Rambler's Top100
Блоги Михаил ЕМЕЛЬЯННИКОВ

Поговорим «по понятиям»

  22 августа 2011 Страница персоны

Занимаюсь коренной переработкой своих авторских курсов по тематике защиты персональных данных. Изменений много, и не только в ФЗ-152, и чем дальше влезаешь, тем сложнее видится ситуация.

В качестве одного из аргументов в пользу новой редакции закона «О персональных данных» очень часто приводится тезис о совершенствовании понятийного аппарата. В значительной степени готов согласиться с этим утверждением, но некоторые моменты существенно уменьшают оптимизм.

Давайте поговорим о терминах и определениях нового закона – ведь от понятийной базы зависит многое, если не все, в последующем правоприменении.

Что же изменилось и как? И что не изменилось, хотя и нуждалось в этом?

Анализировать будем не «вообще» и не на тему, как закон соответствует духу новых европейских документов или что об этом когда-нибудь напишут в NIST, BSI или ISO, а конкретно.

Вроде бы все уже согласились с очевидным: плохо это или хорошо, ФЗ -152 заточен на проверку выполнения формальных требований, а не на реакцию на инциденты с персданными. В данной ситуации главное - что подлежит контролю  и надзору. Цитирую ФЗ-294 в последней (как и в предыдущей) редакции: «Предметом плановой/внеплановой проверки является соблюдение юридическим лицом, индивидуальным предпринимателем в процессе осуществления деятельности обязательных требований». Про муниципальные требования пропустим, поскольку к делу не относятся.

Мой главный аргумент против закона я уже много раз озвучивал. Он связан с тем, что оператор может, а что - должен. Поэтому не разделяю энтузиазма по поводу новой статьи 18прим. ИМХО, она ужасная...

Часть первая. [Оператор] Самостоятельно определяет меры... Счастье. И, там же, "к мерам могут относиться" - опубликование политики в том числе. МОГУТ!

Часть вторая. "Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику". Так «могут» или «обязан»? Задумчивость.

Часть четвертая. "Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных". Если могут, то как же обязан представить? Взрыв мозгов и торжествующий инспектор на пороге...

Ст.22прим. "Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных". Подождите, в 18прим мог назначать?

Про техническую защиту вообще молчу - будем ждать подзаконных актов.

Основное. Определение персональных данных стало другим. Определение базовое, краеугольное и основополагающее. Как в Конвенции, убеждают нас сторонники новой редакции закона. «Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)».

Меня лично слово «косвенно» просто убивает. Никогда не понимал, что такое «обезличенные персональные данные» в «приказе трех», исходя из закона, и считая, что если обезличены – значит, не персональные. Наивности пришел конец. Теперь все попытки заменить ФИО на табельный номер, условный код или номер договора в ИСПДн могут оказаться бесполезными – косвенно, с использованием другой ИСПДн, все определяется.

И не надо кивать на Европу.  Правило, выведенное отнюдь не россиянами, «что русскому здорово, то немцу смерть», имеет и обратную силу. Может, у них это и катит. Учитывая, что у нас про способы обезличивания ни в одном нормативно-правовом акте нет ни слова, боюсь, что с таким определением о поблажках, предусмотренных для К4, придется забыть. Посмотрим.

В законе вводится 13 видов обработки персданных, а, с учетом подвидов, - 18: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. При этом прямо определяются только пять видов обработки (распространение, предоставление, блокирование, уничтожение, обезличивание). Про сбор, хранение, уточнение, изменение, доступ, передачу и удаление можно догадаться, читая внимательно другие статьи закона. А вот что такое запись, систематизация, накопление, обновление, извлечение, использование – об этом вообще в законе нет ни слова. В предыдущей редакции определение «использования» было одним из базовых понятий, поскольку именно этот вид обработки приводил к принятию решений в отношении субъекта персональных данных, совершению «иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц». Теперь что такое использование – неизвестно. Кроме того, в законе упоминаются, но не определяются такие виды обработки, как опубликование, (обязательное) раскрытие, очень важные для понятия общедоступных данных.

Мелочи, придирки? Не совсем. Такое пренебрежение может приводить к абсурду.

Например. Сбор персданных – это тоже обработка. Но в ст.18 (как раньше, так и сейчас), оператор, в случае, если персданные получены не от самого субъекта, до начала обработки его данных обязан предоставить субъекту определенную информацию. Это как? Получив «черный ящик», найти того, про кого в ящике написано? Для многих этот пункт является камнем преткновения. Как, не обрабатывая данные, связаться с субъектом?

Или другой пример. Блокирование – тоже вид обработки. Читаем определение: «Блокирование - временное прекращение обработки персональных данных». Т.е. обработка заключается в прекращении обработки?

Выливается эта неряшливость терминов в неопределенность действий оператора в случаях, прямо связанных с его непосредственными обязанностями. Ст.21 предлагает в первой-третьей частях сразу два сценария поведения оператора при выявлении неправомерной обработки персональных данных. Если по этому поводу обратился субъект (его представитель, уполномоченный орган) (часть 1), данные надо блокировать и уточнить. А если просто обнаружился факт неправомерной обработки (часть 3 - про обращение субъекта – ни слова, , тогда, интересно, как он обнаружился?), обработку данных надо прекратить и их уничтожить.

Так как правильно? Тождественны ли блокирование и прекращение обработки? Если да, почему в двух частях одной статьи используются разные термины? Вопросы без конца… Проверяющие на пороге…

И в заключение. Новая часть 2 прим статьи 25 закона в новой редакции: «Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7прим, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года».

Все операторы? Даже те, кто не представлял уведомление ранее и не обязан по закону уведомлять Роскомнадзор вообще? Из текста статьи вытекает, что – да, должны! Тогда это новое слово в законе. Принципиально новое. Статья 19.7. Непредставление сведений (информации) КоАП заплакала обо всех юрлицах, адвокатах, нотариусах, журналистах и прочих операторах персданных нашей страны. Очень горькими слезами.

Подробный анализ всего этого – на обновленных курсах и семинарах.

Поделиться:

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.