25.07.2012

Сегодня год новому ФЗ-152. Помянем!

Сегодня ровно год, как была принята новая редакция ФЗ-152 "О персональных данных". Принята несмотря на все действия, предпринимаемые сообществом против именно этой редакции закона (краткое напоминание хроники событий тут, тут, тут и тут). На поминках принято говорить что-то хорошее или молчать. Молчать не буду. Хорошего в законе стало немало - в частности обременения на операторов стали чуть слабее, многие невыполнимые действия из закона убрали, но... добавили ст.18.1 и ст.19, которые не все, но многие благие начинания перечеркнули, добавив новых вопросов к тем, что уже были.

Какие вопросы остались открытыми после принятия ФЗ? Ну, во-первых, где список стран с адекватной защитой ПДн, который должен был быть утвержден Роскомнадзором согласно ст.12.2? Пока его нет. Вроде обещали летом, но... Где обещанное на заседании Совета Федерации, на котором сенаторы принимали закон, финансирование бюджетников? Его тоже так и не появилось. Где оценка затрат на реализацию закона со стороны ФСБ и ФСТЭК, о которой говорили на Совете Федерации? Нет и ее. А мою оценку пока никто так и не смог опровергнуть с доказательствами в руках. Правительство тоже молчит, хотя ему и было дано сенаторами протокольное поручение по вопросу финансовой оценки последствий принятия ФЗ-152.

А что нового произошло за этот год? Наши предложения в Минкомсвязь канули в Лету (но не в компанию, а в реку забвения в греческой мифологии). Из них регулярно поднимается тема изменения КоАП, но финального решения по изменению подхода (от наказания за простое невыполнение требований к наказанию за ущерб) пока не принято. Большинство участников обсуждения сходятся во мнении, что наказывать надо за нанесение ущерба субъектам, а не за простое невыполнение требований ФЗ-152. На заседании Консультативного Совета при РКН звучала та же идея. Возможно к ней и прислушаются. По крайней мере мой пессимизм, озвученный в Twitter, что РКН будет стоять насмерть в части наказания именно за невыполнение требований, был развенчан представителями РКН, который сказали, что рано излучать этот пессимизм - все может быть будет и не так плохо ;-) Посмотрим... Зато принято решение об увеличении сумм штрафов по ст.13.11. Вопрос только в том, будет это пресловутый миллион или удастся снизить эту цифру. Собственно также непонятен перечень правонарушений, которые будут втиснуты в ст.13.11 - при оценке регулирующего воздействия было предложено "расширить и углубить"...

Предложение разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн, также нормально реализовано не было. Не считать же такой реализацией то, что было проделано в отношении проектов Постановлений Правительства. Казалось бы и экспертов привлекали (не всех и не публично) и общественные организации... Но что-то не то получилось в итоге. Большинство предложений экспертов было отвергнуто за нецелесообразностью.

Необходимость разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов, даже обсуждать никто не стал. Также как и предложенную методику оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого.

Идея добавить ответственность за скрытие фактов утечек ПДн субъектов пока не нашла своего отражения ни в КоАП, ни в УК, но я такое предложение еще раз озвучил в рамках Консультативного Совета при РКН по защите прав субъектов ПДн.

Законопроект об урезании полномочий регуляторов по части контроля и надзора по линии персданных не дошел даже до второго чтения. Зато поддержку получил проект Постановления Правительства, который, наоборот, наделяет Роскомнадзор дополнительными полномочиями, например, проводить проверки технических и организационных мер по защите коммерческих компаний (за некоммерческие по ФЗ-152 отвечают ФСТЭК и ФСБ).

19-го августа 2011 года РКН выпустил новый Приказ от 19 августа 2011 г. № 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных". Спустя неделю ФСБ опубликовала проект приказа "Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных". С тех пор, правда, новостей по данному регламенту я не видел.

11 октября 2011 года ФСБ одобрила стандарт НАУФОР по защите персональных данных "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами-профессиональными участниками рынка ценных бумаг". Хотя ситуация с отраслевыми стандартами сейчас патовая... Никакого статуса у них нет ;-(

Консультационный центр АРБ успел выпустить за это время пять писем с разъяснениями ключевых позиций законодательства. Правда, похоже эта структуру больше не функционирует по техническим причинам ;-( А жаль...

Идея с народным логотипом не оправдала себя - "пивная пробка" так и осталась невостребованной никем. Хотя о добровольной сертификации по вопросу соответствия требованиям ФЗ-152 мы как раз говорили на Консультативном совете при РКН. Представители РКН считают такую идею правильной. Осталось понять механизм ее реализации и применения на практике.

В конце прошлого года был опубликован, а затем и принят новый административный регламент РКН по части проведения проверок операторов ПДн. Попутно и Европа заявила о реформе своего законодательства в области ПДн. Чем это обернется для нас пока неясно, но обсуждения этого вопроса уже идут и стоит готовиться к новым поправкам в ФЗ-152 (правда, не так скоро).

21 марта Правительство утвердило новое Постановление №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами". Зачем оно нужно, я так и не понял, но пусть будет.

ФСБ подготовила новые проекты Постановлений Правительства по установлений уровней защищенности и требований по безопасности ПДн. К ним были серьезные претензии у Аппарата Правительства и Минкомсвязи. Сейчас все вышло на финишную прямую (ну или почти вышло).

На свет вытащили запылившийся законопроект "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных". Ждать от него эффекта не стоит.

А отраслевые ИТ/ИБ-ассоциации как молчали, так и молчат. Выступили только РАЭК, АРБ, РСПП, АРОС... Т.е. те, кто представлял бизнес, которого закон коснулся. А те, кто мог бы предложить конкретные предложения по ст.19, молчат. Жаль...

На ближайшее время запланировано достаточно много движений в части ПДн. В частности сегодня иду на совещание с представителями ФСТЭК и ФСБ по части новых требований по защите ПДн. Потом будет заседание другой рабочей группы по части изучения вопроса о внесении поправок в ФЗ-152. К осени стоит ждать принятия многих упомянутых выше законопроектов, а также принятия новой нормативной базы ФСТЭК и ФСБ. Роскомнадзор обещал выложить на сайт большое обновление по части офииального разъяснения их позиции относительно животрепещущих вопросов обработки ПДн (очень, очень ждем...). А там глядишь и разрулится вопрос с обработкой ПДн в части переводов денежных средств и с новым СТО. Так что жить осенью будет весело... Очень весело. Готовимся...

5 коммент.:

Ригель комментирует...

И снова скажу, что идея наказывать за нанесение ущерба, а не за невыполнение требований ФЗ имеет примерно такое же право на существование, как предложение не карать за нарушение ПДД, не приведшее к столкновению.

ZZubra комментирует...

+1 :)

Алексей Волков комментирует...

Имеет. Но смысл такая форма регулирования обретает только при условии обоснованности и адекватности требований.

Trotsky комментирует...

А мне кажется нужно ввести большие штрафы за нанесение ущерба, инциденты, при этом оставив текущие мизерные штрафы за невыполнение требований. И волки сыты..

Атаманов Г. А. комментирует...

Ригелю:
Пример не совсем удачный. ПДД более-менее внятный документ, РД и НМД по ЗПДн - полный абсурд. Требования ПДД выполнить при желании можно, требования РД и НМД по ЗПДн - нет.
Троцкому:
Большие штрафы за нанесение ущерба субъекту должны быть установлены для регуляторов, если оператор выполнил их требования, а ущерб, несмотря на это, состоялся. А невыполнившим требования они должны помогать до полного утранения недостатков. Безвозмездно! Потому, что они содержаться за счёт тех, кого проверяют.
Лукацкому:
Поминать 152-ФЗ рановато, ведь он живее всех живых. В этом случае, по моему, уместнее "выпьем с горя, где же кружка ...".