Календарный год почти на исходе, можно подвести и некоторые итоги нормотворческой деятельности, посвященной теме персональных данных. Так уж получилось, что эта тема невольно стала в этом блоге одной из основных, заняв второе место после темы законодательства. Ну а так как я непосредственно был вовлечен в ряд нормотворческих инициатив, то эта заметка станет некоторым подведением годовых итогов.
Начнем с известных фактов, о которых я писал по мере возможности:
Начнем с известных фактов, о которых я писал по мере возможности:
- Проект Постановления Правительства по наделению РКН новыми полномочиями в части надзора (контроля) в области ПДн подвис и о его судьбе больше ничего не известно.
- Законопроект Аксакова 108693-6 "О внесении изменений в статью 857 части второй Гражданского кодекса Российской Федерации, статью 26 Федерального закона "О банках и банковской деятельности" и Федеральный закон "О персональных данных" (в части смягчения режима банковской тайны) до первого чтения в Госдуме пока так и не добрался и, несмотря на прошедший ноябрь, дальнейшие шаги по нему так и не определены.
- Утверждение 21-го приказа ФСТЭК с мерами по защите персональных данных.
- Проект Указания Банка России "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных" также находится в подешенном состоянии, что связано на мой взгляд с серьезной пертурбацией в руководстве ЦБ и ключевых департаментов.
- Утверждение приказа Роскомнадзора "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных".
- Принятие закона "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных".
- Принятие закона "О внесении изменений в подраздел 3 раздела I части первой Гражданского кодекса Российской Федерации".
- Публикация разъяснения ФСТЭК по применению 17-го и 21-го приказов.
- Внесение бывшим кандидатом в мэры Москвы Дегтярева в Госдуму с последующим отзывом законопроекта о контроле ПДн в соцсетях.
- Публикация разъяснения Роскомнадзора по биометрическим ПДн.
- Утверждение приказа Роскомнадзора от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных".
- Публикация проекта приказа ФСБ "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
- Законопроект "О внесении изменения в статью 10 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".
- Публикация проекта методического документа ФСТЭК, разъясняющего меры в 17-м и 21-м приказах.
- Публикация методических рекомендаций по исполнению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
И вот последний штрих - во вторник в Госдуму был внесен еще один законопроект - №416052-6 "О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях". Это результат работы рабочей группы при Совете Федерации, в которую входил и я. Я не буду подробно рассматривать этот законопроект - мой взгляд будет слишком субъективным :-) Но Сергей Борисов уже вкратце пробежался по ключевым изменениям; думаю скоро и коллеги подтянутся. Если этот законопроект примут, то он снимет многие разногласия, возникающие при толковании отдельных норм ФЗ-152.
Из того, что планируется и что я не упомянул выше:
Из того, что планируется и что я не упомянул выше:
- Законопроект по внесению изменений в КоАП в части увеличения штрафов за нарушение отдельных требований ФЗ-152. Существует два законопроекта с разными составами правонарушений и разными суммами максимальных штрафов - от 300 до 700 тысяч рублей.
- Законопроект по внесению изменений в ФЗ "О лицензировании отдельных видов деятельности" в части четкого определения, в каких случаях нужна лицензия ФСТЭК на ТЗКИ
- Законопроект об административной ответственности за несообщение об инциденте с ПДн.
- Законопроект об административной ответственности за отказ продавца в предоставлении товара или услуги при отсутствии согласия субъекта ПДн.
- Законопроект о внесении в ФЗ-152 понятия "минимальный набор персональных данных".
- Законопроект о внесении в ФЗ-152 понятия конклюдентного согласия.
- Принятие новой Евроконвенции и Евродирективы по защите прав субъектов ПДн. За ней должна в теории последовать и гармонизация ФЗ-152, но так далеко у нас пока на забегали.
В мае я писал, что 2013-й год будет очень насыщенным по части персональных данных. Так и получилось. И хотя я прекрасно понимаю, что это законодательство всех уже достало и большого успеха на поприще защиты прав субъектов оно не имело, все-таки сбрасывать со счетов его нельзя.
Я бы взглянул на него немного с другой позиции. Представьте, что доводы, приведенные в статье KermlinRussia, верны и в России скоро будет ощущаться острая нехватка денег. Откуда их можно взять? Вариантов не так уж и много. Взять можно в долг у МВФ (но фиг дадут). Можно потребовать возврата долгов, но если кризис везде, то денег никто не вернет. Можно поднять цены на газ, но покупать его тогда не станут в тех объемах, которые покроют дыру в бюджете. Можно попросить у граждан, что мы и видим на примере пенсионной реформы, установке лимитов на Интернет-торговлю и т.п. Но и тут есть пределы. Наконец, можно взять у бизнеса. И мы опять видим, что последние законодательные инициативы направлены на это. И законодательство по персональным данным очень хорошо ложится именно в последнюю схему. Закон касается ВСЕХ, штрафы поднимут, регулятор начнет активнее их взимать в пользу государства. Ни о какой защите прав субъекта никто и не думает, в отличие от наполнения бюджета. А в такой ситуации о ФЗ-152 может быть и стоит задуматься...
Я бы взглянул на него немного с другой позиции. Представьте, что доводы, приведенные в статье KermlinRussia, верны и в России скоро будет ощущаться острая нехватка денег. Откуда их можно взять? Вариантов не так уж и много. Взять можно в долг у МВФ (но фиг дадут). Можно потребовать возврата долгов, но если кризис везде, то денег никто не вернет. Можно поднять цены на газ, но покупать его тогда не станут в тех объемах, которые покроют дыру в бюджете. Можно попросить у граждан, что мы и видим на примере пенсионной реформы, установке лимитов на Интернет-торговлю и т.п. Но и тут есть пределы. Наконец, можно взять у бизнеса. И мы опять видим, что последние законодательные инициативы направлены на это. И законодательство по персональным данным очень хорошо ложится именно в последнюю схему. Закон касается ВСЕХ, штрафы поднимут, регулятор начнет активнее их взимать в пользу государства. Ни о какой защите прав субъекта никто и не думает, в отличие от наполнения бюджета. А в такой ситуации о ФЗ-152 может быть и стоит задуматься...
Красивая мысль, но даже штрафы в миллион не спасут. Да и если денег нет у государства, то их и в частных компаниях не будет (или платить не будут)... А кремлину верю, давно к этому идём )))
ОтветитьУдалитьКрасивая мысль, но даже штрафы в миллион не спасут. Да и если денег нет у государства, то их и в частных компаниях не будет (или платить не будут)... А кремлину верю, давно к этому идём )))
ОтветитьУдалитьДобрый день. В начале года совместно с ассоциацией RISSPA проводился вебинар, по вопросу нового на тот момент приказа ФСТЭК. В ходе данного вебинара вы (Алексей Лукацкий) говорили о том, что регулятором ведется разработка методики моделирования угроз, которая будет обязательной для гос. органов и рекомендательной для коммерческих организаций.
ОтветитьУдалитьВы случайно не в курсе, что-нибудь известно о судьбе данного документа?
Artem, документ практически готов. Думаю, что в первой половине 2014-го года он будет принят.
ОтветитьУдалить