Напросторах сети Интернет коллеги активно проводят анализ определенных статейФЗ-152 2.0.
Уменя так-же стояла задача провести постатейный анализ изменений в ФЗ-152,поэтому интересно было выбрать публикации, в которых указывалось конкретныепункты, части и статьи закона, а так-же проводился их анализ.
Подобраласьследующая таблица, которую я в дальнейшем планирую пополнять:
Автор заметки | Анализируемые статьи | Основная цель заметки |
Михаил Емельянников | ч.3 ст.6 ч.5 ст.6 ч.2 ст.18 | ЛООПДППО |
Михаил Емельянников | ст. 5 ст. 6 ст. 9 ст. 14 ст. 17 ст. 24 | Права субъектов ПДн |
Михаил Емельянников | ст. 3 ст. 18 ст. 18.1 ст. 21.1 ст. 22 | Термины и определения |
Алексей Волков | ч. 1 ст. 11 | Биометрия |
Алексей Волков | ч. 3. Ст. 6 ч. 5 Ст. 6 ч. 1 Ст. 18.1 ч 2 ст 19 | Оценка эффективности, контроль |
Алексей Волков | ст. 18.1 ст. 19 ст. 22.1 | Обязанности Оператора |
Алексей Волков | ст. 18.1 | Политика обработки ПДн |
Алексей Волков | ст.19 | Этапы определения мер по обеспечению безопасности ПДн |
Алексей Лукацкий | ст. 14 ст.18 ст.18.1 ст.19 | Общее мысли |
Игорь Харов | 22.1 | Лицо, ответственное за организацию обработки ПДн |
Артем Аветян | ст.19 | Этапы определения мер по обеспечению безопасности ПДн |
Мои комментарии ниже | ст. 3 ст. 5 ч. 1 ст. 6 ч. 8 ст. 9 ст.21 ч. 2.1 ст 25 | Общее мысли |
Сергей Борисов | ч. 2 ст. 19 | СЗИ |
Сергей Борисов | ч. 1 ст. 6 ч. 1 ст. 8 ч. 3 ст. 9 | Контактные ПДн |
Понескольким пунктам хочу так-же добавить свои комментарии.
Встатье 3 приведено следующее новое определение:
«обезличивание персональных данных -действия, в результате которых становится невозможным без использования дополнительнойинформации определить принадлежность персональных данных конкретному субъектуперсональных данных»
Понятие«обезличивание персональных данных» расширенно. Теперь позволяется применятьидентификаторы, выделить данные,позволяющие определить принадлежность субъекта ПДн, в отдельную базу, котораябудет защищаться по полной программе. В остальных базах можно оставлять только внутренниеидентификаторы и категоризировать их как «обезличенные».
Вчасти 2 статьи 5 приведено изменилась формулировка:
«Обработка персональных данных должнаограничиваться достижением конкретных,заранее определенных и законных целей. Не допускается обработка персональныхданных, несовместимая с целями сбораперсональных данных»
Тоесть теперь цели обработки должны быть более конкретными. “выполнение ФЗ” и “получениеприбыли” – не пройдет. Конкретной целью обработки ПДн будет, например “идентификациясубъекта при оказании ему услуги”, “доставка субъекту отчетов об оказанныхуслугах”.
Насчет несовместимых целей – вообще беда. Нигде не определены критериисовместимости. Приходится полагаться на экспертное мнение.
Вчасти 7 статьи 5 приведено следующее требование:
«Обрабатываемые персональные данные подлежатуничтожению либо обезличиванию по достижении целей обработки или в случаеутраты необходимости в достижении этих целей, если иное не предусмотренофедеральным законом.»
Теперьпри достижении целей обработки можно не только уничтожить ПДн, но и допускаетсяобезличивание ПДн. То есть при разделении баз, достаточно будет удалить данныеиз базы, позволяющей определить принадлежность субъекта ПДн.
Интересенпункт 7 части 1 статьи 6:
«7) обработка персональных данных необходимадля осуществления прав и законных интересов оператора или третьих лиц либо длядостижения общественно значимых целей при условии, что при этом не нарушаютсяправа и свободы субъекта персональных данных»
Теоретическилюбую цель обработки ПДн можно подтянуть под этот пункт и осуществлятьобработку без согласия субъекта. Для этого надо собрать и изучитьзаконодательство и подзаконные акты связанные с видом деятельности оператора.
Вчасти 8 статье 9 приведено следующее условие:
«Персональные данные могут быть полученыоператором от лица, не являющегося субъектом персональных данных, при условиипредоставления оператору подтверждения наличия оснований, указанных в пунктах 2- 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящегоФедерального закона»
Есливозможна обработка без согласия субъекта, то данные могут быть получены оттретьих лиц. Третьи лица должны будутпредоставить оператору подтверждение наличия оснований. То есть третье лицодолжно предоставить нам ссылку на ФЗ или иной документ.
Вкаждой части статьи 21 в обязанности оператора по устранению нарушенийзаконодательства, допущенных при обработке персональных данных, по уточнению,блокированию и уничтожению персональных данных входит обеспечение устранения нарушений ЛООПДППО.Например часть 3 статьи 21:
«3. В случае выявления неправомернойобработки персональных данных, осуществляемой оператором или лицом, действующимпо поручению оператора, оператор в срок, не превышающий трех рабочих дней сдаты этого выявления, обязан … обеспечить прекращение неправомерной обработкиперсональных данных лицом, действующим по поручению оператора. В случае еслиобеспечить правомерность обработки персональных данных невозможно, оператор всрок, не превышающий десяти рабочих дней с даты выявления неправомернойобработки персональных данных, обязан … обеспечить их уничтожение. ...»
Такимобразом, оператор должен перед тем как поручать обработку ЛООПДППО тщательнопродумать регламент взаимодействия с ним, и прописать ответственность ЛООПДППОза устранение нарушений законодательства по обращению к нему Оператора.
Вчасти 2.1 статье 25 приведено следующее требование:
«2.1. Операторы, которые осуществлялиобработку персональных данных до 1 июля 2011 года, обязаны представить вуполномоченный орган по защите прав субъектов персональных данных сведения,указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22* настоящего Федеральногозакона, не позднее 1 января 2013 года.
* указанные пункты ч.3 ст.22содержат дополнительные сведения, включенные в уведомление оператора в Роскомнадзор»
Фактическивсе операторы, в том числе подавшие уведомление, обязаны подать Уведомление вРоскомнадзор.
Вслучае неподачи - ст. 19.7 КоАП РФ.
