21 марта Правительство утвердило, а вчера опубликовало новое Постановление №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (на сайта Правительства и Консультант+). Это первое из 3-х постановлений, которые должны появится в рамках реализации новой (или уже не новой) редакции ФЗ-152.
Указанное постановление определяет перечень мер, предусмотренный ст.18.1 ФЗ-152, но только для госорганов и муниципалов. Пересказывать постановление не буду, просто тезисно опишу важные моменты:
Кстати, вчера я был на одной конференции по ПДн, где представитель РКН сказал, что к лету готовится целый пакет разъяснений со стороны РКН по теме персданных. Видимо в этом пакете будут и требования по обезличиванию, а также список стран с адекватной защитой прав субъектов, разъяснение про биометрию, работу с коллекторами и многое другое.
Ждем еще двух постановлений - по уровням защищенности и по требованиям по защите. Они готовы и проходят последние согласования.
ЗЫ. Интересно, что экспертизу в Минюсте данное постановление не проходило. По крайней мере меня оно минуло, а я мониторю все проекты нормативных актов, которые проходят через Минюст. Хотя ничего крамольного в нем нет и экспертиза была бы излишней, на мой взгляд,
Указанное постановление определяет перечень мер, предусмотренный ст.18.1 ФЗ-152, но только для госорганов и муниципалов. Пересказывать постановление не буду, просто тезисно опишу важные моменты:
- Определена необходимость (она и в ФЗ-152 было) назначения главного за обработку ПДн.
- Определен перечень документов, который должен быть разработан госорганом или муниципальным органом.Вопрос у меня вызвало требование наличия документа, описывающего правила работы с обезличенными данными. Зачем? Обезличенные данные не подпадают под требования ФЗ-152 в принципе, т.к. не являются персональными.
- Декларируется, что обработка ПДн без средств автоматизации регламентируется ПП-687.
- Описано требование обезличивания ПДн в ИСПДн согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных. Пока этих требований и методов нет.
Кстати, вчера я был на одной конференции по ПДн, где представитель РКН сказал, что к лету готовится целый пакет разъяснений со стороны РКН по теме персданных. Видимо в этом пакете будут и требования по обезличиванию, а также список стран с адекватной защитой прав субъектов, разъяснение про биометрию, работу с коллекторами и многое другое.
Ждем еще двух постановлений - по уровням защищенности и по требованиям по защите. Они готовы и проходят последние согласования.
ЗЫ. Интересно, что экспертизу в Минюсте данное постановление не проходило. По крайней мере меня оно минуло, а я мониторю все проекты нормативных актов, которые проходят через Минюст. Хотя ничего крамольного в нем нет и экспертиза была бы излишней, на мой взгляд,
Горд собой! :) Кроме "перечня должностей по обезличиванию" остальные документы были предсказаны и делались ранее, несмотря на сопротивление ГиМ органов. Все названия совпадают практически полностью. Ёхоу!!!
ОтветитьУдалитьto Вопрос у меня вызвало требование наличия документа, описывающего правила работы с обезличенными данными.
ОтветитьУдалитьА где тогда прописать "обратное" преобразование, работать то с обезличенными надо. И почему они не попадают под 152? Исходя из определения после обезличивания данные не перестают быть персональными, просто невозможно без доп. информации привязать их к субъекту. Вот механизм этой привязки и прописывать в правилах.
Вопрос вызвала статья
ОтветитьУдалить"Документы, определяющие политику в отношении обработки персональных данных, подлежат опубликованию на официальном сайте государственного или муниципального органа в течение 10 дней после их утверждения"
Это документы перечисленные в статье 1,б) или вообще нечто другое?
Опять почва для разногласий.
Это из 152ФЗ, ч.2 ст. 18 прим с конкретизацией срока.
ОтветитьУдалитьДа нет, Сергей, в первый раз Вы правильно написали. По замыслу это постановление должно подменять статью 18.1 для ГиМ органов. Тогда получается вопрос с Политикой и, что важнее, с "оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом".
ОтветитьУдалитьЕще классное требование про обязательство о прекращении обработки в случае расторжения контракта. Малость забыли, что в ГиМ органах с ПДн работают не только ГиМ служащие. Для таких "не служащих", получается, такого требования устанавливать не надо.
ОтветитьУдалитьЕсли по данным нельзя сделать вывод об их персональности, то какие же они персональные? А если они не персональные, то какое они имеют отношение к закону "О персональных данных".
ОтветитьУдалитьДокументы, указанные в ПП-221 НЕ ПОДМЕНЯЮТ и НЕ ЗАМЕНЯЮТ то, что указано в ст.18.1 ФЗ-152. Они уточняют, что имелось ввиду. Тем более, что в публичной политике пишется далеко не все, что должно быть в локальных документах.
ОтветитьУдалитьОк :) Тогда как по Вашему мнению, надо ли в ГиМ органах делать документы по "оценке вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом"? Просто скажите, "надо" или "не надо".
ОтветитьУдалитьНадо
ОтветитьУдалитьВот таки и я такого мнения. А вот в ГиМ органах поголовно считают, что не надо. И пока не напишут в предписании, ничего делать не будут. Спасибо депутатам и правительству за однозначный, четкий, ясный и однозначнопонимаемый язык!
ОтветитьУдалить