Вчера я писал про погружение в ФЗ-152 и появление ряда интересных мыслей по новой редакции. Решил поделиться ими.
Начну с того, что закон четко делится на две части - связанную с защитой прав субъектов и с защитой самих ПДн. Жесткое неприятие вызывает именно вторая часть; в отличие от первой части, которая действительно стала более гармонизирована с Евроконвенцией и стала больше отвечать интересам операторов персданных, найдя определенных баланс между интересами операторов и субъектов. Но пойдем по порядку.
Одно из мощнейших изменений коснулось статьи 6. В ней расширен перечень условий, при которых возможно обрабатывать персданные без согласия субъекта. Это не только преддоговорная работа, но и обработка ПДн для осуществления прав и законных интересов оператора. Иными словами, теперь можно вести черные списки мошенников и неплательщиков, привлекать внешние службы безопасности для проверки клиентов и выполнять другие не менее важные задачи, ранее невозможные в рамках закона.
Второе важное изменение коснулось уточнения термина "обезличивания". Если раньше оно вызывало вопросы, то сейчас, на мой взгляд, двойных толкований быть не должно. Нельзя без дополнительной информации определить, что это за пользователь с номером 123456, который обладает миллионным состоянием, значит это обезличивание и обработка таких данных выпадает из под действия ФЗ.
В закон введение определение автоматизированной обработки, которое исключает двойственное толкование, а следовательно теперь четко делит всю обработку на автоматизированную и ручную. Уход по ПП-687 с обработкой на средствах вычислительной техники сегодня уже не убедителен.
Уточнены понятие трансгранички и условий ее осуществления. И за составление списка "адекватных" стран для трансгранички теперь законодательно отвечает РКН.
Очень интересна формулировка в ст.4. "
На основании и во исполнение федеральных законов государственные органы, Банк России, органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты (далее нормативные правовые акты) по отдельным вопросам, касающимся обработки персональных данных". Не значит ли это, что ЦБ все-таки может придать официальный статус своему СТО? Тут есть над чем поразмыслить. Вторая часть формулировки этой статьи "
такие акты не могут содержать положения, ограничивающие права субъектов персональных данных, устанавливающие не предусмотренные федеральными законами ограничения деятельности операторов или возлагающие на операторов не предусмотренные федеральными законами обязанности, и подлежат официальному опубликованию" говорит нам о том, что пресловутое ПП-330 может скоро потерять свой гриф "ДСП" и тогда вопрос о том, что такое "оценка соответствия в установленном порядке" перестанет быть тайной за семью печатями.
Срок хранение персданных теперь может быть установлен договором. Это было возможно и раньше, но теперь это четко зафиксировано в законе. Поэтому на запросы недоумевающих пользователей "А почему у Ингостраха в договоре написано, что они могут хранить мои персданные 75 лет?" есть четкий ответ - "по закону". С хранением связан и другой интересный момент - теперь по достижению целей или срока их обработки данные можно не уничтожать - достаточно их обезличить.
Введено так нелюбимое Роскомнадзором понятие "обработчика". И получать ему согласие на обработку от субъекта, которого он и в глаза не видел, теперь не надо. Зато выполнять требования ст.19 по безопасности порученных ему для обработки ПДн он обязан. Специально для РКН в законе закреплена норма из ГК, что третье лицо не отвечает по обязанностям по сделке. Если у обработчика произошла утечка, то отвечать все равно оператору. Обработчик будет отвечать только за невыполнение условий договора между оператором и обработчиком (если он есть).
Форма согласия субъекта теперь может быть любой, а не только письменной, как это раньше считал РКН. На отзыв согласия теперь можно закрыть глаза, если обработка осуществляется при наличии оснований для обработки без согласия (на основании ФЗ, договора или преддоговорной работы и т.д.). Также электронная подпись и собственноручная подпись под электронным или бумажным согласием теперь равнозначны. Учитывая, что вид электронной подписи (простая или усиленная) в законе не указан, то теперь одноразовые коды или просто пароли в Web-формах вполне легитимны для получения согласия.
Информацию о состоянии здоровья сотрудников теперь можно обрабатывать без письменного согласия. Эта же информация в целях страхования также не требует подписания никаких бумажек.
Красиво новый закон обходит проблему получения письменного согласия на обработку фото и видео субъекта ПДн. Если раньше под это определение попадали почти все фото и видео (исключая уход под ГОСТ 19794), то сейчас биометрией будет признаваться только то, что используется для идентификации личности. Вот сканирую я паспорт на входе в здание, но не планирую использовать фото для удостоверения личности, значит никакого письменного согласия на обработку биометрических ПДн мне не надо.
14-я статья, часто применяемая для конкурентной борьбы, тоже претерпела изменения. Теперь прежде что-то просить у оператора, субъект обязан доказать, что он имеет это право и у него есть или были правоотношения с оператором. Срок ответа на запрос субъекта увеличен, как и причины для отказа на такой запрос. Например, можно сослаться на ФЗ-115 и не отвечать на запрос субъекта.
Интересны ст.18 и ст.18.1. Например, если ПДн получены не от субъекта напрямую, то раньше требовалось обязательного его уведомление. Сейчас это можно не делать, если оператор попадает в исключения в новой редакции ФЗ. Новая статья 18.1 определяет меры, направленные на выполнение оператором обязанностей, предусмотренных ФЗ-152. Например, в ней зафиксировано, что оператор обязан опубликовать свою политику по работе с персданными. Также оператор может самостоятельно определять состав и перечень необходимых мер по выполнению ФЗ, если иное не предусмотрено ФЗ-152. Вот в этой приписке "если иное..." и кроется основная проблема, на мой взгляд, с защитой ПДн. Если без нее текст был гармонизирован с Евроконвенцией и оператор действительно сам определял, что и как ему делать (правда, по запросу РКН он был обязан представить доказательства этого), то по новой формулировке в самостоятельность оператора внесены ограничения. Они, в частности, ограничивают его право на самостоятельность в отношении защиты ПДн (это все регламентируется ст.19).Правда, есть мнение, что ст.19 - это всего лишь разъяснение п.1.3 статьи 18.1.
19-я статья требует отдельного обсуждения. Пока только могу отметить, что:
- требования по защите разрабатывают ФСТЭК и ФСБ и никто иной
- меры по защите вытекают из уровней защищенностей, которые должно разработать Правительство (а оно эту функцию не делегировало ФСТЭК и ФСБ, в отличие от выработки требований по защите).
- уровни по защите зависят не только от актуальности угроз, но и от объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные. Как Правительство будет это делать, не совсем понятно. Да и времени осталось совсем мало.
- У нас исчезает понятие класс ИСПДн. Ему на смену приходит уровень защищенности. Следовательно на смену "приказу трех" придет какой-то другой документ и вообще вопрос классификации ИСПДн подвисает в воздухе.
- Модель угроз может быть разработана различными органами госвласти, а также ЦБ, что позитивно и позволит учесть отраслевую специфику. Правда, мер по нейтрализации этих угроз никто кроме ФСТЭК и ФСБ разрабатывать не может.
- Ассоциации и союзы могут также разработать модель угроз для своих членов. Правда, ее надо согласовать с ФСТЭК и ФСБ в порядке, которого пока нет, - Правительство его пока не выпустило.
- На сегодняшний день ФСТЭК и ФСБ не могут проверять коммерческие структуры - ст.19 ограничивает их полномочия только государственными информационными системами. Правда, есть и подвох. В п.9 полномочия ФСТЭК и ФСБ могут быть расширены по отдельному решению (не распоряжению и не постановлению) Правительства. Думаю, что оно не заставит себя ждать и до 1-го ноября такое решение появится.
Наверное, из ключевых моментов все. Есть конечно и другие изменения, но они не столь значительны, как описанные выше.