| Рубрикатор |  |
 |
| Статьи |  |
ИКС № 07-08 2011 | |
|
| Михаил ЕМЕЛЬЯННИКОВ | 26 июля 2011 |
Многосерийный ДЕТЕКТИВ под названием «ФЗ-152»
Первая половина лета прошла под знаком персональных данных. Подогреваемая летней жарой, сакраментальным сроком 1 июля и распоряжением президента Госдума, как известно, после нескольких переносов приняла в 3-м чтении поправки в ФЗ-152 «О персональных данных».
Второе чтение, третье, поправки Резника, Плигина – все обсуждалось с жаром и уходило в Рунет «с колес». Пик возмущения пришелся на 3-е, заключительное чтение 5 июля, когда выяснилось, что «необоснованные обременения для операторов персональных данных» не только не устранены, как велел президент в поручении от 2 июня 2011 г., но и ужесточены. Об этом пять экспертов-безопасников заявили в открытом письме Д. Медведеву, призвав отклонить законопроект.
Однако и без детально обсужденных обременений операторов новая редакция закона представляет интерес и повод для беспокойства 7 млн операторов персональных данных и их субъектам, т.е. каждому из нас. Комментарий – от независимого эксперта, специалиста по информационной безопасности с многолетней практикой Михаила ЕМЕЛЬЯННИКОВА:
– Существенно ближе к Европе, как было поручено президентом, мы не стали. Всяких там либеральных глупостей типа четко прописанного в законе баланса интересов субъекта и оператора, соразмерности мер защиты рискам и учета реальных возможностей оператора никто и не ждал. Требований при защите персональных данных не создавать помех развитию рынка, внедрению новых технологий и функционированию оператора – тем более.
Но вот на устные согласия, конклюдентные действия и право оператора самому определять адекватные меры защиты в зависимости от особенностей бизнеса, процессов, вида и объемов персданных в виде соглашения между ним и субъектом – надежды были. Зря.
Где законопроект стал ближе к духу и принципам Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных»? Появился обработчик, нигде в законе не называемый, но незримо присутствующий. Подумавши, думцы назвали его «лицом, осуществляющим обработку персональных данных по поручению оператора». Появились ограничения на частоту и обоснованность запросов субъекта к оператору – раз в 30 дней с обоснованием оснований для запроса (номер договора или иные сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором). Таким образом, тема DDoS-атак бабушек на банк за 50 руб. нала если не умерла, то притихла. Увеличились сроки реакции оператора на инициативы субъекта – почти везде до| Краткое содержание предыдущих серий
12 ноября 2009 г. в Думе зарегистрирован законопроект «О внесении изменений в ФЗ «О персональных данных» за авторством В.М. Резника. В паспорте к законопроекту появляется странная запись о том, что заключения правительства РФ на законопроект не требуется. 8 апреля 2010 г., до рассмотрения проекта в 1-м чтении, тем не менее появляется не заключение, но официальный отзыв правительства. Поддержка законопроекта правительством обуславливается необходимостью учета при подготовке проекта ко 2-му чтению сформулированных в отзыве замечаний. Среди них – категорическое неприятие предложений по ограничению полномочий правительства в части установления требований к обеспечению безопасности персональных данных (ч. 2 ст. 19 ФЗ-152). Между тем – это одно из главных и принципиальных нововведений законопроекта. 5 мая 2010 г., после нескольких переносов, законопроект был принят в 1-м чтении. Как обычно, предлагалось в течение 30 дней представить поправки к законопроекту. 2 июня 2011 г. Президентом РФ был подписан перечень поручений по итогам встречи с представителями интернет-сообщества, среди которых – ускорение приведения законодательства России в соответствие с требованиями Конвенции Совета Европы и устранение необоснованных обременений для операторов персональных данных. 14 июня 2011 г., через 1 год, 1 месяц и 9 дней после 1-го чтения, вдруг появилось предложение профильного комитета 17 июня принять законопроект во 2-м чтении и одновременно в целом. Казалось, впереди – хеппи-энд. 17 июня 2011 г. 2-е чтение не состоялось, рассмотрение законопроекта не внесено в календарь Госдумы до 8 июля 2011 г. 1 июля 2011 г. законопроект принят во 2-м чтении. Но совсем не тот, что предлагал Резник. И совсем с другими концептуальными положениями. 5 июля 2011 г. законопроект принят в 3-м чтении, передан в Совет Федерации. Источник: блог М. Емельянникова на www.iksmedia.ru |
Что еще порадовало? Слова о допустимости принятия закрытых нормативных правовых актов (НПА) по персональным данным в новый проект не включены. В связи с этим весьма интересной становится судьба Постановления Правительства № 330 от 15.05.2010 и закрытой части документов ФСТЭК по ПЭМИНам. В проекте наконец-то появилось требование о соответствии сроков обработки персданных федеральным законам вообще, а не только ФЗ-152, и абсурдные требования, связанные с трехдневным сроком их уничтожения после достижения целей обработки, похоже, исчезают.
Кое-что позабавило. Уши лоббистов торчат как минимум в двух местах. Несколько раз в тексте появляется упоминание об обеспечении устойчивого и безопасного функционирования транспортного комплекса. Очень хотелось бы узнать про защиту прав личности (моей, в частности) в сфере транспортного комплекса от актов незаконного вмешательства, которая является основанием для обработки моих персданных без моего же согласия.
Наряду с субъектом в законе сплошь и рядом в обнимку идут выгодоприобретатель и поручитель. В соответствии с Гражданским кодексом договор поручительства заключается только в письменной форме. Зачем выделять эту категорию субъектов отдельно – совершенно не ясно. А уж если идти по этому пути, почему в стороне остались застрахованные лица, получатели по счетам и получатели денежных переводов, лица, имеющие право управления счетом клиента, плательщики и вносящие денежные средства на счет субъекта и т.д. и т.п.? Персональные данные огромного количества разных категорий субъектов попадают к оператору без их участия. Чем заслужили особые привилегии выгодоприобретатели и поручители – сказать трудно.
Предвижу весьма пикантную ситуацию в связи с определением адекватности защиты в иностранных государствах, в которые осуществляется трансграничная передача персональных данных. На сегодняшний день в соответствии с разъяснением Роскомнадзора в адекватные (т.е. обеспечивающие соответствующую защиту персональных данных) не попали такие не последние экономические партнеры России, как США, Китай, Украина и Казахстан (список длинный). Пока это мнение, размещенное на сайте службы, особо никого оно волнует. Но теперь формирование списка адекватных – прямая обязанность уполномоченного органа по закону. Реакция не попавших в заветный перечень может быть весьма непредсказуемой.
Ну и наконец, что огорчило. Сильно. По-прежнему вне правового поля – вся электронная коммерция. С доказуемым согласием ничего не изменилось. Его нет и пока не будет. Значит – оператор всегда виноват. Не получила законного обоснования стандартная схема вызова врача по телефону или идентификация клиента в банке – нет не только подтверждаемого согласия, но и не снимается проблема получения его не от субъекта.
Самая главная проблема нового закона – обеспечение безопасности. Ст. 18 прим и 19 противоречивы, сумбурны и непоследовательны. Начинается все за здравие. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним НПА. Затем идет замечательная формулировка «к таким мерам могут, в частности, относиться», в силу норм русского языка свидетельствующая об их необязательности (могут относиться, а могут и нет). А дальше – странное. Одной из этих вроде бы необязательных мер является определение политики в отношении обработки персональных данных. А вот ее публикация – уже обязательна.
То же самое – с назначением оператором лица, ответственного за организацию обработки персональных данных. Появляется целая ст. 22 прим про это лицо, а указание его персданных (если оно – физическое) становится обязательным в уведомлении об обработке, и согласия никто спрашивать не будет.
Наконец, для доказательства выполнения этих вроде бы необязательных мер оператор обязан по запросу Роскомнадзора представить документы и локальные акты, подтверждающие их принятие. Возможность самостоятельно определить меры защиты напрочь снимается правом правительства устанавливать требования для любых операторов «с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных». Разрушена может быть не нравившаяся многим, но жесткая конструкция между ФЗ-152 и ФЗ-294: правительство устанавливает обязательные требования, которые являются предметом проверки при госконтроле и надзоре. Теперь понять, какие требования являются обязательными, решительно невозможно. Утешает только необходимость определения правительством организаций, подлежащих контролю и надзору и эксплуатирующих системы, не являющиеся государственными.
Еще о грустном. Значительно расширено содержание уведомления об обработке. Теперь оно автоматически транслируется из Роскомнадзора в ФСБ и ФСТЭК.
Все банально. Закон лучше не стал, а поле для коррупции стало шире в силу большей неопределенности норм. Поручение, данное президентом, откровенно проигнорировано. Обсуждение последствий принятия Думой законопроекта в Интернете еще раз продемонстрировало зависимость специализированных интеграторов от госрегуляторов, дарующих им лицензии, а также желание части из них подзаработать на чем угодно, лишь бы было основание. Наконец, и обсуждение и законопроект снова не ответили на главный вопрос его применения – откуда возьмут деньги для реализации требований государственные, муниципальные органы и бюджетные организации? О необходимости изменений бюджета так никто и не вспомнил.
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3