24 Октября, 2013

Слушания в Совете Федерации по изменениям в 152-ФЗ

Михаил Емельянников
Сегодня под председательством спикера Совета Федерации В.И. Матвиенко, с участием сенатора Р. Гаттарова, депутата Д. Вяткина, министра Н. Никифорова, представителей ФСБ, операторов связи и экспертного сообщества (кого признал в зале) прошли парламентские слушания «Законодательное обеспечение прав субъектов персональных данных при их автоматизированной обработке». Слушания – заключительный этап стараний рабочий группы, созданной по инициативе Р. Гаттарова, которая готовила предложения по изменению закона.
Редкий случай, когда участием в работе госоргана и, главное, результатом, я удовлетворен полностью.
Итак, Совфед обещал не позднее 1 декабря этого года инициировать законопроект о внесении изменений в Федеральный закон 152-ФЗ «О персональных данных».
Отметив неоднозначность формулировок действующего закона и избыточность некоторых требований к операторам, стремясь к достижению баланса между техническими требованиями и ответственностью оператора за утечки данных граждан, предлагается перекосы устранить и внести правки, которые можно разбить на шесть групп. Положения нового законопроекта кратко излагаю с моими комментариями, которые я высказал на слушаниях.
1.   Ввести понятие субоператора (сейчас это лицо, осуществляющее обработку персданных по поручению оператора) и, главное, отказаться от требования обязательного согласия субъекта на поручение обработки персональных данных субоператору, сохранив ответственность оператора перед субъектом и ограничив возможность обработки субоператором целями и условиями, установленными оператором. Здорово.
2.   Наконец-то прямо написать, что конфиденциальность не требуется в отношении персональных данных, сделанных общедоступными субъектом, обезличенных, подлежащих опубликованию или обязательному раскрытию. Общедоступность персональных данных лица, ответственного за их обработку у оператора, ликвидировать как класс.
3.   Прямо предусмотреть возможность получения согласия субъекта на обработку персональных данных дистанционно, путем использования электронных средств (т.е., например, через веб-форму на интернет-сайте), которые позволяют оператору в согласии (например, путем простановки галочки). Учитывая практику правоприменения и постоянные попытки смешать требования 152-ФЗ и ст.159 Уголовного кодекса, я предложил дополнить часть 1 ст.9 словами «Ответственность за правомерность и достоверность дистанционно предоставляемых персональных данных лежит на субъекте, их предоставивших» (или чем-то аналогичным).
4.   Наконец-то связать биометрию с возможностью автоматической идентификации и считать биометрическими только те персональные данные, которые оператором для автоматической идентификации используются. Я ранее предлагал более радикальную формулировку, но подойдет и эта. Единственное, предложил убрать из определения «поведенческие характеристики», опять-таки исходя из практики правоприменения – мы до этого еще не доросли, а лишние слова в законе порождают лишние проблемы.
5.   В законе предлагается описать порядок обработки персональных данных иностранных граждан, собранных за пределами России, и регулировать эти вопросы законодательством государств, где такие данные собираются. Все правильно, но мало. Надо прямо указать, что при трансграничной передаче персональных данных на территорию иностранных государств требования по их защите определяются законодательством соответствующего государства. Это могло бы решить две основные проблемы, существующие сегодня: хостинг ИСПДн в зарубежных дата-центрах и передачу персданных в головные (или специально определенные) офисы иностранных и транснациональных компаний, работающих на территории России, в том числе от «дочек» зарубежных банков, страховых компаний, промышленных предприятий и т.д.
6.   Самое радикальное, на мой взгляд. Просто процитирую законопроект. «Состав и содержание установленных Правительством Российской Федерации требований по обеспечению безопасности персональных данных при их обработке операторами для целей предоставления государственных и муниципальных услуг или исполнения иных государственных и муниципальных функций устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий». Соответственно, контроль и надзор за соблюдением этих мер со стороны ФСБ и ФСТЭК возможен только в отношении указанных операторов. И никаких наделений полномочиями в отношении частных компаний. Все остальные (не-госы) защищают данные по международным, российским или собственным стандартам. Естественно, ФСБ и примкнувший к ней Роскомнадзор не согласны, поэтому шансов на прохождение таких формулировок мало. Но можно пожить с надеждой, подержать кулачки и скрестить пальцы.
Есть еще ряд предложений, на мой взгляд, закон только улучшающих. Я предложил добавить в закон определения утечки персональных данных и их неправомерного использования.
Проект поддержан практически всеми участниками процесса его создания и обсуждения, за исключением указанных выше. Есть воля вносить изменения в комплексе: с ужесточением ответственности за нарушения операторами требований закона и расширением состава административных правонарушений, передачей полномочий по возбуждению административных дел от прокуратуры Роскомнадзору, увеличением сроков привлечения к ответственности, полной отменой плановых проверок и наделением Роскомнадзора полномочиями по проведению внеплановых по обращениям и жалобам субъектов.
В.И. Матвиенко пообещала, что такие слушания станут не разовой акцией, а системой. Тем временем Межведомственный экспертный совет Минсвязи готовит свои предложения, а Н. Никифоров по просьбе Матвиенко будет готовить почву в Правительстве для правильного восприятия инициативы. 
или введите имя

CAPTCHA
25 Октября, 2013
Будем жить надеждой!
0 |
  • Поделиться
  • Ссылка