19.3.09

О трактовке законодательства по персданным

На блоге Евгения Царева, опубликована заметка о Роскомнадзоре. И хотя позиция автора понятна (безусловное выполнение требований по ПДн), хотелось бы прокомментировать одно из положений этой заметки. Согласно ей Роскомндазор имеет якобы право осуществлять плановые проверки в области персданных. Это заблуждение исходит из того, что согласно ФЗ-152 и Постановлению Правительства №419 "О Федеральной службе по надзору в сфере связи и массовых коммуникаций" Роскомнадзор является органом государственного контроля и надзора, а согласно ФЗ-134 "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)" такие органы имеют право проводить как плановые, так и неплановые (по фактам нарушений) проверки.

Однако законодательство надо читать чуть более внимательно. Во-первых, 419-е Постановление Правительство в основном определяет права и полномочия Роскомндазора в области связи. В области же персданных это Постановление отсылает нас к ФЗ-152 (п.5.1.1.4). А этот закон в п.2 ст.23 четко говорит, что Роскомнадзор "рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение". Т.е. он только работает по сигналам со стороны субъектов ПДн. Дополнительно в п.3 ст.23 приведен закрытый перечень прав Роскомнадзора, среди которых плановые проверки вообще не значатся. Это частная норма права, которая перекрывает общую, прописанную в ФЗ-134, не говоря уже о том, что ФЗ-152 был принят после ФЗ-134. Единственный случай, когда Роскомнадзор может инициировать собственную проверку, - это проверка уведомления со стороны оператора ПДн. Но это не является плановой проверкой, прописанной в ФЗ-134.

Какой вывод можно сделать из этого? Что не стоит немедленно рваться послать уведомление в Роскомнадзор. Лучше внимательно почитать ст.22 ФЗ-152 и понять, что ситуаций, когда уведомление посылать надо, не так уж и много. И, конечно, стоит привлечь грамотных юристов по гражданскому законодательству, чтобы они разъяснили многие терминологические тонкости, вытекающие из таких терминов, как, например, "договор" и т.п.

Дополнительно хочу заметить, что любые постановления правительства, не говоря уже о приказах федеральных органов исполнительной власти (которые имеют неочевидное применение за рамками самого принявшего их ведомства), являются актами подзаконными, которые не могут противоречить или нарушать федеральное законодательство.

15 коммент.:

Анонимный комментирует...

Поменьше бы им прав!
Особенно полуразумному и невразумительному РСКН-РСОК
Прошел уже год а они даже регламента своей деятельности не родили.
Вот некий драфт проверок "НА Троих"
http://www.bizsecurity.ru/docs/ATT00010.pdf

А если его введут близким к тексту?
Я считаю - до начала каких-то проверок должны быть опубликованы правила по которым проверки осуществляются

Алексей Лукацкий комментирует...

Зато они родили проект распоряжения об утверждении методики проведения мероприятий по контролю в области защиты прав субъектов персональных данных. Более грамотный документ, чем этот драфт "на троих".

Анонимный комментирует...

На их сайте такого документа нет.
В открытом доступе не встечал.
Трудно обсуждать неизвестно что.
Предполагается, что такой документ должен существовать - (иначе кухарка руководить не умеет),
о нем они на своем семинаре говорили.
Радует практика - мы Вас проверим
А что смотреть будете?
- НЕ СКАЖЕМ!
Прохожий

Алексей Лукацкий комментирует...

Это же проект - поэтому и не показывают. У меня все руки не доходят краткий анализ его разместить в блоге.

ЗЫ. Вот закончу тренинг по оказанию первой помощи и напишу ;-)

Анонимный комментирует...

Алексей Лукацкий пишет:
"..Это частная норма права, которая перекрывает общую, прописанную в ФЗ-134, не говоря уже о том, что ФЗ-152 был принят после ФЗ-134..."


не соглашусь с Вами, Алексей..

Статья 23. Уполномоченный орган по защите прав субъектов персональных данных
1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона...
3. Уполномоченный орган по защите прав субъектов персональных данных имеет право:
7) выполнять иные предусмотренные законодательством Российской Федерации обязанности.


Наличие таких "закрытых перечней прав" и специальных норм права как раз дает возможность Россвязькомнадзору применять общие нормы, определенные 134-ФЗ, в т.ч. проводить плановые мероприятия по надзору и контролю...

И хотя название у 134-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)", чиновниками он трактуется, чаще всего, наоборот: слово "защита" они меняют на "нарушение"

Анонимный комментирует...

134 ФЗ является специальным части проведения проверок относительно 152 ФЗ в части только порядка проведения контроля, но никак не основания проведения проверки
-------------------------------
п. 4. ст. 1. 134 ФЗ
Настоящим Федеральным законом устанавливаются:
порядок проведения мероприятий по контролю, осуществляемых органами государственного контроля (надзора);
права юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора), меры по защите их прав и законных интересов;
обязанности органов государственного контроля (надзора) и их должностных лиц при проведении мероприятий по контролю.

---------------------------

Так что Россвязькомнадзор будет применять 134 ФЗ только в части процедуры проведения, но никак не основания проведения таких проверок.
А действия, которые Россвязькомнадзор вправе осуществлять при проведении контроля и надзора п. 1. ст. 23. как раз перечислены в п. 3 ст. 23
К слову Вы знаете еще какие-нибудь процедуры контроля не предусмотренные 152ФЗ, но в силу п. . ст. 23 152 ФЗ которые могли бы проводиться Россвязькомнадзором?

Ну и как вы думаете, может ли скажем Росподребнадзор проводить обыски, если данная функция не предоставлена Росподтребнадзору действующим законодательством РФ ;)

Анонимный комментирует...

134-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)"

Статья 7. Порядок проведения мероприятий по контролю

4. В целях проверки выполнения юридическими лицами и индивидуальными предпринимателями обязательных требований органом государственного контроля (надзора) в пределах своей компетенции проводятся плановые, мероприятия по контролю.


Вот Вам и основания для проверок..

Анонимный комментирует...


Алексей пишет:

Дополнительно в п.3 ст.23 приведен закрытый перечень прав Роскомнадзора, среди которых плановые проверки вообще не значатся. Это частная норма права, которая перекрывает общую, прописанную в ФЗ-134, не говоря уже о том, что ФЗ-152 был принят после ФЗ-134.


Вообщем весь спор из-за этого: частная норма права, которая перекрывает общую, прописанную

Юристы это подтверждают?

Анонимный комментирует...

Можно спорить до хрипоты.
Рсок все-равно будет делать так, как им удобно а не СУБЬЕКТАМ их деятельности.
Вы их за это в угол поставите?
Раз РСОК не правомочен издавать НПА по своей прямой деятельности -
МинСвязи обязан его обеспечить всеми нормами.
Вот и надо спрашивать у ЩЕГОЛЕВА и Ко -
а когда издадите НПА по неавтоматизированнной обработке?
Где Рекомендуемый пакет софта для защиты ИСПДН и кадровых органов на компанию до 10 человек.
Где закон вводящий регламент защиты
ИСПДН
Где регламент РСКн по защите прав субьектов ПД
Где методики контроля для РСОК.
До ввода вышеназванных норм любая деятельность РСКн в области ПДН кроме внутренней - НЕЗАКОННА.
А хочут они или НЕхочут по плану или без - это дело десятое
Пусть реестр свой наконец сделают в нормальном виде и сайт наполнят информацией а не туфтой
Почему за месяц Информзащита по ПД сделала сайт с вменяемыми ответами на вопросы а РСКН что нет рук?
Их сайты это убожество - 1 картинка и две странички текста и половина ссылок в пустоту...

8itsec

Алексей Лукацкий комментирует...

Void Z7: Юристы это подтверждают ;-)

Анонимный комментирует...

в пределах своей компетенции проводятся плановые
А пределы компетенции определены 152 ФЗ ;)

Анонимный комментирует...

РБК 26.03.2009, Москва 13:03:56 Министр связи и массовых коммуникаций РФ Игорь Щеголев поручил Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разработать и ввести новые стандарты в области защиты персональных данных. Как сообщил сегодня И.Щеголев, представляя нового руководителя службы Сергея Ситникова, новые стандарты нужны для того, чтобы информационные системы, которые внедряются, не допускали информационных утечек. "Граждане, которые доверяют свои данные государству, должны быть уверены, что с ними ничего не произойдет", - отметил министр.

В настоящее время Роскомнадзор готовит предложения Минкомсвязи по совершенствованию нормативно-правовой базы для систем защиты персональных данных. И.Щеголев отметил, что это важнейшее новое направление Роскомнадзора.

Напомним, ранее правительство РФ утвердило постановление о Роскомнадзоре, где прописаны новые функции ведомства.

"Мы переходим к очередному этапу деятельности службы, нам нельзя снижать обороты, перед нами стоят новые задачи, но при этом не надо забывать и о старых", - отметил И.Щеголев. По его словам, в рамках антикризисных мер от Роскомнадзора ожидают прозрачности, ясности рынка и оперативности в работе.

Уважаемые!
Я чего-то не понял с правами РСКН и их руководства
Они таки должны издавать НПА по своему направлению или где?
Тут в последних документах читал -
абсолютно противоположное.
Не имеют права.
Не ИЗдают НПА.
Только дают предложения.
А устно все наоборот?
Кто кого путает
8itsec

Анонимный комментирует...

Без комментариев!!!
http://www.itsec.ru/forum.php?from=-1&sub=3065

Анонимный комментирует...

трактовка трактовкой, но как бы шапки то по-тихоньку летят. http://02.rsoc.ru/news/?id_news=101 и на первый взгляд компании не тянут на дойных коров :(

Алексей Лукацкий комментирует...

Ну мы же не знаем причин? Может это разборки конкурентов?..