28 марта 2012 г.

ФЗ-152: требования к государственным и муниципальным органам определены

В соответствии с частью 3 ст.18прим ФЗ «О персональных данных» Постановлением Правительства Российской Федерации от 21.03.2012 № 211 утвержден «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Постановление опубликовано на сайте Правительства и появилось в «Консультанте».
Читать придется внимательно, но есть несколько моментов, бросающихся в глаза даже при беглом прочтении. Разделю их на несколько групп, по своему усмотрению, конечно.
Революционное. Похоже, в недрах регуляторов появилось нечто принципиально новое, касающееся обезличивания персональных данных.
В Перечне мер по этому поводу сразу три новшества.
(1) Подпункт з) пункта 1 Перечня требует осуществлять обезличивание персональных данных, обрабатываемых в информационных системах персональных данных государственных и муниципальных органов, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных. Ждем нового документа от Роскомнадзора, который наконец-то раскроет секрет, что такое обезличивание.
Подпункт б) того же пункта 1 обязывает утвердить (2) правила работы с обезличенными данными и (3) перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
Крепко задумался. Каких таких особых правил требует работа с обезличенными данными, которые нельзя соотнести с конкретным субъектом, и зачем ограничивать к ним доступ, формируя перечень должностей? Это «ж-ж-ж» неспроста…
Неожиданное. В тексте документа появилось принципиально новое понятие - оператор информационной системы персональных данных. И только в случае, если гос- или муниципальный орган является оператором этой системы, на него возлагается принятие правовых, организационных и технических мер по обеспечению безопасности персональных данных, выполнение установленных Правительством Российской Федерации требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных. В ФЗ-152 это - прямая обязанность оператора персональных данных, неразрывно связанного с определением целей обработки. Чтобы это значило? Чем отличается оператор персданных от оператора системы? Не сигнал ли это к давно обсуждаемому переводу государственных и муниципальных систем в облака, где ответственность за выполнением мер безопасности переложат на провайдера?
Предписано утверждать типовую форму согласия на обработку персональных данных служащих государственного или муниципального органа. Государственные служащие в соответствии с ФЗ «О государственной гражданской службе Российской Федерации» при поступлении на службу заключают государственный контракт, а муниципальные служащие, в соответствии с ФЗ «О муниципальной службе в Российской Федерации», поступают на службу на условиях трудового договора в соответствии с трудовым законодательством с учетом некоторых особенностей.
В соответствии со ст.6 ФЗ-152 согласия субъекта, имеющего договор с оператором  (в том числе трудовой), на обработку персональных данных оператору не требуется. Означает ли требование Перечня о наличии типовой формы согласия служащего на обработку персданных, что государственный контракт и трудовой договор муниципального служащего договорами в понятиях ФЗ-152 не являются? Интересно, будем разбираться.
Вызывающее задумчивость. Перечень локальных актов, издаваемых оператором, весьма велик. Из текста вроде бы следует, что надо принимать как самостоятельные все указанные документы. Многовато получается. Правила обработки персональных данных в гос- и муниципальных органах теперь должны устанавливать процедуры, направленные на выявление и предотвращение нарушений законодательства и определять для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований. Т.е. фактически дается структура локального акта оператора. С высокой вероятностью она начнет транслироваться на всех остальных операторов. Проще, наверное, при разработке документов ориентироваться именно на эту структуру. 
Постановлением предусмотрено уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных и наличие исключений для такого уведомления, установленных Федеральным законом «О персональных данных». Учитывая, что отношения госслужащего с органом власти не рассматриваются, как трудовые, а у гос- и муниципальных органов нет договоров с субъектами, оснований для исключение не видно никаких.  Будем смотреть, какие гос- и муниципальные органы под исключения подпадут и почему.
Ожидаемое. Закреплено требование о разработке перечней обрабатываемых персональных данных, отсутствующее в законе, но вполне естественное, если исходить как из его буквы, так и из духа. Списки допущенных к обработке персданных лиц предусмотрено формировать не поименно, а по должностям, как во всех действующих положениях органов госвласти.
Окончательно легализовано Постановление Правительства № 687 про неавтоматизированную обработку, весьма перпендикулярное к новой редакции ФЗ-152. Ожидаемо, но грустно.
В общем, вопросов новый документ вызывает много. И ситуация с правоприменением не проясняется. Будем ждать и смотреть.

34 комментария:

  1. Насчет оператора информационной системы. Нечто подобное есть в методических рекомендациях ЦБ по внедрению банковских стандартов:
    Выявить ИСПДн (в том числе государственные) и их границы (в рамках организации БС РФ), в отношении которых организация не определяет цели обработки и требования по защите (например, передача отчетности в Пенсионный фонд, ФНС, ФОМС и др.)
    Обеспечение безопасности ПДн в таких системах следует осуществлять в соответствии с предъявляемыми их организатором (владельцем) требованиями

    ОтветитьУдалить
  2. Не соглашусь. В приведенном Вами примере речь идет об обработке банком персданных по поручению оператора - ПФР, ФФОМС и прочее. И это абсолютно четко, хоть и невыполнимо, регулируется ФЗ-152. А вот что имеется ввиду в ПП - не ясно, этого в законе вообще нет.

    ОтветитьУдалить
  3. Чем отличается оператор персданных от оператора системы?
    Присовокупили определение из 149-ФЗ к определению из 152-ФЗ.

    ОтветитьУдалить
  4. 2Trotsky. И это плохо. Строго говоря, оператор системы - это и оператор персональных данных, и ЛООПДППО. И не дело исполнительного органа дополнять закона новыми определениями. Потому как потом это и уже и трактовать начнут, а для этого и ФЗ-152 хватает с избытком :-)

    ОтветитьУдалить
  5. > зачем ограничивать к ним доступ, формируя перечень должностей

    Требуется "перечень должностей ... ответственных за проведение мероприятий по обезличиванию". Про дальнейшее ограничение доступа к ним речи не идет. Ну а правила работы с ними - здесь видимо подразумевается локальный документ, определяющий порядок их обезличивания в соответствии с требованиями Роскомнадзора.

    > Окончательно легализовано Постановление Правительства № 687 про неавтоматизированную обработку

    Поправка: для ГОСов и муниципалов. НеГОСам - еще одна гирька в пользу доказательства того, что 687 для них не обязательно. По крайней мере пока.

    ОтветитьУдалить
  6. 2Алексей Волков

    "Вспыхнув черными очами, он спросил: А на фига?" (с) А.Вознесенский

    Ну Вы, Алексей, и сказали! Это из чего же следует, что ПП нужно выполнять только госам и муниципалам? Написано, что они должны им руководствоваться. И никаких гирек. Обратное логическое заключение ошибочно :-)

    ОтветитьУдалить
  7. Ну какбэ есть прецеденты :) Если внимательно почитать само ПП-687, то там, в пункте 2, написано: "Федеральным органам исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с настоящим постановлением". То есть, формально, Положение, в соответствии с Постановлением, предназначено для них, родимых. А в новой редакции 152-ФЗ - и подавно, ибо там правительство устанавливает только "уровни" и "требования". 211-е - это еще одна "гирька" к этой логике, пусть и спорной, но почему бы нет? :)

    ОтветитьУдалить
  8. М.Ю. По оператора ИСПДн. Сейчас введено понятие "базовые государственные ИР" (распоряжение 654-р) У них один хозяин, но пользуются ими - многие, в том числе и для своих нужд, то есть те, кто являются операторами ПДн. В этом случае защитой будет заниматься (и ее обеспечивать везде) оператор ИС, где хранится Базовый ГИР (хозяин). И еще не надо забывать про СМЭВ. Там тоже возможно разделение на оператора ПДн и оператора ИСПДн. По поводу нового термина. Мне кажется, что здесь нет противоречий меду ФЗ-149 и ФЗ-152. В Постановлении хитро сказано: "при эксплуатации информационных систем персональных данных в случае, если государственный или муниципальный орган является оператором таких информационных систем..." Это можно поняять, как то, что госорган является оператором некоей ИС (в понятиях ФЗ-149) и в этой ИС обрабатываются ПДн.

    ОтветитьУдалить
  9. Алексей, разделяю Вашу горячую нелюбовь к ПП-687, но, объективности ради, там есть и другие слова: "Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные ... локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения" :-(
    А про какбэ Вы же затихарились, все обещаниями кормите...

    ОтветитьУдалить
  10. Это да, но если принять ранее данный мной посыл, то в контексте пункта 2 ПП, слова "организация" в Положении рассматривается как гос или МУП, ибо Постановление утверждает Положение и определяет область его применения ;) Про затихарился - еще не вступило в законную силу, да и две проверки в апреле. Расскажу все на 5 межрегиональном.

    ОтветитьУдалить
  11. Сергей Викторович, я не про противоречия писал между законами, а про сложности, которые создает введение новых понятий, законом не предусмотренных. ФЗ-152 использует два понятия - оператор (кстати,нигде в законе нет сочетание оператор персональных данных, это мы сами домыслили, чтобы удобно было)и ЛООПДППО. Зачем в ПП, конкретизирующем закон, вводить новый термин?! "Хозяин" ГИР - ЛООПДППО в чистом виде, и должен иметь с оператором договор поручения со всеми обязанностями по безопасности (ст.6 ФЗ). А когда мы пишем "это можно понять как" - это ужасно. Понимать законы хотелось бы однозначно, без "хитро сказано" :-)

    ОтветитьУдалить
  12. 2 Алексей Волков. Ход мысли интересный, но, будь я инспектором (а я им был, и долго), даже обсуждать не стал бы. Чугуний тяжелый, люминий - легкий. И титаниумами мне мозги не компостируйте. Потому как домыслы, а не текст ПП.
    А про 5 межрегиональный - не все же там будут. Я, например, не собираюсь А интересно (не 5-й, в суд).
    И ваще информация о деятельности судов - общедоступная в рамках, огороженных законом. Требую реализацию права на информацию (конституционного)

    ОтветитьУдалить
  13. Знаете, что я понял? Одну простую истину. Совершенно бессмысленно спорить с инспекторами, ибо и у проверяющих, и у проверяемых могут быть свои взгляды на закон. Никто не совершенен. Нужно изложить свою позицию в письменном виде, представить инспекторам возражения, и оспаривать любые предписания, именно в суде. Потому как только суд должен решать, кто прав, кто виноват и в какой степени, но никак не инспектор. И чем конкретней будет сформулирован вопрос, тем проще и легче это делать. Так что все эти инсинуации, что я привел выше, годятся только, если в предписании будет написано что-то вроде "порядок неавтоматизированной обработки ПДн не соответствует ПП-687". Во всех остальных случаях помогает второе предложение п. 15, где написано, что меры безопасности носителей ПДн оператор выбирает сам.

    В апреле будет серия постов на эту тему, потерпите немного :)

    ОтветитьУдалить
  14. Дык и я не о проиворечиях. Да сложностей, на мой взгляд особых нет. Нового понятия просто - нет. Есть ФЗ-149. Это базовый закон. Он ввел понятие оператора ИС (и неважно какя это ИС: просто ИС или ИСПДн). ПП конкретизировало это понятие и разделило полномочия. Это обусловлено РЕАЛЬНОЙ картиной, которая сейяас сложилась: в системе так сказать "элктронного правительства" функции оператора ресурса и опреатора ИС - разделились. Вы правы, когда говорите, что это первый шаг к облакам. А вот по поводу догвора поручения - не соглашусь. Ст.6 часть 3 ФЗ-152 "...на основании заключаемого с этим лицом договора ..., либо путем принятия государственным или муниципальным органом соответствующего акта..". Вот Правительство и принмает акты. А по поводу того, что законы "хотелось бы понимать однозначно", это, конечно хорошо! Но тогда можно было бы упрозднить всю судебную власть. Вы же сами знаете: "два юриста, три мнения".

    ОтветитьУдалить
  15. А. Волкову.

    Постановление правительства РФ это
    Акт управления обшенормативного содержания, издаваемый Правительством РФ в пределах его компетенции, на основе и во исполнение Конституции РФ, ФКЗ. ФЗ и указов Президента РФ. Подписывается председателем Правительства РФ. П.П. РФ обязательны к исполнению в РФ. В случае их противоречия Конституции РФ, ФЗ и указам Президента могут быть отменены Президентом (ст. 115 Конституции РФ). П.П. РФ может быть также признано не соответствующим Конституции РФ решением Конституционного Суда РФ.
    (Энциклопедия юриста).

    П. 2 ПП-687 - это поручение госоранам, т. к. они непосредственно подчиняются Правительству, это им дополнительная нагрузка. Остальные просто обязаны исполнять ПП. Ограничении сферы действия в самом ПП - нет. Чего выдумывать (или придумывать?)Это большем на софистику похоже...

    ОтветитьУдалить
  16. А про ПП с грифом ДСП что-нибудь в энциклопедии написано? И есть ли какой-нибудь законодательный или нормативно-правовой акт, а не беллетристика, который способен подтвердить справедливость цитаты?

    ОтветитьУдалить
  17. 2vsv. Сергей Викторович, спорить-то мне не с чем. И про ФЗ-149 согласен. И про акты для ЛООПДППО. Но оператор ПДн - оператор не только ИСПДн, но и оператор неавтоматизированной обработки. ИМХО, в ВПП к ФЗ-152 надо конкретизировать ФЗ-152, а не законодательство страны в целом. И судебную власть не надо упразднять при хороших законах. Я с Алексеем насчет вины и суда полностью согласен. Если закон хороший, споров оп нему будет меньше и они будут проще. Надо будет доказывать выполнение-невыполнение в ходе прения состязающихся сторон, а не отстаивать свою трактовку закона. Согласитесь, это разные вещи.

    ОтветитьУдалить
  18. 2 Алексей Волков. Про суд и инспектора я высказался выше. А про выбор мер оператором самостоятельно не соглашусь. Ст.18прим - кроме случаев, установленных законом. Вот ФЗ-152 их и установил в той же статье.

    ОтветитьУдалить
  19. Здесь немало копий поломано, и рассуждать на эту тему - бессмысленно. К сожалению, в мотивировочной части постановления суда формулировка, определяющая превосходство 18.1 над 19, отсутствовала, как я не пытался ее туда "вбить". Но вызвала у суда "неустранимые сомнения" :)

    ОтветитьУдалить
  20. Как обычно местами написано кривовато:

    1. По замыслу это постановление должно подменять статью 18.1 для ГиМ органов. Тогда получается непонятка с Политикой (это получается перечисленные документы надо выложить на сайт?) и, что важнее, с "оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом". Ее для госорганов делать не надо. Странненько. В первый раз вижу, чтобы правительство урезало требования ФЗ для ГиМ органов.

    2. Еще классное требование про обязательство о прекращении обработки в случае расторжения контракта. Малость забыли, что в ГиМ органах с ПДн работают не только ГиМ служащие. Для таких "не служащих", получается, такого требования устанавливать не надо.

    ОтветитьУдалить
  21. Когда в наших (как минимум) органах ГиМ власти пишут документы, внизу обязательно присутствует фамилия с инициалами исполнителя и его рабочий телефон. Очень удобно - можно позвонить и поговорить с умным человеком. Вот бы в ПП такое тоже было. Можно было бы звонить и спрашивать: ЧТО ВЫ ИМЕЛИ В ВИДУ??? :)

    ОтветитьУдалить
  22. Михаил Юрьевич, специально для Вас:

    ПП-260 от 01.06.2004 г. "Регламент Правительства Российской Федерации.." см. п. 3 (с купюрами)
    "Правительство на основании и во исполнение Конституции РФ, ФКЗ, ФЗ, указов и распоряжений Президента РФ, поручений и указаний Президента РФ Правительству издает постановления и распоряжения, обязательные к исполнению в РФ."
    И иеще: ФКЗ-2 1997 г. "О Правительстве РФ", ст. 23: "...Постановления и распоряжения Правительства Российской Федерации обязательны к исполнению в РФ...".
    И тамже чуть ниже: "...Постановления Правительства РФ, за исключением постановлений, содержащих сведения, составляющие государственную тайну, или сведения конфиденциального характера, подлежат официальному опубликованию не позднее пятнадцати дней со дня их принятия..."

    ОтветитьУдалить
  23. М. Ю. на "...Но оператор ПДн - оператор не только ИСПДн, но и оператор неавтоматизированной обработки.."

    "оператор обработки" - это что-то новое! М. Ю., не надо усложнять, есть оператор ПДн и совершенно неважно КАК он обрабатывает ПДн: автоматизировано или нет. При неавтоматизированной действует ПП-687, а при автоматизированной требования регуляторов. НО, это ПП-211 как раз и РАЗДЕЛЯЕТ полномочия и ответственность: если ты опреатор ПДн, но не являешься опреатром ИС, в которой они обрабатываются. то в этом случае меры должен принимать опреатор ИС, а не ты.

    ОтветитьУдалить
  24. Михаил Юрьевич, приношу свои извинения: прошлый комментарий адресован не Вам, а Алексею Волкову...

    ОтветитьУдалить
  25. А Волкову на "...А про ПП с грифом ДСП что-нибудь в энциклопедии написано? И есть ли какой-нибудь законодательный или нормативно-правовой акт, а не беллетристика.."

    Алексей, специально для Вас:

    ПП-260 от 01.06.2004 г. Регламент Правительства РФ.." см. п. 3 9с купюрами):
    "Правительство на основании и во исполнение Конституции РФ, ФКЗ, ФЗ, указов и распоряжений Президента РФ, поручений и указаний Президента РФ издает постановления и распоряжения, обязательные к исполнению в РФ".

    И еще, если этого мало: ФКЗ-2 1997 г. "О Правительстве РФ", ст. 23:
    "...Постановления и распоряжения Правительства Российской Федерации обязательны к исполнению в РФ.."

    И там же ниже:

    "Постановления Правительства РФ, за исключением постановлений, содержащих сведения, составляющие государственную тайну, или сведения конфиденциального характера, подлежат официальному опубликованию не позднее пятнадцати дней со дня их принятия..."

    ОтветитьУдалить
  26. Ну, ПП - это понятно, такое же по статусу как ПП687. А вот ФКЗ - это уже хорошо. Но опять же - никто не говорит, что ВСЕМИ, говорится - в РФ. Таким образом, область применения, все-же, определяется самим постановлением. Имеем ч. 3 ст. 4 152-ФЗ, где сказано, что особенности могут быть определены, но с учетом положений самого ФЗ, в котором есть 18.1 для неГОСов. И то, что в п. 3 687-го указана "организация" - это не факт, что "любая" организация, так как в самом Положении область действия не определена, но это означает, что надо смотреть текст ПП, в котором есть п. 2.

    Вы абсолютно правы - это чистая софистика, но и противопоставления ей - такая же софистика. Чья софистика ближе к телу судье - тот и победит. И поскольку право не прецедентное - это можно делать бесконечно с равной вероятностью победы и поражения.

    ОтветитьУдалить
  27. Михаил Юрьевич! А на кого распространяется данное постановление, в смысле, что понимать под государственными и муниципальными органами? Действует ли оно для учреждений? По 210ФЗ: подведомственная государственному органу или органу местного самоуправления организация - государственное или муниципальное учреждение либо унитарное предприятие, созданные соответственно государственным органом Российской Федерации, органом государственной власти субъекта Российской Федерации, органом местного самоуправления;
    Как быть школам, больницам, садикам и т.п.?

    ОтветитьУдалить
  28. А. Волкову. Великолепный пример софистики! Мне это чем то напомнило фильм по Аладдина и принцесу Будур:"Это сон про не сон.." Алексей, не там копаете. Если в самом ПП не определена область его применения, то значит в силу ФКЗ оно носит ОБЩИЙ характер. Идите "от противного". Определение области применения в самом ПП - это ОГРАНИЧЕНИЕ. Оно может быть или не быть. Но если его нет, то действует норма старшего закона.

    ОтветитьУдалить
  29. 2Сергей. Давайте вопросы о том, что авторы имели ввиду,задавать авторам. Особенно по области применения.
    Например. ФЗ-152. "Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации". В плане проверок ФСБ на 2012 г. - больше 20 больниц и иных медучреждений. Это - ГИС? Я не знаю. В плане проверок ФСТЭК проверок по ПДн вообще нет. Спросите у того, кто решает!

    ОтветитьУдалить
  30. "На то они и ученые, чтобы выражаться витиевато и до конца запутать вполне очевидные вещи"

    ОтветитьУдалить
  31. VSV:

    Я не копаю, а рассуждаю, и мои рассуждения имеют точно такое же право на жизнь, как и Ваши, до тех пор, пока наше законодательство имеет кучу неоднозначностей.

    Для того, чтобы решить, кто ближе к истине, нужно проанализировать имеющиеся ПП на предмет того, каким образом в них устанавливается область их применения, и определить, насколько п. 2 ПП-687 может являться таким ограничителем.

    Хотите - займитесь, лично скажу Вам спасибо. А до тех пор все это софистика, как моя, так и Ваша.

    ОтветитьУдалить
  32. Алексей, вот что по этому поводу пишетДоктор юридических наук,
    профессор, заслуженный юрист РФ,
    Председатель Конституционного Суда РФ В.Д. Зорькин, комментируя Статью 115 Конституции РФ (в это статье так же сказано, что Постановления и распоряжения Правительства РФ обязательны к исполнению в РФ):

    "Признавая правотворчество Правительства необходимым элементом его деятельности, Конституция устанавливает общеобязательность нормативных правовых актов Правительства. Конституцией устанавливается обязательность исполнения постановлений и распоряжений Правительства на всей территории РФ всеми субъектами РФ, государственными органами, должностными лицами, органами местного самоуправления, организациями (независимо от форм собственности), гражданами и их объединениями, иностранными гражданами и лицами без гражданства".
    (http://javoronki.narod.ru/zakon/konst/kk.htm).
    И это уже далеко не софистика.

    Да и вообще, это очень интересный комментарий. Советую почитать.

    ОтветитьУдалить
  33. Добры день совсем глупый вопрос - мне тут спустили из правительства области - приказ разработать до 01.07.2013 - нормативно правовой акт, в котором определить актульные угрозы а также меры по противодействию - я так и не понял что делать? Как должен выглядить этот документ (постановление, приказа ...?)

    ОтветитьУдалить