21 марта Правительство утвердило, а вчера опубликовало новое Постановление №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами" (на сайта Правительства и Консультант+ ). Это первое из 3-х постановлений, которые должны появится в рамках реализации новой (или уже не новой) редакции ФЗ-152.
Указанное постановление определяет перечень мер, предусмотренный ст.18.1 ФЗ-152, но только для госорганов и муниципалов. Пересказывать постановление не буду, просто тезисно опишу важные моменты:
Кстати, вчера я был на одной конференции по ПДн, где представитель РКН сказал, что к лету готовится целый пакет разъяснений со стороны РКН по теме персданных. Видимо в этом пакете будут и требования по обезличиванию, а также список стран с адекватной защитой прав субъектов, разъяснение про биометрию, работу с коллекторами и многое другое.
Ждем еще двух постановлений - по уровням защищенности и по требованиям по защите. Они готовы и проходят последние согласования.
ЗЫ. Интересно, что экспертизу в Минюсте данное постановление не проходило. По крайней мере меня оно минуло, а я мониторю все проекты нормативных актов, которые проходят через Минюст. Хотя ничего крамольного в нем нет и экспертиза была бы излишней, на мой взгляд,
Указанное постановление определяет перечень мер, предусмотренный ст.18.1 ФЗ-152, но только для госорганов и муниципалов. Пересказывать постановление не буду, просто тезисно опишу важные моменты:
- Определена необходимость (она и в ФЗ-152 было) назначения главного за обработку ПДн.
- Определен перечень документов, который должен быть разработан госорганом или муниципальным органом.Вопрос у меня вызвало требование наличия документа, описывающего правила работы с обезличенными данными. Зачем? Обезличенные данные не подпадают под требования ФЗ-152 в принципе, т.к. не являются персональными.
- Декларируется, что обработка ПДн без средств автоматизации регламентируется ПП-687.
- Описано требование обезличивания ПДн в ИСПДн согласно требованиям и методам, установленным уполномоченным органом по защите прав субъектов персональных данных. Пока этих требований и методов нет.
Кстати, вчера я был на одной конференции по ПДн, где представитель РКН сказал, что к лету готовится целый пакет разъяснений со стороны РКН по теме персданных. Видимо в этом пакете будут и требования по обезличиванию, а также список стран с адекватной защитой прав субъектов, разъяснение про биометрию, работу с коллекторами и многое другое.
Ждем еще двух постановлений - по уровням защищенности и по требованиям по защите. Они готовы и проходят последние согласования.
ЗЫ. Интересно, что экспертизу в Минюсте данное постановление не проходило. По крайней мере меня оно минуло, а я мониторю все проекты нормативных актов, которые проходят через Минюст. Хотя ничего крамольного в нем нет и экспертиза была бы излишней, на мой взгляд,
