Сегодня зарегистрирован очередной законопроект о внесении изменений в 152-ФЗ.
Обычно я не пишу про законопроекты, так как не все они принимаются, а иногда слишком меняются по ходу дела. Но сегодняшний слишком хорош чтобы пропустить его.
Положительные изменения:
· Поправили определение биометрических персональных данных. О проблеме с ними я неоднократно писал в блоге. РКН выпускала информационное письмо, но не все рассматривали его как обязательную норму.
· Ещё раз обратили внимание на первостепенное значение частных законов (банковская тайна, врачебная тайна) над общими (ФЗ о ПДн)
· Убрали лишнюю обязанность обеспечивать конфиденциальность общедоступных и обезличенных данных. Об этой проблеме я так-же писал в блоге.
· Нормально определили Обработчика и переписали разделы связанные с обработчиком
· Разрешили согласие в электронной форме. О проблеме с такими согласиями я писал в блоге– в ряде случаев по другому согласие не собрать.
· Добавлена обязанность операторов – уведомлять РКН об инцидентах с ПДн.
· Убрали из статьи 19 конкретные требования по защите (часть 2). Это правильная практика, так как ФЗ – высокоуровневый документ и не должен содержать частных требований по защите, которые потом по цепочке путешествуют по всем подзаконным актам.
Спорное изменение – обязанность оператора согласовывать собственные модели угроз с ФСТЭК и ФСБ. Имея опыт такого согласования могу сказать что процесс непрозрачный и очень долгий. 2-4 месяца с условием если имеются хорошие контакты. Если идти только по официальному пути, то согласование с учетом нескольких итераций может занять год. А могут ведь и не согласовать.
Советую всем интересующимся самостоятельно прочитать законопроект и пояснительную записку к нему.
