Дорогие читатели, зашедшие по прямой ссылке! К сожалению, все, что здесь написано, уже имеет историческую ценность. Причины указаны здесь и здесь . Однако у нас есть шанс это исправить! Хотите знать как? Посетите эту страницу !
Итак, передо мной будущий закон "О персональных данных". Выгруженная из Консультанта старая редакция с отмеченными карандашом исправлениями. Труд пары часов. Зря или нет - давайте поглядим. Предупреждаю читателей - это всего лишь беглый взгляд на то, что лежит на поверхности, не претендующий на глубинные изыскания: все они еще впереди.
Первое, что сразу бросается в глаза - объяснение того, как закон распространяется на обработку без использования средств автоматизации (п.1 ч. 1 ст. 1): теперь это выражение означает, что закон применим в случае, если на ПДн, содержащиеся на материальном носителе, в картотеках или "иных систематизированных собраниях" можно найти "в соответствии с заданным алгоритмом" ИЛИ получить к ним доступ. Вдумавшись в эту фразу, мы придем к выводу, что она означает буквально следующее: если документы, содержащие ПДн, находятся не на свалке - значит закон на них распространяется. Зато теперь все понятно с автоматизированной обработкой: пункт 4 статьи 3 однозначно утверждает: есть ЭВМ - автоматизированная.
Часть 2 статьи 4, по идее, должна отбить охоту издавать "закрытые" документы, вроде 330-го постановления Правительства , содержащие к тому же необоснованные требования, и потом заставлять соблюдать их всех операторов поголовно. Большой плюс, но как это будет выполнено - покажет время.
Пункт 4 части 1 статьи 6 дает нам робкую надежду на признание конклюдентных действий: закон допускает обрабатывать ПДн как для исполнения, так и для заключения договора по инициативе субъекта. Пунктом 6 этой же части/статьи оператору предоставляется возможность вести обработку ПДн для осуществления собственных законных прав и интересов или "третьих лиц" (так, очевидно, решается проблема отзыва согласия субъектом), а в 9-й пункт существенно облегчает жизнь социальным сетям, предоставляя возможность обрабатывать ПДн, сделанные субъектом общедоступными. Учитывая, что 1 пунктом 1-й части 6 статьи идет "согласие субъекта", можно предположить, что все остальные пункты - и 4-й, и 6-й, и 9-й - подразумевают обработку без согласия - иначе ради чего весь сыр-бор.
Части 2-4 статьи 6 посвящены "обработчику" - лицу, обрабатывающему ПДн, но не являющегося оператором в полном смысле, поскольку обработка осуществляется в интересах третьего лица, устанавливающего цели. Не смотря на то, что в самом законе как таковое определение "обработчик" отсутствует, здесь "обработчик" называется ЛООПДППО (см. ч. 3 ст. 6). И к нему, помимо "требований по обеспечению конфиденциальности и безопасности ПДн при их обработке", оператор теперь должен предъявлять еще много чего - например, указать стандарт безопасности, которому должен следовать обработчик (все это указывается в "поручении"). Сам же ЛООПДППО теперь может не брать согласие, если оно получено оператором, и несет ответственность только перед последним: все "косяки", возникшие по вине обработчика, субъекту компенсирует сам оператор.
Статьей 9 определено, что субъект ПДн дает согласие на обработку СВОБОДНО, в любой форме, позволяющей подтвердить факт его получения. При этом, если субъект вдруг решит согласие отозвать, то оператор может преспокойно обрабатывать его ПДн дальше, руководствуясь п. 2-8 ч. 1 ст. 6 (см. абзац выше). Тем не менее, презумпция виновности оператора по прежнему сохраняется: согласно ч. 3, он по прежнему обязан доказывать либо факт получения согласия, либо наличия оснований обрабатывать ПДн, не имея оного, что, в случае конклюдентных действий или свободной формы данного согласия, будет весьма затруднительно. Но и здесь закон приходит нам на помощь: часть 4 ст. 9 говорит о том, что в случаях, предусмотренных федеральным законом, согласие должно быть письменным либо электронным с ЭП. Обратите внимание на формулировку: не НАСТОЯЩИМ федеральным законом, а просто - федеральным законом. Неужели придется шерстить все законы на предмет получения согласия и определять, каким оно должно быть - письменным или любым другим? Ладно, идем дальше.
Пункт 2 части 2 статьи 10, говорящей об обработке специальных категорий ПДн, претерпел изменения: обработка спецкатегорий теперь допускается в случае, если сам субъект сделал свои ПДн общедоступными. Только вот незадача - как же определить, сам ли субъект сделал их общедоступными под ником R2D2 или это кто-то другой?
Статья 11 говорит нам о том, что к биометрическим ПДн теперь относятся сведения, которые характеризуют не только физиологические, но И биологические особенности человека, причем одни без других не могут существовать. Вспоминая пресловутую фотографию, я так и не пойму - может ли она характеризовать физиологические и биологические особенности одновременно? И вообще - что это такое, биологические особенности? Например, по фотографии можно определить, что на ней изображен типичный представитель биологического вида - человек, со всеми свойственными ему особенностями, в том числе и физиологическими. Короче, мертвому припарка.
Статья 12 - трансграничная передача ПДн. Теперь она может осуществляться без согласия в случае, если принимающая страна обеспечивает адекватный уровень защиты прав субъектов. При этом, перечень "адекватных" стран, НЕ являющихся сторонами Конвенции совета Европы (часть 2), утверждает уполномоченный орган. Оператор же, до начала передачи, обязан убедиться в том, что страна "адекватна". Но для того, чтобы ему это сделать, придется поднапрячься: в перчне-то будут только страны, не ратифицировавшие Конвенцию, а те, что ратифицировали, оператор должен отыскать самостоятельно. Да и перечень этот когда издадут - непонятно... Словом, трудности даже в мелочах. ИМХО, в этой статье досадная опечатка: стоило убрать предлог НЕ, и все встало бы на места.
Статья 14 наделяет субъекта правом "повторного запроса" к оператору в случае, если он остался чем-то не доволен. Оно и правильно - раньше-то все бежали сразу в Роскомнадзор. Да и сам оператор теперь должен отвечать в течение 30 дней с момента получения запроса (ч. 1 ст. 20). А вот уведомлять субъекта при получении ПДн не от него самого оператор теперь не обязан в случае, если ПДн уже уведомлен об обработке "соответствующим оператором" (я долго думал, но не мог понять смысла этой фразы), если ПДн были получены при исполнении договора или взяты из общедоступных источников (сделаны общедоступными самим субъектом).
Теперь самое вкусное. Статья 18. В соответствии с частью 1, оператор САМОСТОЯТЕЛЬНО определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей. К числу таких мер МОГУТ, в частности, относиться (смотрим п. 3) применение мер обеспечения безопасности ПДн в соответствии со статьей 19. Итак, меры безопасности, указанные во 2 части 19-й статьи, носят необязательный характер: могут относиться, а могут и нет. По крайней мере, так следует из контекста статьи 18. Но к этому мы еще вернемся.
Частью 2 статьи 18 на оператора возлагается ОБЯЗАННОСТЬ ПУБЛИКОВАНИЯ ПОЛИТИКИ в отношении обработки персональных данных, а также обеспечивать неограниченный доступ к сведениям о реализуемом стандарте или требованиям по обеспечению безопасности ПДн. Это реально большой прорыв в отношениях "субъект-оператор", поскольку позволяет субъекту детально ознакомится с тем, как будут защищаться его ПДн, до их предоставления оператору, и впоследствии получить дополнительные бонусы при разбирательстве в случае, если оператор ввел его в заблуждение (ст. 23 ч. 2 п. 5.1).
Итак, статья 19. В части 1 - сразу второй прорыв: меры применяются с учетом вреда субъекту, а также возможностей их технической реализации. Обалденный маневр для составления модели угроз. Не смотря на нудное начало "включают в себя, в частности", часть 2 ст. 19, как следует из п. 1 и п. 3 ч. 1 статьи 18, носит необязательный характер, однако здесь мы по прежнему наблюдаем "применение методов, способов и СЗИ, прошедших оценку соответствия". Учитывая контекст, речь, очевидно, идет о 58 Приказе ФСТЭК, который будет носить исключительно рекомендательный характер.
Правительство РФ отныне устанавливает требования для государственных и муниципальных ИСПДн (часть 4 ст. 19), однако вправе установить и требования по обеспечению безопасности в негосударственных ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности (часть 5 ст. 19). Что это за виды и кто и каким образом их определяет - пока загадка. К счастью, ФСТЭК и ФСБ будут контролировать только то, что предусмотрено частью 4 статьи 19 - а именно государственные и муниципальные ИСПДн (часть 6). Кто будет контролировать "отдельные ИСПДн" по 5-й части - так же не понятно.
В соответствии с частью 7 статьи 19, операторы, СРО, ассоциации, союзы и все-все-все могут издавать стандарты обеспечения безопасности ПДн. И это еще один большой плюс. Частью 8 статьи 19 определено, что оператор обязан либо присоединиться к какому-либо стандарту, либо издать свой собственный - персональный, для себя любимого. В любом случае, об этом необходимо уведомить ФСТЭК. Порядка уведомления пока, правда, нет (как, собственно, и массы отраслевых стандартов).
Зато, согласно ч. 5 ст. 22, оператор может обратиться в уполномоченный орган (им по прежнему остается Роскомнадзор) за разъяснением по любым (!!!) вопросам относительно законодательства в области ПДн: это буквально означает, что Роскомнадзор будет единым консультационным центром как по организационным, так и по техническим и вообще любым другим вопросам, и его ответ на вопрос "обязательно ли использовать ли сертифицированные СЗИ в ИСПДн" будет основополагающим. Лишь бы этот ответ был правильный :)
Вот, вкратце, и все, что пока можно сказать. Не то, что многие ожидали: Конвенции закон по прежнему не соответствует, и основные проблемы, указанные здесь и здесь , в нем так и не решены. Тем не менее, это лучше, чем действующий вариант. У кого есть что добавить - пишите в комментариях. Полагаю, сейчас пойдет очередная волна доказывания обязательности исполнения части 2 статьи 19 - так что готовлю доску для серфинга ;)
Карнавала не будет
Карнавала не будет
Дорогие читатели, зашедшие по прямой ссылке! К сожалению, все, что здесь написано, уже имеет историческую ценность. Причины указаны здесь и здесь . Однако у нас есть шанс это исправить! Хотите знать как? Посетите эту страницу !
Итак, передо мной будущий закон "О персональных данных". Выгруженная из Консультанта старая редакция с отмеченными карандашом исправлениями. Труд пары часов. Зря или нет - давайте поглядим. Предупреждаю читателей - это всего лишь беглый взгляд на то, что лежит на поверхности, не претендующий на глубинные изыскания: все они еще впереди.
Первое, что сразу бросается в глаза - объяснение того, как закон распространяется на обработку без использования средств автоматизации (п.1 ч. 1 ст. 1): теперь это выражение означает, что закон применим в случае, если на ПДн, содержащиеся на материальном носителе, в картотеках или "иных систематизированных собраниях" можно найти "в соответствии с заданным алгоритмом" ИЛИ получить к ним доступ. Вдумавшись в эту фразу, мы придем к выводу, что она означает буквально следующее: если документы, содержащие ПДн, находятся не на свалке - значит закон на них распространяется. Зато теперь все понятно с автоматизированной обработкой: пункт 4 статьи 3 однозначно утверждает: есть ЭВМ - автоматизированная.
Часть 2 статьи 4, по идее, должна отбить охоту издавать "закрытые" документы, вроде 330-го постановления Правительства , содержащие к тому же необоснованные требования, и потом заставлять соблюдать их всех операторов поголовно. Большой плюс, но как это будет выполнено - покажет время.
Пункт 4 части 1 статьи 6 дает нам робкую надежду на признание конклюдентных действий: закон допускает обрабатывать ПДн как для исполнения, так и для заключения договора по инициативе субъекта. Пунктом 6 этой же части/статьи оператору предоставляется возможность вести обработку ПДн для осуществления собственных законных прав и интересов или "третьих лиц" (так, очевидно, решается проблема отзыва согласия субъектом), а в 9-й пункт существенно облегчает жизнь социальным сетям, предоставляя возможность обрабатывать ПДн, сделанные субъектом общедоступными. Учитывая, что 1 пунктом 1-й части 6 статьи идет "согласие субъекта", можно предположить, что все остальные пункты - и 4-й, и 6-й, и 9-й - подразумевают обработку без согласия - иначе ради чего весь сыр-бор.
Части 2-4 статьи 6 посвящены "обработчику" - лицу, обрабатывающему ПДн, но не являющегося оператором в полном смысле, поскольку обработка осуществляется в интересах третьего лица, устанавливающего цели. Не смотря на то, что в самом законе как таковое определение "обработчик" отсутствует, здесь "обработчик" называется ЛООПДППО (см. ч. 3 ст. 6). И к нему, помимо "требований по обеспечению конфиденциальности и безопасности ПДн при их обработке", оператор теперь должен предъявлять еще много чего - например, указать стандарт безопасности, которому должен следовать обработчик (все это указывается в "поручении"). Сам же ЛООПДППО теперь может не брать согласие, если оно получено оператором, и несет ответственность только перед последним: все "косяки", возникшие по вине обработчика, субъекту компенсирует сам оператор.
Статьей 9 определено, что субъект ПДн дает согласие на обработку СВОБОДНО, в любой форме, позволяющей подтвердить факт его получения. При этом, если субъект вдруг решит согласие отозвать, то оператор может преспокойно обрабатывать его ПДн дальше, руководствуясь п. 2-8 ч. 1 ст. 6 (см. абзац выше). Тем не менее, презумпция виновности оператора по прежнему сохраняется: согласно ч. 3, он по прежнему обязан доказывать либо факт получения согласия, либо наличия оснований обрабатывать ПДн, не имея оного, что, в случае конклюдентных действий или свободной формы данного согласия, будет весьма затруднительно. Но и здесь закон приходит нам на помощь: часть 4 ст. 9 говорит о том, что в случаях, предусмотренных федеральным законом, согласие должно быть письменным либо электронным с ЭП. Обратите внимание на формулировку: не НАСТОЯЩИМ федеральным законом, а просто - федеральным законом. Неужели придется шерстить все законы на предмет получения согласия и определять, каким оно должно быть - письменным или любым другим? Ладно, идем дальше.
Пункт 2 части 2 статьи 10, говорящей об обработке специальных категорий ПДн, претерпел изменения: обработка спецкатегорий теперь допускается в случае, если сам субъект сделал свои ПДн общедоступными. Только вот незадача - как же определить, сам ли субъект сделал их общедоступными под ником R2D2 или это кто-то другой?
Статья 11 говорит нам о том, что к биометрическим ПДн теперь относятся сведения, которые характеризуют не только физиологические, но И биологические особенности человека, причем одни без других не могут существовать. Вспоминая пресловутую фотографию, я так и не пойму - может ли она характеризовать физиологические и биологические особенности одновременно? И вообще - что это такое, биологические особенности? Например, по фотографии можно определить, что на ней изображен типичный представитель биологического вида - человек, со всеми свойственными ему особенностями, в том числе и физиологическими. Короче, мертвому припарка.
Статья 12 - трансграничная передача ПДн. Теперь она может осуществляться без согласия в случае, если принимающая страна обеспечивает адекватный уровень защиты прав субъектов. При этом, перечень "адекватных" стран, НЕ являющихся сторонами Конвенции совета Европы (часть 2), утверждает уполномоченный орган. Оператор же, до начала передачи, обязан убедиться в том, что страна "адекватна". Но для того, чтобы ему это сделать, придется поднапрячься: в перчне-то будут только страны, не ратифицировавшие Конвенцию, а те, что ратифицировали, оператор должен отыскать самостоятельно. Да и перечень этот когда издадут - непонятно... Словом, трудности даже в мелочах. ИМХО, в этой статье досадная опечатка: стоило убрать предлог НЕ, и все встало бы на места.
Статья 14 наделяет субъекта правом "повторного запроса" к оператору в случае, если он остался чем-то не доволен. Оно и правильно - раньше-то все бежали сразу в Роскомнадзор. Да и сам оператор теперь должен отвечать в течение 30 дней с момента получения запроса (ч. 1 ст. 20). А вот уведомлять субъекта при получении ПДн не от него самого оператор теперь не обязан в случае, если ПДн уже уведомлен об обработке "соответствующим оператором" (я долго думал, но не мог понять смысла этой фразы), если ПДн были получены при исполнении договора или взяты из общедоступных источников (сделаны общедоступными самим субъектом).
Теперь самое вкусное. Статья 18. В соответствии с частью 1, оператор САМОСТОЯТЕЛЬНО определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей. К числу таких мер МОГУТ, в частности, относиться (смотрим п. 3) применение мер обеспечения безопасности ПДн в соответствии со статьей 19. Итак, меры безопасности, указанные во 2 части 19-й статьи, носят необязательный характер: могут относиться, а могут и нет. По крайней мере, так следует из контекста статьи 18. Но к этому мы еще вернемся.
Частью 2 статьи 18 на оператора возлагается ОБЯЗАННОСТЬ ПУБЛИКОВАНИЯ ПОЛИТИКИ в отношении обработки персональных данных, а также обеспечивать неограниченный доступ к сведениям о реализуемом стандарте или требованиям по обеспечению безопасности ПДн. Это реально большой прорыв в отношениях "субъект-оператор", поскольку позволяет субъекту детально ознакомится с тем, как будут защищаться его ПДн, до их предоставления оператору, и впоследствии получить дополнительные бонусы при разбирательстве в случае, если оператор ввел его в заблуждение (ст. 23 ч. 2 п. 5.1).
Итак, статья 19. В части 1 - сразу второй прорыв: меры применяются с учетом вреда субъекту, а также возможностей их технической реализации. Обалденный маневр для составления модели угроз. Не смотря на нудное начало "включают в себя, в частности", часть 2 ст. 19, как следует из п. 1 и п. 3 ч. 1 статьи 18, носит необязательный характер, однако здесь мы по прежнему наблюдаем "применение методов, способов и СЗИ, прошедших оценку соответствия". Учитывая контекст, речь, очевидно, идет о 58 Приказе ФСТЭК, который будет носить исключительно рекомендательный характер.
Правительство РФ отныне устанавливает требования для государственных и муниципальных ИСПДн (часть 4 ст. 19), однако вправе установить и требования по обеспечению безопасности в негосударственных ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности (часть 5 ст. 19). Что это за виды и кто и каким образом их определяет - пока загадка. К счастью, ФСТЭК и ФСБ будут контролировать только то, что предусмотрено частью 4 статьи 19 - а именно государственные и муниципальные ИСПДн (часть 6). Кто будет контролировать "отдельные ИСПДн" по 5-й части - так же не понятно.
В соответствии с частью 7 статьи 19, операторы, СРО, ассоциации, союзы и все-все-все могут издавать стандарты обеспечения безопасности ПДн. И это еще один большой плюс. Частью 8 статьи 19 определено, что оператор обязан либо присоединиться к какому-либо стандарту, либо издать свой собственный - персональный, для себя любимого. В любом случае, об этом необходимо уведомить ФСТЭК. Порядка уведомления пока, правда, нет (как, собственно, и массы отраслевых стандартов).
Зато, согласно ч. 5 ст. 22, оператор может обратиться в уполномоченный орган (им по прежнему остается Роскомнадзор) за разъяснением по любым (!!!) вопросам относительно законодательства в области ПДн: это буквально означает, что Роскомнадзор будет единым консультационным центром как по организационным, так и по техническим и вообще любым другим вопросам, и его ответ на вопрос "обязательно ли использовать ли сертифицированные СЗИ в ИСПДн" будет основополагающим. Лишь бы этот ответ был правильный :)
Вот, вкратце, и все, что пока можно сказать. Не то, что многие ожидали: Конвенции закон по прежнему не соответствует, и основные проблемы, указанные здесь и здесь , в нем так и не решены. Тем не менее, это лучше, чем действующий вариант. У кого есть что добавить - пишите в комментариях. Полагаю, сейчас пойдет очередная волна доказывания обязательности исполнения части 2 статьи 19 - так что готовлю доску для серфинга ;)
Цифровые следы - ваша слабость, и хакеры это знают.
