27 Июля, 2011

Поправки в ФЗ-152: раунд второй

Алексей Лукацкий
После нашего второго письма в сторону Президента с просьбой не пересылать его по подведомственности в Минкомсвязь в адрес [пяти экспертовk посыпались звонки из Минкомсвязи с просьбой разъяснить, что происходит и почему в Минкомсвязь идет такой поток запросов из Администрации Президента. Мы пояснили, что и как, и нас пригласили на встречу с целью обсуждения, как из обычных критиков законопроекта мы можем превратиться в экспертов, реально помогающих выполнить распоряжение Президента по ускорению решения вопроса с законодательством по персданным. Представители "братства пяти" ;-) были на встрече, на которой не только прозвучало, что закон уже подписан (а было это в прошлый четверг), но и было предложено поработать над рекомендациями по реализации положений нового закона о персданных. Дабы отдельные ретивые апологеты гостайны не обвиняли нас в дешевом популизме и пиаре, мы решили поучаствовать в процессе (хотя не все из нас разделяют мой оптимизм, что через Минкомсвязь мы сможем поменять ситуацию с уже подписанным ФЗ). Исходя из предпосылки, что закон уже не поменяют и надо жить с тем, что есть, мы решили подготовить некоторые предложения, которые хоть как-то могут исправить сложившую ситуацию. Наши предложения были следующие: Внести в КоАП и УК РФ ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции. Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие [ущерб субъекту ПДнk.Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР, РСС и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов. Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие фактов утечек ПДн субъектов. Из Минкомсвязи достаточно оперативно последовал ответ, что это все лозунги и им нужно описание не того, ЧТО нужно сделать, а конкретное описание того, КАК это сделать (конкретные методики, формулировки статей). В течение дня мы подготовили и это. В частности, по формулировкам статей наш предварительный вариант такой - статью 13.11 изложить в следующей редакции: [Статья 13.11. [Нарушение установленного законом порядка обработки персональных данныхk 1. Нанесение ущерба субъекту персональных данных вследствие нарушения установленного законом порядка обработки информации о гражданах (персональных данных) влечет наложение административного штрафа на граждан в размере от трех тысяч до десяти тысяч рублей; на должностных лиц от пятидесяти до ста тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица от ста до двухсот тысяч рублей или административное приостановление деятельности на срок до 90 суток; на юридических лиц от трехсот тысяч до пятисот тысяч рублей или административное приостановление деятельности на срок до 90 суток. 2. Неуведомление субъектов персональных данных по факту устранения нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных, влечет наложение административного штрафа на граждан в размере от двух тысяч до пяти тысяч рублей; на должностных лиц от десяти до двадцати тысяч рублей; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица от пятидесяти до ста тысяч рублей или административное приостановление деятельности на срок до 90 суток; на юридических лиц от ста тысяч до трехсот тысяч рублей или административное приостановление деятельности на срок до 90 сутокk. Собственно мы посоветовали убрать порочную практику наказания за невыполнение буквы закона и перейти к практике наказание за реальное нанесение ущерба субъектам ПДн. По 3-му пункту нашего предложения конкретика может быть получена только после формирования рабочей группы (рабочих групп) по разработке уровней защищенности и перечня требований по защите ПДн для различных отраслей экономики. В качестве первого шага, мы написали, что считаем необходимым признать уже разработанные отраслевые стандарты Банка России, НАПФ, НАУФОР, ИКС (НИР Тритон) в качестве перечня требований по защите ПДн в финансовой отрасли, для негосударственных пенсионных фондов, для участников фондового рынка и для операторов связи. Наконец, по второму пункту, двое из подписантов открытого письма - Алексей Волков и Александр Бондаренко , поделились описанием методики оценки воздействия нарушений, связанных с обработкой ПДн, на примере уже существующего и апробированного в Великобритании документа . Теперь мы ждем реакции на наши вполне конкретные предложения.