О парламентских слушаниях по ПДн

Вчера прошли парламентские слушания по персональным данным. Очень познавательно ;-) Почти все выступления были по делу и все выступали в унисон - клеймя ФСТЭК с их требованиями и описывая проблемы текущего законодательства. А теперь по пунктам. Начал выступление первый заместитель председателя комитета Госдумы по безопасности - Гришанков Михаил Игнатьевич. Основные лейтмотивы его выступления: жесткая критика ФСТЭК и ФСБ в части обязательных и жестких требованийпереносить сроки нельзя, но надо (на один год)необходимы отраслевые стандартынеобходимо пересматривать обязательные требования по сертификации, аттестации и лицензированию (например, лицензия дает правозаниматься определенной деятельностью, а защита ПДн - это обязанность). закрытость регуляторов. Затем выступал глава думского комитета по финансовым рынка Резник. Со многим согласился. Он тоже считает, что закон надо менять, а ст.19 должна носить рекомендательный характер. Интересно было предложение персонифицировать ответственность оператора ПДн, как это сделано в 29-й статье ЕвроКонвенции. После Резника выступал представитель комитета по конституционному законодательству. Он согласился с Гришанковым и Резником и добавил, что права субъекта ПДн абсолютизированы. Затем было выступление депутата Аксакова (президента Ассоциации региональных банков "Россия"). Живо, по делу и без бумажки. Учитывая, что он банкир, его выступление изобиловало примерами недостатков ФЗ из финансовой сферы. Он первый заявил про коррупциогенность документов ФСТЭК, про направленность требований ФСТЭК на интересы регулятора и интеграторов, про возможность использовать ФЗ для рейдерства. Также считает нужным переносить сроки реализации 19-й статьи на год. Так уж сложилось, что предложения в разработке которых я принимал участие наряду с рядом достойных джентльменов и дам озвучивались от имени Аксакова, а в раздаточные материалы попали от имени РСПП. Предложения РСПП по персональным данным
Потом выступал Шередин из РКН. По делу почти ничего - зачитал отчет о деятельности РКН за 9 месяцев этого года. Зато у него проскользнуло два интересных пассажа: внеплановая проверка по обращению субъекта ПДн согласно ФЗ-294 запрещенасудебная практика по ПДн очень незначительна - суды предпочитают считать эту проблему несущественной. Наказаний очень мало, а сумма штрафов измеряется тремя-четырьмя десятками тысяч рублей за этот год. Предложения РосКомнадзора по персданным
Потом выступал замминистра юстиции Костенников. Он заявил интересную вещь - несмотря на принятие ФЗ-160, ЕвроКонвенция юридически так и не ратифицирована Россией и мы не входим в список стран, обеспечивающих адекватную защиту ПДн для стран Евросоюза. Затем выступал представитель ФСБ. Он дистанцировался от ФСТЭК в части закрытости документов (заявил, что их документы публичны). Из интересных вещей сказал, что лицензия на криптозащиту ПДн не нужна (исключая предоставление услуг и распространение шифрсредств). Также ФСБ сейчас готовит регламент проверок по данной теме. Было интересное заявление, что шифровальные средства не являются обязательными для защиты персданных и ФСБ не настаивает на их обязательном применении (в ФЗ хотят внести соответствующий пункт). Также было сказано, что оператор сам определяет какие СКЗИ использовать, но т.к. большинство операторов неквалифицированы, то лучше использовать сертифицированные СКЗИ. Более подробно см. ниже. Материалы ФСБ по персональным данным
Затем выступал г-н Русаков из Московской области. Он высказал интересную мысль, что в российском законодательстве есть требование уведомлять пострадавших субъектов ПДн о факте утечки их ПДн. Видимо он спутал наше законодательство с американским ;-) Было два выступления страховщиков - от РСА и от Национальной страховой гильдии. От вторых были политически корректные высказывания, от первых конкретика в предложениях. В раздатке были материалы от РСС. Предложения Российского Союза Автостраховщиков по ПДн
Затем выступал Андрей Емелин из АРБ. Тоже четко и по делу, с цифрами в руках. Учитывая, что он юрист, аппелировал к законодательству и использовал юридически корректные термины. Из ключевых проблем выделил: что делать с исторически накопленными данными?как идентифицировать субъекта ПДн?что делать с выгодоприобретателями?отзыв согласиявопросы уничтожения ПДн (особенно из взаимосвязанных и взаимопополняемых БД) и т.д. Предложения АРБ по персональным данным
Затем вне программы выступил человек от Минздрава. Тоже по делу и с описанием конкретных проблем своей отрасли. Сказал, что если ситуацию не изменить, то с 1-го января все здравоохранение встанет, т.к. ни рецепт выписать, ни больного принять нельзя будет. Он вообще предложил отменить "приказ трех". Потом выступал Курило Андрей Петрович (Банк России). Опять банкир и опять по делу, живо и без бумажки. Предпоследним выступал Слепаков из Ассоциации региональных операторов связи (ничего нового не сказал, только уточнил ряд вопросов). Больше операторы связи не выступали, как и сидящий в президиуме представитель Минкомсвязи ;-( А вот предложения от операторов связи были - от МТС и Инфокоммуникационного союза. Предложения МТС по персональным данным
Предложения ИнфоКоммуникационного Союза
Завершал слушания Михаил Якушев (от имени АП КИТ). Сказал, что в первончальной версии ФЗ многих этих проблем не было - они появились в результате правки в Госдуме. Предложения от АП КИТ хороши тем, что ориентированы на Интернет-компании и Интернет-сервисы. Предложения АП КИТ по персональным данным
ЗЫ. Были еще материалы от Минюста и Рособрнауки, но они у меня плохо отсканировались - завтра выложу, как и проект итоговых рекомендаций с их анализом. Эти рекомендации интересны тем, что это то, что будут пробивать депутаты в итоговую новую версию ФЗ.