Rambler's Top100
 
Блоги Михаил ЕМЕЛЬЯННИКОВ

Люди, будьте бдительны!

  15 августа 2011 Страница персоны

Не могу молчать! Тиграм в клетке не докладывают мяса!

Принятие поправок в ФЗ-152 породило вал комментариев, причем комментировать стали абсолютно  все – кто был в теме 5 лет, кто узнал о случившемся «вступлении в силу закона о защите персональных данных» и кто по этому поводу только что поучился на скоропалительно созданных курсах. Интеграторы и адвокатские бюро, кадровые агентства и объединения производителей софта и вообще все, кому не лень – комментируют.

Среди читателей моего блога – люди совершенно разные. По разным причинам они окунаются в эту отнюдь не прозрачную воду. Хочу выписать всем простой рецепт. Увидев комментарий, который вас поразил своей глубиной и выразительностью, выделите особо впечатляющие слова, скопируйте их, откройте новый текст закона и поищите.

Результат может быть неожиданным.

Для иллюстрации – таблица ниже. Вопреки обыкновению, не указываю названия компаний, имена комментаторов и журналистов. Я рядом во время интервью не стоял и их не слышал. Цепочка «источник-журналист-редактор» очень сложная, и в ней случается всякое. Поэтому – только то, что прочитал и что по этому поводу думаю. То, что прочел я в Интернете, и Вы прочесть можете.

 

Источник и высказывание

Мой комментарий

Известный интегратор, оказывает услуги в области персданных:

«То и дело от Роскомнадзора поступают недвусмысленные сигналы о необходимости подачи заявки на регистрацию в качестве оператора ПДн. Если компания не подала заявку, она нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом».

Нет в законе регистрации в качестве оператора. Есть уведомление об обработке персданных. Уведомление и регистрация – суть понятия совершенно разные.

Нет такой санкции за неуведомление, как приостановка деятельности организации. Ст.19.7 КоАП «Непредставление сведений (информации)». Максимальное наказание для должностного лица – 500 рублей, для юрлица – 5000 руб. Все.

Депутат Госдумы:

«На сегодняшний день за деятельность по несанкционированной обработке персональных данных предусмотрен штраф от 5 до 500 тысяч рублей».

Введение в заблуждение или некомпетентность.

Ст.13.11 КоАП «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Нарушение влечет наложение штрафа на должностных лиц - от 500 до 1000 рублей; на юридических лиц - от 5 до 10 тысяч рублей». Почувствуйте разницу.

Если имелась в виду ст.137 УК «Нарушение неприкосновенности частной жизни» (прецедентов ее «подтягивания» к персданным пока нет), штраф при использовании служебного положения – от 100 до 300 тыс. рублей. Все равно не 500 тысяч.

Чиновник:

«Чтобы доказать свой ущерб от недобросовестных действий сетевых продавцов, достаточно будет представить в суде скриншот (снимок экрана, показывающий в точности то, что видит пользователь на экране своего монитора) веб-страницы с опубликованными на ней персональными данными».

Бесполезно. Скриншот надо заверить у нотариуса, а это сложно, дорого и долго, делается далеко не всеми нотариусами и принимается судами далеко не всегда (надо доказать принадлежность сайта оператору) – см. дело Кирилла «Медведа 01» Форманчука в Екатеринбурге. И скриншот – не ущерб. Ущерб надо доказывать. См. известное дело «Субъект персданных против МТС» в МАС № КГ-А40/14789-07: «Суд пришел к выводу, что истец не представил доказательств факта причинения ему нравственных и физических страданий действиями ответчика».

Руководитель якобы крупной, но неизвестной компании на рынке ИБ:

«Те компании, которые не выполнят жестких требований закона, не внедрят необходимое оборудование (системы ограничения доступа, криптографическую и антивирусную защиту, программы по отслеживанию несанкционированных вторжений) будут выплачивать не только административные штрафы, но и лишаться лицензий».

Неправда. Роскомнадзор (ст.23 ФЗ-152) может направлять в лицензирующий орган заявление о принятии мер по приостановлению действия или аннулированию соответствующей лицензии только в том случае, если условием лицензии является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных. Все. Других вариантов нет. Пока неизвестны случаи включения этого положения в какие-либо лицензионные условия. Значит, и говорить не о чем.

Известная, крупная юридическая компания:

«Новая редакция Закона вводит правило, согласно которому операторы самостоятельно определяют состав мер, необходимых и достаточных для обеспечения требований Закона и подзаконных актов. При этом устанавливается примерный неисчерпывающий перечень таких мер».

Это не правило, это декларация. Читаем ст.18прим ФЗ-152 в новой редакции. Часть 4: «Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных».

Юрист компании:
«Документ ужесточает ответственность организаций за соблюдение защиты личной информации россиян. Напомним, принятый в 2006 году Федеральный закон "О персональных данных" предоставлял отсрочку по введению этой нормы до 1 января 2010 года. Впоследствии Госдума дважды продлевала этот срок, и в последний раз - до 1 июля 2011 года».

«Закон вводит понятие биометрических персональных данных. Но прерогатива их хранения и использования отдана в основном государственным службам, которые смогут к ним обратиться в случае необходимости установления личности».

Нет в новой редакции никакого ужесточения. И переносилось не ужесточение, а срок приведения в соответствие закону информационных систем. И биометрические данные были в самой первой редакции.

А уж где юрист вычитала про «прерогативу» - только ей известно, в ФЗ-152 этого нет.

Неофит, сходивший на семинар по новой редакции ФЗ-152:

«Оказывается, любой "обиженный" или бывший сотрудник практически любой организации может подложить свинью своим работодателям-уродам. Для этого, нужно всего лишь инициировать их внеплановую проверку Роскомнадзором, составив жалобу. И если у организации конь не валялся в подготовке к требованиям 152-ФЗ "О защите персональных данных", они за месяц должны будут конкретно упереться рогом в землю и нарожать столько ежиков, что будут потом очень долго вспоминать всех своих бывших и "обиженных" сотрудников в долгих матерных выражениях».

Вас обманули. Ни ФЗ-152, ни ФЗ-294 не предусматривает в качестве основания для внеплановой проверки жалобу действующего или бывшего работника, как и любого другого субъекта, на нарушения оператором порядка обработки персональных данных. Соответствующие поправки в закон не прошли.

Появились прецеденты отказа в предоставлении доступа лицам, приехавшим осуществлять внеплановую проверку.

А месяц упирания рогом – вообще плод фантазий авторов семинара. О внеплановой проверке, когда она законна, предупреждают не позже, чем за 24 часа.

Руководитель известной компании на рынке ИБ:

«По новому закону компании, которые нанимают более 10 человек, становятся операторами персональных данных».

«Организации, которые оперируют базами данных объемом свыше 100 тысяч записей, должны будут приобретать дополнительное сертифицированное оборудование. Сертификаты выдает Федеральная служба по техническому и экспортному контролю (ФСТЭК) и ФСБ».

Нет этого в законе. Оператором является даже тот, кто никого не нанимает, но обрабатывает персданные не в личных, а в профессиональных целях – индивидуальный предприниматель, адвокат, нотариус, журналист.

И 100 тыс. записей здесь ни при чем. Независимо от количества записей в базах данных операторы должны применять средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия.

Я читаю, естественно, не все, что пишут о ФЗ-152. Это невозможно. И написал далеко не обо всем, что прочитал и что меня задело. Это просто примеры.

Не верьте на слово. Лучше проверьте, чтобы не наделать ошибок.

Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.