4 июля 2011 г.

Что третье чтенье нам готовит?

Как и планировал, в выходные посидел-покумекал с тем, что прошло второе чтение. Радости это не принесло, особых огорчений тоже.
Комментариев уже дали много, самых разных. Согласен со многими, но не со всеми. Что показалось важным мне?
Существенно ближе к Европе мы не стали. Всяких там либеральных глупостей, типа четко прописанного в законе баланса интересов субъекта и оператора, соразмерности мер защиты рискам и учета реальных возможностей оператора никто и не ждал. Требований при защите персональных данных не создавать помех развитию рынка, внедрению новых технологий и функционированию оператора – тем более. Но вот на устные согласия, конклюдентные действия и право оператора самому определять адекватные меры защиты в зависимости от особенностей бизнеса, процессов, вида и объемов персданных в виде соглашения между ним и субъектом – надежды были. Зря.
Где стали ближе? Появился обработчик, нигде в законе не называемый, но незримо присутствующий. Подумавши, думцы назвали его «лицом, осуществляющим обработку персональных данных по поручению оператора». Появились ограничения на частоту и обоснованность запроса субъекта к оператору – раз в 30 дней с обоснованием оснований для запроса (номер договора или иные сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором). Таким образом, тема DDoS атак бабушек на банк за 50 рублей нала если не умерла, то притихла. Увеличились сроки реакции оператора на инициативы субъекта – почти везде до 30 дней вместо 3 или 7 рабочих. Хотя Европе на эти сроки было как-то наплевать
Что еще порадовало? Слова о допустимости принятия закрытых нормативно-правовых актов (НПА) по персданным в новый проект не включены. В связи с этим весьма интересной становится судьба Постановления Правительства № 330 2010 года и закрытой части документов ФСТЭК по ПЭМИНам. В проекте наконец-то появилось требование о соответствии сроков обработки персданных федеральным законам вообще, а не только ФЗ-152, и абсурдные требования, связанные с трехдневным сроком их уничтожения после достижения целей обработки, похоже, исчезают.
Кое-что позабавило. Уши лоббистов торчат, при поверхностном прочтении, минимум в двух местах. Несколько раз в тексте появляется упоминание про обеспечение устойчивого и безопасного функционирования транспортного комплекса. Очень хотелось бы узнать про защиту прав личности (моей, в частности) в сфере транспортного комплекса от актов незаконного вмешательства, которая является основанием для обработки моих персданных без моего же согласия.
Наряду с субъектом в законе сплошь и рядом в обнимку идут выгодоприобретатель и поручитель. Выгодоприобретателя оставим для более подробного анализа в будущем, а про поручителя выскажемся. В соответствии с Гражданским кодексом, договор поручительства заключается только в письменной форме. Зачем выделять эту категорию субъектов отдельно – совершенно не ясно. А уж если идти по этому пути, почему в стороне остались застрахованные лица, получатели по счетам и получатели денежных переводов, лица, имеющие право управления по счету клиента, плательщики и вносящие денежные средства на счет субъекта и т.д  и т.п. Персданные огромного количества различных категорий субъектов попадают к оператору без их участия. Чем заслужили особые привилегии выгодоприобретатели и поручители - сказать трудно.
Элегантно разрешена проблема с биометрией. Если фото используется для установления личности субъекта персональных данных - это биометрические данные. А в остальных случаях – похоже, нет. Посмотрим, что из этого выйдет.
Предвижу весьма пикантную ситуацию в связи с определением адекватности защиты в иностранных государствах, в которые осуществляется трансграничная передача персональных данных. На сегодняшний день, в соответствии с разъяснением Роскомнадзора, в адекватные (т.е. обеспечивающие соответствующую защиту персональных данных) не попали такие не последние экономические партнеры России, как США, Китай, Украина или Казахстан (список длинный). Пока это мнение, размещенное на сайте, особо никого оно волнует. Но теперь формирование списка адекватных – прямая обязанность уполномоченного органа по закону. Реакция не попавших в заветный перечень может быть весь непредсказуемой.
Ну, и, наконец, что огорчило. Сильно.
По-прежнему вне правового поля – вся электронная коммерция. С доказуемым согласием там ничего не изменилось. Его нет и пока не будет. Значит – оператор всегда виноват. Не получила законного обоснования стандартная схема вызова врача по телефону или идентификация клиента в банке – нет не только подтверждаемого согласия, но и не снимается проблема получения его не от субъекта. 
Самая главная проблема нового закона – обеспечение безопасности. Статьи 18 прим и 19 противоречивы, сумбурны и непоследовательны.  Начинается все за здравие. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим ФЗ и принятыми в соответствии с ним НПА. Далее идет замечательная формулировка «К таким мерам могут, в частности, относиться», в силу норм русского языка свидетельствующая об их необязательности (могут относиться, а могут и нет). А дальше – странное. Одной из этих вроде бы необязательных мер является определение политики в отношении обработки персональных данных. А вот ее публикация – уже обязательна.
То же самое – с назначением оператором лица, ответственного за организацию обработки персональных данных. Появляется целая статья 22 прим про это лицо, а указание его персданных (если оно – физическое) становится обязательным в уведомлении об обработке, и согласия никто спрашивать не будет.
Наконец, для доказательства выполнения этих вроде бы необязательных мер, оператор обязан, по запросу Роскомнадзора, представить документы и локальные акты, подтверждающие их принятие. Возможность самостоятельно определить меры защиты напрочь снимается правом Правительства устанавливать требования для любых операторов «с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных». Разрушена может быть не нравившаяся многим, но жесткая конструкция между ФЗ-152 и ФЗ-294: правительство устанавливает обязательные требования, которые являются предметом проверки при  госконтроле и надзоре. Теперь понять, какие требования являются обязательными, решительно невозможно. Утешает только   необходимость определения Правительством организаций, подлежащих контролю и надзору и эксплуатирующих системы, не являющиеся государственными.
Еще о грустном. Значительно расширено содержание уведомления об обработке. Теперь оно автоматически транслируется из Роскомнадзора в ФСБ и ФСТЭК.
Ну, и масса всего по мелочам.
Закон явно готовился в колоссальной спешке. Как занятное подтверждение этого - включение цели обработки персданных одновременно в п.п.2 и 3 части 7 ст.14. Есть масса других ляпов, но места и времени их описывать уже нет.
Ждем третьего чтения. Что день грядущий нам готовит?

4 комментария:

  1. >А уж если идти по этому пути, почему в стороне остались застрахованные лица, получатели по счетам и получатели денежных переводов, лица, имеющие право управления по счету клиента, плательщики и вносящие денежные средства на счет субъекта и т.д и т.п.

    А вот как раз эти (и не только) лица попали под выгодоприобретателей ;)
    Это все издержки 115-ФЗ по ПОД/ФТ

    В варианте, который был вывешен 14 июня вообще вся деятельность по 115-ФЗ выводилась из под дейстия ЗоПД

    ОтветитьУдалить
  2. Много чего было вывешено в разное время. Принципиально сравнивать не стал. Что имеем, то и имеем. А кроме 115-ФЗ есть еще Гражданский кодекс, который на выгодопририобретателей смотрит по-другому. И уже тем более на застрахованных лиц.

    ОтветитьУдалить
  3. > А кроме 115-ФЗ есть еще Гражданский кодекс, который на выгодопририобретателей смотрит по-другому

    115-ФЗ лишь обязывает обрабатывать данные на выгодоприборетателей ;)
    А определяют выгодоприобретателей не только по ГК, но и еще есть Решение ВАС, уточняющее кого к ним относить.

    Ну, а сравнение сделал Александр Бондаренко - http://secinsight.blogspot.com/2011/07/152.html

    Кстати вывесили в ЭРК законопроекта текст к 3-му чтению, но пока без даты

    ОтветитьУдалить
  4. Комментарий Бондаренко читал, толковый. Только не понял, о каком сравнении речь.
    Чтение - завтра :-(
    Чудес не бывает

    ОтветитьУдалить