Сегодня ровно год, как была принята новая редакция ФЗ-152 "О персональных данных". Принята несмотря на все действия, предпринимаемые сообществом против именно этой редакции закона (краткое напоминание хроники событий тут, тут, тути тут). На поминках принято говорить что-то хорошее или молчать. Молчать не буду. Хорошего в законе стало немало - в частности обременения на операторов стали чуть слабее, многие невыполнимые действия из закона убрали, но... добавили ст.18.1 и ст.19, которые не все, но многие благие начинания перечеркнули, добавив новых вопросов к тем, что уже были.
Какие вопросы остались открытыми после принятия ФЗ? Ну, во-первых, где список стран с адекватной защитой ПДн, который должен был быть утвержден Роскомнадзором согласно ст.12.2? Пока его нет. Вроде обещали летом, но... Где обещанное на заседании Совета Федерации, на котором сенаторы принимали закон, финансирование бюджетников? Его тоже так и не появилось. Где оценка затрат на реализацию закона со стороны ФСБ и ФСТЭК, о которой говорили на Совете Федерации? Нет и ее. А мою оценкупока никто так и не смог опровергнуть с доказательствами в руках. Правительство тоже молчит, хотя ему и было дано сенаторами протокольное поручение по вопросу финансовой оценки последствий принятия ФЗ-152.
А что нового произошло за этот год? Наши предложенияв Минкомсвязь канули в Лету (но не в компанию, а в реку забвения в греческой мифологии). Из них регулярно поднимается тема изменения КоАП, но финального решения по изменению подхода (от наказания за простое невыполнение требований к наказанию за ущерб) пока не принято. Большинство участников обсуждения сходятся во мнении, что наказывать надо за нанесение ущерба субъектам, а не за простое невыполнение требований ФЗ-152. На заседании Консультативного Советапри РКН звучала та же идея. Возможно к ней и прислушаются. По крайней мере мой пессимизм, озвученный в Twitter, что РКН будет стоять насмерть в части наказания именно за невыполнение требований, был развенчан представителями РКН, который сказали, что рано излучать этот пессимизм - все может быть будет и не так плохо ;-) Посмотрим... Зато принято решение об увеличении сумм штрафов по ст.13.11. Вопрос только в том, будет это пресловутыймиллион или удастся снизить эту цифру. Собственно также непонятен перечень правонарушений, которые будут втиснуты в ст.13.11 - при оценке регулирующего воздействия было предложено "расширить и углубить"...
Предложение разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн, также нормально реализовано не было. Не считать же такой реализацией то, что было проделано в отношении проектов Постановлений Правительства. Казалось бы и экспертов привлекали (не всех и не публично) и общественные организации... Но что-то не то получилось в итоге. Большинство предложений экспертов было отвергнуто за нецелесообразностью.
Необходимость разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов, даже обсуждать никто не стал. Также как и предложенную методику оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого.
Идея добавить ответственность за скрытие фактов утечек ПДн субъектов пока не нашла своего отражения ни в КоАП, ни в УК, но я такое предложение еще раз озвучил в рамках Консультативного Совета при РКН по защите прав субъектов ПДн.
Законопроектоб урезании полномочий регуляторов по части контроля и надзора по линии персданных не дошел даже до второго чтения. Зато поддержку получил проектПостановления Правительства, который, наоборот, наделяет Роскомнадзор дополнительными полномочиями, например, проводить проверки технических и организационных мер по защите коммерческих компаний (за некоммерческие по ФЗ-152 отвечают ФСТЭК и ФСБ).
19-го августа 2011 года РКН выпустилновый Приказ от 19 августа 2011 г. № 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных". Спустя неделю ФСБ опубликовалапроект приказа "Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных". С тех пор, правда, новостей по данному регламенту я не видел.
11 октября 2011 года ФСБ одобриластандарт НАУФОР по защите персональных данных "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами-профессиональными участниками рынка ценных бумаг". Хотя ситуация с отраслевыми стандартами сейчас патовая... Никакого статуса у них нет ;-(
Консультационный центр АРБ успел выпуститьза это время пять писем с разъяснениями ключевых позиций законодательства. Правда, похоже эта структуру больше не функционирует по техническим причинам ;-( А жаль...
Идея с народным логотипом не оправдаласебя - "пивная пробка" так и осталась невостребованной никем. Хотя о добровольной сертификации по вопросу соответствия требованиям ФЗ-152 мы как раз говорили на Консультативном совете при РКН. Представители РКН считают такую идею правильной. Осталось понять механизм ее реализации и применения на практике.
В конце прошлого года был опубликован, а затем и принят новый административный регламент РКН по части проведения проверок операторов ПДн. Попутно и Европа заявилао реформе своего законодательства в области ПДн. Чем это обернется для нас пока неясно, но обсуждения этого вопроса уже идут и стоит готовиться к новым поправкам в ФЗ-152 (правда, не так скоро).
21 марта Правительство утвердилоновое Постановление №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами". Зачем оно нужно, я так и не понял, но пусть будет.
ФСБ подготовилановые проекты Постановлений Правительства по установлений уровней защищенности и требований по безопасности ПДн. К ним были серьезные претензии у Аппарата Правительства и Минкомсвязи. Сейчас все вышло на финишную прямую (ну или почти вышло).
На свет вытащилизапылившийся законопроект "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных". Ждать от него эффекта не стоит.
А отраслевые ИТ/ИБ-ассоциации как молчали, так и молчат. Выступили только РАЭК, АРБ, РСПП, АРОС... Т.е. те, кто представлял бизнес, которого закон коснулся. А те, кто мог бы предложить конкретные предложения по ст.19, молчат. Жаль...
На ближайшее время запланировано достаточно много движений в части ПДн. В частности сегодня иду на совещание с представителями ФСТЭК и ФСБ по части новых требований по защите ПДн. Потом будет заседание другой рабочей группы по части изучения вопроса о внесении поправок в ФЗ-152. К осени стоит ждать принятия многих упомянутых выше законопроектов, а также принятия новой нормативной базы ФСТЭК и ФСБ. Роскомнадзор обещал выложить на сайт большое обновление по части офииального разъяснения их позиции относительно животрепещущих вопросов обработки ПДн (очень, очень ждем...). А там глядишь и разрулится вопрос с обработкой ПДн в части переводов денежных средстви с новым СТО. Так что жить осенью будет весело... Очень весело. Готовимся...
Какие вопросы остались открытыми после принятия ФЗ? Ну, во-первых, где список стран с адекватной защитой ПДн, который должен был быть утвержден Роскомнадзором согласно ст.12.2? Пока его нет. Вроде обещали летом, но... Где обещанное на заседании Совета Федерации, на котором сенаторы принимали закон, финансирование бюджетников? Его тоже так и не появилось. Где оценка затрат на реализацию закона со стороны ФСБ и ФСТЭК, о которой говорили на Совете Федерации? Нет и ее. А мою оценкупока никто так и не смог опровергнуть с доказательствами в руках. Правительство тоже молчит, хотя ему и было дано сенаторами протокольное поручение по вопросу финансовой оценки последствий принятия ФЗ-152.
А что нового произошло за этот год? Наши предложенияв Минкомсвязь канули в Лету (но не в компанию, а в реку забвения в греческой мифологии). Из них регулярно поднимается тема изменения КоАП, но финального решения по изменению подхода (от наказания за простое невыполнение требований к наказанию за ущерб) пока не принято. Большинство участников обсуждения сходятся во мнении, что наказывать надо за нанесение ущерба субъектам, а не за простое невыполнение требований ФЗ-152. На заседании Консультативного Советапри РКН звучала та же идея. Возможно к ней и прислушаются. По крайней мере мой пессимизм, озвученный в Twitter, что РКН будет стоять насмерть в части наказания именно за невыполнение требований, был развенчан представителями РКН, который сказали, что рано излучать этот пессимизм - все может быть будет и не так плохо ;-) Посмотрим... Зато принято решение об увеличении сумм штрафов по ст.13.11. Вопрос только в том, будет это пресловутыймиллион или удастся снизить эту цифру. Собственно также непонятен перечень правонарушений, которые будут втиснуты в ст.13.11 - при оценке регулирующего воздействия было предложено "расширить и углубить"...
Предложение разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн, также нормально реализовано не было. Не считать же такой реализацией то, что было проделано в отношении проектов Постановлений Правительства. Казалось бы и экспертов привлекали (не всех и не публично) и общественные организации... Но что-то не то получилось в итоге. Большинство предложений экспертов было отвергнуто за нецелесообразностью.
Необходимость разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов, даже обсуждать никто не стал. Также как и предложенную методику оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого.
Идея добавить ответственность за скрытие фактов утечек ПДн субъектов пока не нашла своего отражения ни в КоАП, ни в УК, но я такое предложение еще раз озвучил в рамках Консультативного Совета при РКН по защите прав субъектов ПДн.
Законопроектоб урезании полномочий регуляторов по части контроля и надзора по линии персданных не дошел даже до второго чтения. Зато поддержку получил проектПостановления Правительства, который, наоборот, наделяет Роскомнадзор дополнительными полномочиями, например, проводить проверки технических и организационных мер по защите коммерческих компаний (за некоммерческие по ФЗ-152 отвечают ФСТЭК и ФСБ).
19-го августа 2011 года РКН выпустилновый Приказ от 19 августа 2011 г. № 706 "Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных". Спустя неделю ФСБ опубликовалапроект приказа "Об утверждении Административного регламента ФСБ России по исполнению государственной функции по осуществлению государственного контроля (надзора) за выполнением установленных Правительством РФ требований к обеспечению безопасности персональных данных". С тех пор, правда, новостей по данному регламенту я не видел.
11 октября 2011 года ФСБ одобриластандарт НАУФОР по защите персональных данных "Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных операторами-профессиональными участниками рынка ценных бумаг". Хотя ситуация с отраслевыми стандартами сейчас патовая... Никакого статуса у них нет ;-(
Консультационный центр АРБ успел выпуститьза это время пять писем с разъяснениями ключевых позиций законодательства. Правда, похоже эта структуру больше не функционирует по техническим причинам ;-( А жаль...
Идея с народным логотипом не оправдаласебя - "пивная пробка" так и осталась невостребованной никем. Хотя о добровольной сертификации по вопросу соответствия требованиям ФЗ-152 мы как раз говорили на Консультативном совете при РКН. Представители РКН считают такую идею правильной. Осталось понять механизм ее реализации и применения на практике.
В конце прошлого года был опубликован, а затем и принят новый административный регламент РКН по части проведения проверок операторов ПДн. Попутно и Европа заявилао реформе своего законодательства в области ПДн. Чем это обернется для нас пока неясно, но обсуждения этого вопроса уже идут и стоит готовиться к новым поправкам в ФЗ-152 (правда, не так скоро).
21 марта Правительство утвердилоновое Постановление №211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным Законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами". Зачем оно нужно, я так и не понял, но пусть будет.
ФСБ подготовилановые проекты Постановлений Правительства по установлений уровней защищенности и требований по безопасности ПДн. К ним были серьезные претензии у Аппарата Правительства и Минкомсвязи. Сейчас все вышло на финишную прямую (ну или почти вышло).
На свет вытащилизапылившийся законопроект "О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных". Ждать от него эффекта не стоит.
А отраслевые ИТ/ИБ-ассоциации как молчали, так и молчат. Выступили только РАЭК, АРБ, РСПП, АРОС... Т.е. те, кто представлял бизнес, которого закон коснулся. А те, кто мог бы предложить конкретные предложения по ст.19, молчат. Жаль...
На ближайшее время запланировано достаточно много движений в части ПДн. В частности сегодня иду на совещание с представителями ФСТЭК и ФСБ по части новых требований по защите ПДн. Потом будет заседание другой рабочей группы по части изучения вопроса о внесении поправок в ФЗ-152. К осени стоит ждать принятия многих упомянутых выше законопроектов, а также принятия новой нормативной базы ФСТЭК и ФСБ. Роскомнадзор обещал выложить на сайт большое обновление по части офииального разъяснения их позиции относительно животрепещущих вопросов обработки ПДн (очень, очень ждем...). А там глядишь и разрулится вопрос с обработкой ПДн в части переводов денежных средстви с новым СТО. Так что жить осенью будет весело... Очень весело. Готовимся...
