия совпадают практически полностью. Ёхоу!!!

Сергей комментирует...

to Вопрос у меня вызвало требование наличия документа, описывающего правила работы с обезличенными данными.

А где тогда прописать "обратное" преобразование, работать то с обезличенными надо. И почему они не попадают под 152? Исходя из определения после обезличивания данные не перестают быть персональными, просто невозможно без доп. информации привязать их к субъекту. Вот механизм этой привязки и прописывать в правилах.

Gori64 комментирует...

Вопрос вызвала статья
"Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения"
Это документы перечисленные в статье 1,б) или вообще нечто другое?
Опять почва для разногласий.

Сергей комментирует...

Это из 152ФЗ, ч.2 ст. 18 прим с конкретизацией срока.

ZZubra комментирует...

Да нет, Сергей, в первый раз Вы правильно написали. По замыслу это постановление должно подменять статью 18.1 для ГиМ органов. Тогда получается вопрос с Политикой и, что важнее, с "оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом".

ZZubra комментирует...

Еще классное требование про обязательство о прекращении обработки в случае расторжения контракта. Малость забыли, что в ГиМ органах с ПДн работают не только ГиМ служащие. Для таких "не служащих", получается, такого требования устанавливать не надо.

Алексей Лукацкий комментирует...

Если по данным нельзя сделать вывод об их персональности, то какие же они персональные? А если они не персональные, то какое они имеют отношение к закону "О персональных данных".

Алексей Лукацкий комментирует...

Документы, указанные в ПП-221 НЕ ПОДМЕНЯЮТ и НЕ ЗАМЕНЯЮТ то, что указано в ст.18.1 ФЗ-152. Они уточняют, что имелось ввиду. Тем более, что в публичной политике пишется далеко не все, что должно быть в локальных документах.

ZZubra комментирует...

Ок :) Тогда как по Вашему мнению, надо ли в ГиМ органах делать документы по "оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом"? Просто скажите, "надо" или "не надо".

Алексей Лукацкий комментирует...

Надо

ZZubra комментирует...

Вот таки и я такого мнения. А вот в ГиМ органах поголовно считают, что не надо. И пока не напишут в предписании, ничего делать не будут. Спасибо депутатам и правительству за однозначный, четкий, ясный и однозначнопонимаемый язык!