Сегодня, 9-го декабря, спустя 5 месяцев после публикацией нами открытого письма Президенту по поводу внесений изменений в ФЗ-152, хотелось бы подвести промежуточные итоги. Письмо, отправленное через Администрацию Президента, было направлено по подведомственности в Минкомсвязь, в Департамент создания и развития информационного общества. Была организована встреча с руководством Департамента, на которой нас пригласили к совместной работе над подзаконными актами, которые должны выйти во исполнение нового, на тот момент еще законопроекта.
Нами было предложено несколько идей:
Алексей Волков, Александр Токаренко, Александр Бондаренко, Женя Царев и я предложили конкретные формулировки там, где это можно было сделать (п.1, 2 и 5).
Ответом нам стало "Статус Ваших предложений - предложения-)). К сожалению, большая часть из них не по-нашему столу. Они больше для наших коллег по этому процессу. Сейчас для нас основная задача - подготовка подзаконных актов, в том числе требований. Как они будут подготовлены, так и будет работать закон. Ваши предложения мы постараемся учесть на этом этапе, хотя я уверен, что и мы и Вы еще не раз будем это обсуждать".
В рамках дальнейшей дискуссии выяснилось, что у нас есть возможность поучаствовать в формировании содержания двух Постановлений Правительства:
Александр высказал мысль, что представленная схема слишком сложна для восприятия , а это в свою очередь означает, что либо законодатели не поймут и не примут документ в таком виделибо операторы поймут еще меньше и начнутся премудрости. Консенсуса у нас в группе найдено не было и предложения были в двух вариантах - как предлагал Алексей и как предлагал Александр.
В ноябре появилась информация о промежуточных результатах. Правительство поручило разработку указанных выше двух Постановлений ФСТЭК и ФСБ и Минкомсвязь переслал наши предложения регуляторам, которые должны утвердить указанные документы в 1-2 кварталах следующего года. Теперь остается только ждать...
Нами было предложено несколько идей:
- Внести в КоАПП и УК РФ (здесь надо уточнить просто формулировку ст.138 УК РФ) ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.
- Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».
- Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.
- Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.
- Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие факта утечек ПДн субъектов.
Алексей Волков, Александр Токаренко, Александр Бондаренко, Женя Царев и я предложили конкретные формулировки там, где это можно было сделать (п.1, 2 и 5).
Ответом нам стало "Статус Ваших предложений - предложения-)). К сожалению, большая часть из них не по-нашему столу. Они больше для наших коллег по этому процессу. Сейчас для нас основная задача - подготовка подзаконных актов, в том числе требований. Как они будут подготовлены, так и будет работать закон. Ваши предложения мы постараемся учесть на этом этапе, хотя я уверен, что и мы и Вы еще не раз будем это обсуждать".
В рамках дальнейшей дискуссии выяснилось, что у нас есть возможность поучаствовать в формировании содержания двух Постановлений Правительства:
- «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных»
- «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных».
Александр высказал мысль, что представленная схема слишком сложна для восприятия , а это в свою очередь означает, что либо законодатели не поймут и не примут документ в таком виделибо операторы поймут еще меньше и начнутся премудрости. Консенсуса у нас в группе найдено не было и предложения были в двух вариантах - как предлагал Алексей и как предлагал Александр.
В ноябре появилась информация о промежуточных результатах. Правительство поручило разработку указанных выше двух Постановлений ФСТЭК и ФСБ и Минкомсвязь переслал наши предложения регуляторам, которые должны утвердить указанные документы в 1-2 кварталах следующего года. Теперь остается только ждать...
5 коммент.:
"Ответственность за УЩЕРБ субъекту" путь тупиковый в нашей стране. Ущерб нужно еще доказать в суде, а с нашей судебной системой это настолько сложная процедура (к сожалению, имею печальный опыт)...
Было бы, конечно, лучше иметь административную ответственность за сам факт утечки.
Дожно быть и то и то.
Ответственность за УЩЕРБ, вернее ВРЕД, определяется главой 59 ГК РФ, чего выдумывать велосипед? Если субъекту причинен ущерб (вред) и это ДОКАЗАНО - вопросв нет.
А такое деяние как невыполнение мер защиты, которе может привести к неправомерным действиям, даже если еще вред субъекту не причинен - уже само по себе есть состав правонарушения. И это не новое изобретение.
как-то я уже спроил с А. Волковым по поводу того, что если ты пересчешь слошную линию на дороге, то тебя оштрафуют, что бы впредь не повадно было, даже, если ты не причинил инкому вреда.
Вихореву: к сожалению, в плане требований по защите ПДн все далеко не так очевидно, как с двойной сплошной. Установите адекватные требования - и мы с удовольствием их будем исполнять. Пока же, увы - ПДД и ПДн вещи несравнимые.
Да и с ПДД находятся желающие в погонах трактовать правила как хочется
а где можно посмотреть сами документы?
Отправить комментарий