С Новым 2022 годом!
Уважаемые
коллеги!
С
наступающим вас новым 2022 годом!
Пусть
этот год будет годом, открытым для всего мира, легким и свободным!
Новых
вам интересных проектов, удовлетворения от сделанного, достойного
вознаграждения за труды и крепкого здоровья, исполнения желаний!
Мира и спокойствия вашим домам, понимания и поддержки окружающих, тепла и уюта!
С 15 октября на всех линиях и станциях московского метро заработал сервис Face Pay. Он позволит пассажирам оплачивать проезд при помощи системы распознавания лица, нужно лишь посмотреть в камеру на турникете, - сообщил официальный сайт Мэра Москвы.
Антон Нехаенко на портале
Banki.ru достаточно подробно разобрал тему внедрения системы
оплаты проезда «лицом» Face Pay и возможные последствия ее использования, в комментировании которой я также поучаствовал,
но посчитал нужным более детально разъяснить свою позицию в личном блоге,
поскольку проблема касается буквально каждого из нас и связана с большим
количеством, мягко скажем, «недоговоренностей», возникших при внедрении
системы.
О целях внедрения системы Face Pay. В ответах на вопросы
о системе начальник службы платёжных сервисов Московского метрополитена, на первое место
ставит транспортную безопасность, поиск преступников, а не удобство прохода для
пассажиров.
Именно для этой цели установили первые камеры, которые теперь приспособили для
оплаты, что несколько странно в такой ситуации.
О том, какие данные о пассажире собирает система и об их
защите.
На сайте mos.ru, в анонсе новой
системы оплаты, указывается, что для ее использования нужно привязать
банковскую карту со средствами для оплаты проезда и карту «Тройка» к сервису
через приложение «Метро Москвы», но скромно умалчивается о необходимости передать
в систему через это приложение еще и изображение лица владельца карты. Стоит
обратить внимание на то, что нет ни слова о том, как защищается передаваемая
приложением информация, в частности, о средстве платежа и биометрических данных,
где и как она будет храниться, кто является в отношении нее оператором
персональных данных и несет ответственность за возможные инциденты с
персональными данными. Ничего не сообщается о величине допустимых ошибок
первого и второго рода (отказать в проходе владельцу или пропустить похожее на
него лицо).
Особенно удивляет такая
информация в комментариях Департамента транспорта: «Система не способна
«связать» фотографию человека с его личностью — у неё просто нет данных для
этого: в личном кабинете пассажир привязывает только банковскую карту, номер
телефона и «Тройку»». Но ведь банковская карта привязана к конкретному
владельцу и к его лицу при его распознавании, иначе и быть не может.
О роли турникета метро в обработке персональных данных. В Департаменте
транспорта Москвы рассказали о том, что «вся информация будет надежно
зашифрована, камера на турникете считывает биометрический ключ, а не
изображение лица или другие персональные данные». Веб-камера не может считывать
«биометрический ключ», она может только зафиксировать изображение лица, которое
затем надо преобразовать в «биометрический ключ», точнее – в математический
шаблон, который и будет сверяться в базе данных с другими шаблонами. Опровержение
этого алгоритма содержится в той же публикации: «Когда человек подходит к
турникету, камера на нём делает несколько снимков. Лучший кадр по освещённости,
положению головы, открытости лица и многим другим параметрам переводится в
биометрический вектор, сравнивается с точками в базе». Сложно представить, что
такое преобразование выполняется на каждом турникете станций метро, а не
передается для обработки на серверы.
Относительно шифрования, используемого для защиты
персональных данных.
Утверждается, что шаблоны изображений лиц на сервере, которые есть «в каждом
вестибюле», зашифрованы. Тогда вопрос: для распознавания по каждому пассажиру шаблоны
расшифровываются, или шифруется шаблон и сравнивается с зашифрованными же образами?
Как происходит обновление данных на каждом из серверов, какие используются
протоколы и алгоритмы шифрования? Все эти вопросы покрыты мраком и даже не
обсуждаются. Я уже не говорю про межсетевые экраны, системы обнаружения компьютерных
атак и обо всем остальном, что должно быть в любой информационной системе
персональных данных и, в соответствии со статьей 18.1 Закона о персональных
данных, указываться в политике оператора, размещаемой для неограниченного
доступа.
О создании маршрута передвижения пассажира и необходимой
для этого информации.
Департамент транспорта сообщает: «Посмотреть историю своих маршрутов может
только сам пассажир — в личном кабинете, пароль от которого знает только он
(при этом вход защищён двухфакторной аутентификацией)». Это значит, что лицо пассажира
фиксируется и при выходе со станции, иначе будет невозможно отследить маршрут.
Вопрос – зачем и как это связано с оплатой «по лицу» и не является ли
распознавание лица пассажира на выходе из метро избыточным для целей оплаты
проезда в метро? И, конечно же, ко всему, что лежит в базах данных о
передвижениях пассажиров, включая личные кабинеты, имеют доступ администраторы
системы.
О технических сбоях системы и «перепутанных» пассажирах. Сообщается, что, если
вдруг произойдёт технический сбой и одного пассажира перепутают с другим, он
может написать об этом чат-боту Александре, и в течение трёх дней деньги за поездку
вернутся. И как тогда будут разрешаться конфликты? Желающих отказаться от
поездки и сэкономить найдется достаточно много и всем вернут деньги?
Face Pay и не «привязанные» к ней пассажиры. Ну и вишенка на
торте: «Face Pay распознаёт только тех, кто зарегистрировался в системе — на
остальных пассажиров камера не реагирует: ей просто не с чем сравнивать» Что значит
– не реагирует? Умная камера заранее знает, кого снимать, а кого нет? И по базе
данных не прогоняются шаблоны лица всех проходящих через турникет? Этого просто
не может быть, такая система работать не сможет.
О согласии пассажиров на обработку их биометрических
персональных данных.
Мне не удалось найти в мобильном приложении интерфейса для использования Face
Pay, текст согласия на обработку биометрических персональных
данных (а оно, согласно Закону о персональных данных, должно быть дано в
письменной форме и соответствовать по содержанию требованиям законодательства).
Текст согласия есть на сайте
метрополитена, но закону он совсем не соответствует, оно анонимное, без
паспортных данных, адресов субъекта и оператора. Целью обработки биометрических
данных, помимо оплаты проезда, указано получение «иных услуг», каких – не
сообщается (что тоже не законно), а вот про поиск преступников и обработке с этой
целью данных пассажиров в согласии нет ни слова. Согласие дается ГУП
«Московский метрополитен», а также организациям, подведомственным Департаменту
транспорта и развития дорожно-транспортной инфраструктуры города Москвы и иным
лицам, обеспечивающим достижение целей обработки изображения, указанным в
пункте 4 настоящего согласия.
Что это за организации,
какие у них цели, и что они делают с персональными данными пассажиров? Если исполняют
получение обработки, полученное от метрополитена, то эти лица должны быть
поименованы с указанием их адреса – это требования Закона о персональных данных.
Если решают иные задачи, не связанные с поручением, хотелось бы знать, какие
именно, иначе согласие не отвечает требованиям конкретности, информированности и
сознательности.
Указано, что согласие
действует со дня его выдачи, в том числе в форме электронного документа,
подписанного простой электронной подписью, но о том, как его подписать
электронной подписью и какой, не сообщается.
Между тем, штраф за
согласие, оформленное с нарушением установленных законом требований к составу
сведений, включаемых в согласие субъекта в письменной форме, влечет административную
ответственность в размере до 150 тысяч рублей по каждому случаю нарушения. Но ГУП
«Московский метрополитен», похоже, это совсем не пугает. Интересно, почему?
Действительная цель создания системы оправдывает средства?
О скорости оплаты проезда «лицом». Большие сомнения
вызывает и декларируемая высокая скорость оплаты проезда. Заммэра Максим Ликсутов
оптимистично оценивает количество пользователей системы в 10-15 процентов всех
пользующихся метро пассажиров. Сам метрополитен оценивал ежедневный пассажиропоток в 2019
году более, чем в 7 миллионов человек. Предположим, что пассажир в среднем
совершает в день две поездки, это значит в базе должно быть не менее 350 тысяч
шаблонов изображений лица. Прогнать шаблон фото через 350 тысяч образов быстрее,
чем считать данные с «Тройки» и записать на нее? Не верится...
В целом, предлагаемая
система пока гораздо больше похожа на систему контроля, а не оплаты. Так может
об этом честно заявить и сделать ее соответствующей закону?
И самое главное - что должен делать пассажир,
биометрические данные которого скомпрометированы? Отсутствие во всех
подобных внедряемых системах биометрической идентификации и аутентификации,
начиная с Единой биометрической системы, сведений о том, что должен делать
пользователь, биометрические данные которого скомпрометированы и как ему после
этого жить дальше, а также отсутствие процедур разрешения конфликтов при
оспаривании транзакций делают риски использования таких систем вообще
неприемлемыми.
Использование данной
системы для оплаты проезда в метрополитене я считаю крайне рискованным для
граждан и ни в коем случае не рекомендую ею пользоваться.
В понедельник-вторник 17 и 18 мая буду вести обновленный курс КП32 "Защита персональных данных" в формате онлайн на площадке Учебного центра "Информзащита".
В программе:
новые редакции ст.13.11
КоАП,
практика по частям 8 и
9,
правоприменение статьи
13.11 в последнее время,
согласие на распространение
персональных данных,
изменения, связанные с
расширением сферы применения Единой биометрической системы,
судебные прецеденты и
результаты проверок последних лет.
Вопросы и обсуждения
приветствуются.
Запись в Учебном
центре "Информзащита".
Сегодня, 8 апреля, исполняется
ровно 10 лет с того дня, когда наше Консалтинговое агентство «Емельянников,
Попова и партнеры» было зарегистрировано как юридическое лицо и вышло на рынок.
Срок вроде бы и не
большой, но сколько всего поменялось на рынке за это время! Принимались и
изменялись законы и подзаконные акты, появлялись новые трактовки положений,
казавшихся очевидными, суды принимали решения, переворачивавшие сложившееся
понимание законодательства, вводились новые требования и новые ограничения, и
мы вместе с нашими заказчиками лавировали в этом меняющемся, бушующем мире.
Наша цель была всегда одна – обеспечить выполнение закона и не просто не дать
загнуться бизнесу, порою очень плохо понимавшему, что хочет от него государство
и его законодатели, но и обеспечить использование самых передовых
информационных технологий, позволяющих оставаться конкурентоспособными, и не
только в России, но и в мире.
За эти 10 лет в области
нормативного регулирования сферы персональных данных произошли значительные изменения.
Вскоре после начала работы нашего агентства, 25 июля 2011 года, Федеральным
законом № 261 (помните поменявшийся радикально за две ночи закон Резника-Плигина-Московца?)
была введена в действие фактически новая редакция закона о персональных данных.
Сколько всего правильного в основном было написано блогерами, которые как
никогда были популярны и читаемы в то время, специалистами и заинтересованными
участниками рынка (одно обращение Г.А. Тосуняна к президенту страны чего
стоило), сколько копий сломано (зря, как правило). Обсуждение 261-ФЗ стало
самым, наверное, активным действием профессионального сообщества, пытавшегося
повлиять на регуляторику в области безопасности, существенно затрагивающую
интересы бизнеса. «Не шмогли» … Но и катастрофы, которой боялись, не произошло
ввиду неизменного российского правила исполнения строгих законов.
В 2015 году заработало
требование о локализации персональных данных во время их сбора, вызвавшее
оторопь у российских дочек международных и иностранных компаний, активно
использовавших зарубежные системы материнских компаний, первых,
немногочисленных тогда пользователей облаков и SaaS систем. Пережили и это.
Посмотрите статистику проверок 2016-2020 годов – про нарушения, связанные с локализацией,
там почти ни слова. Все больше про войну с LinkedIn, Twitter
и Facebook.
Вот и сейчас озадаченные
владельцы сайтов не могут понять, как на них теперь разместить персональные
данные, получить согласие субъектов и их представителей на распространение,
указать условия и ограничения обработки и перечни, в отношении которых эти
ограничения вводятся. Пережили былое, переживем и это… Ищем и найдем
решения.
Наш мир становится все
более цифровым. На горизонте – цифровой профиль, новые реестры, которые знают
про нас все больше и больше, проникающая в нашу жизнь, как вода в одежду во
время ливня, биометрия, которые не все и не очень-то ждут. Интернет вещей с WiFi
в каждом
утюге и холодильнике. СИМ-карты в шлагбауме, подписывающиеся на новостные
рассылки. Скучно в ближайшем будущем не будет точно.
Начав работать 10 лет
назад, мы довольно скоро и сознательно сузили свою нишу на рынке. Мы решили
отказаться от многих возможных направлений, в которых выполняли весьма успешные
проекты, и сосредоточиться на двух – на персональных данных и тайнах
(коммерческой, банковской, связи, врачебной и прочих, кроме государственной).
Это позволило нам наработать экспертизу того уровня, благодаря которому мы
стали консультантами крупнейших мировых ИТ-вендоров, помогая им и их заказчикам
соблюдать требования российского законодательства, мировых и российских лидеров
в самых разных направлениях экономики – госкорпораций, системообразующих банков
страховых компаний, телеком-операторов, интернет-компаний и производителей
средств защиты информации, предприятий промышленности, энергетики, фармацевтики,
FGCG, медицинских организаций, служб по подбору персонала из
разных стран и многих, многих других. Они именно пришли к нам – за все 10 лет
мы не истратили на маркетинг ни копейки.
Мы –партнеры крупнейших
юридических компаний, выполняем совместные с ними сложные проекты, требующие
понимания не только законодательства России, но и глубокого вникания в суть
бизнеса.
Мы искренне стремились
выполнить и нашу социальную миссию, в рамках который были проекты в
благотворительных фондах для особенных детей, и множество просветительских и образовательных
проектов.
Но среди наших
заказчиков – не только компании из enterprise сегмента. Это и
стартапы, работа с которыми не самая прибыльная, но, как правило –
необыкновенно интересная, поскольку готовых решений как выполнить закон для
абсолютно новой идеи, нормативно не урегулированной и не имевшей ранее
прецедентов, конечно, нет, а вот необходимость вывода бизнеса, и не в серый, а
в белый сегмент – есть.
Мы активно занимались
образовательными проектами – курсами, семинарами, вебинарами. За 10 лет обучены
тысячи специалистов, и с каждым годом доля специалистов по информационной
безопасности среди них все меньше и меньше. Наши слушатели – руководители,
первые лица организаций, юристы, в том числе находящиеся на очень высоких
позициях и работающие в юридических компаниях, кадровики, айтишники и многие
другие. Все эти 10 лет мы работаем с нашими главными партнерами по направлению
образования – Учебным центром «Информзащита» и «БизнесШколаКонсультант».
Нам есть чем гордиться.
Придуманы и реализованы новые формы и форматы консультационных услуг,
подготовлено множество экспертных заключений, в том числе выложенных для
свободного доступа, которые читали и использовали тысячи специалистов.
На наш блог, который, к сожалению, не удается обновлять постами так часто, как хотелось бы, тем не менее приходят ежедневно сотни и тысячи читателей. И мы не собираемся останавливаться. До новых встреч!
24 февраля подписан Федеральный закон № 19-ФЗ, которым в КоАП РФ вводятся новые виды административных нарушений, связанных с использованием и обеспечением безопасности сети Интернет, ресурсов и сервисов сети, а также устанавливается ответственность за них.
В лучших традициях последних лет в
тексте законопроекта для второго чтения появились дополнения и изменения в статью
13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области
персональных данных», которые приняты и вступают в силу с 27 марта 2021 года.
Если коротко, срок привлечения к
ответственности за нарушения законодательства о персональных данных (ст.4.5
КоАП) увеличивается с 3 месяцев до 1 года, что, учитывая обычный срок
подготовки акта проверки и предписания территориальными управлениями
Роскомнадзора (от 1 до 2 месяцев), является весьма значимым изменением,
увеличивающим риск наложения штрафов на операторов по результатам проверок.
Размер штрафов по большинству составов
нарушений, предусмотренных статьей 13.11, вырос в два раза, появились наказания
и довольно суровые за повторное нарушение по ряду оснований.
Более подробно новые штрафы указаны в
таблице ниже.
|
Часть ст.13.11 |
Нарушение |
Размер штрафа, тыс. рублей |
|
|
Должн. лица |
Юрлица |
||
|
1 |
Незаконная обработка (в случаях, не
предусмотренных законодательством) |
10 - 20 |
60 -100 |
|
1.1 |
Повторное нарушение по основаниям
части 1 |
20 - 50 |
100 – 300 |
|
2 |
Несоответствие (отсутствие) согласия на
обработку в письменной форме |
20 - 40 |
30 – 150 |
|
2.1 |
Повторное нарушение по основаниям
части 2 |
40 - 100 |
300 – 500 |
|
3 |
Отсутствие неограниченного доступа к политике
в отношении обработки персональных данных |
6 – 12 |
30 – 60 |
|
4 |
Непредоставление информации субъекту |
8 – 12 |
40 – 80 |
|
5 |
Невыполнение требований об уточнении,
блокировании и уничтожении |
8 – 20 |
50 – 90 |
|
5.1 |
Повторное нарушение по основаниям
части 5 |
30 – 50 |
300 – 500 |
|
6 |
Нарушение требований безопасности при
обработке без средств автоматизации |
8 – 20 |
50 – 100 |
|
7 |
Нарушение правил обезличивания |
6 - 12 |
– |
Про штрафы для физических лиц и
индивидуальных предпринимателей не пишу для краткости, они тоже выросли,
желающие могут посмотреть в тексте закона.
Но ответственности за утечку
персональных данных, от которой как раз и страдают субъекты и о которой столько
разговоров было после катастрофического, с точки зрения атак на субъектов, 2020
года, так и не появилось. Для организации таких атак как раз и использовались
данные, полученные в результате утечек. Но если звезды зажигают, значит это
кому-то нужно…
Об этих и других изменениях, которые
произошли для операторов и субъектов персональных данных в 2021 году, мы подробно
поговорим на вебинаре в Учебном центре «Информзащита» 17 марта.
Среди горячих тем, которые будут
обсуждаться, – «загадочные» персональные
данные, разрешенные субъектом персональных данных для распространения, но с
условиями и ограничениями (кстати, сегодня, 1 марта – день вступления изменений,
внесенных Федеральным законом от 30.12.2020 № 519-ФЗ в силу, а приказ
Роскомнадзора о форме согласия на распространение персональных данных так и не
подписан?), существенное расширение сферы применения единой биометрической
системы и контроль государства над любыми системами биометрической идентификации,
электронный нотариат и электронные трудовые книжки, новые правила дистанционной
(удаленной) работы. И, конечно же, практика применения Правил государственного контроля
и надзора (Постановление Правительства РФ № 146 2019 года) и статьи 13.11 КоАП,
включая часть 8 (часть 9 пока не применялась).
Так что приходите, будет интересно: 4
часа обсуждения нововведений в законодательстве, как показала репетиция
вебинара с нашими заказчиками абонентского обслуживания, пролетят незаметно.
Вопрос, вынесенный в заголовок, выглядит странным. И ответ на него, вроде бы, очевиден – конечно, да. Но подписанный 30 декабря президентом Федеральный закон № 519-ФЗ внес сумятицу в умы специалистов, споры о его содержании идут третью неделю, массу вопросов задали заказчики и коллеги мне, поэтому пора, наверное, высказать и свою точку зрения.
Итак, что поменял закон.
Серьезных изменений в
законе «О персональных данных» на самом деле всего два.
(1) Появилось
принципиально новое понятие «персональные данные, разрешенные субъектом
персональных данных для распространения».
(2) Исключено из закона такое основание для обработки
персональных данных без согласия субъекта, как случаи, когда доступ
неограниченного круга лиц к персональным данным предоставлен субъектом либо по
его просьбе.
При этом изменения в закон, несмотря на их кардинальную
переработку ко второму чтению, подготовлены крайне неряшливо и непродуманно,
так что аукаться новая редакция будет очень долго и очень болезненно. Более
того, забегая вперед, выскажу свою точку зрения на последствия этого закона:
применяться новые положения будут исключительно точечно и избирательно,
поскольку их массовое применение породит полную сумятицу и хаос.
Итак. Проблема номер один. Как теперь указано в пункте 1.1
статьи 3 закона 152-ФЗ «О персональных данных», согласие дается только на
распространение персональных данных, доступ неограниченного круга лиц к которым
предоставлен субъектом персональных данных, то есть на действия, направленные
на раскрытие персональных данных неопределенному кругу лиц. Данные, которые
субъект разместил, например, в своем профиле в социальной сети или на сайте
объявлений, не могут затем размещаться без его согласия на других ресурсах в
сети Интернет. Напомню, что распространение является всего лишь одним из 18
способов обработки, указанных в пункте 3 статьи 3 закона.
Но в части 2 новой статьи 10.1 закона ограничения внезапно
начинают распространяться на любую обработку персональных данных, раскрытых
неопределенному кругу лиц самим субъектом: «обязанность предоставить
доказательства законности последующего распространения или иной
обработки таких персональных данных лежит на каждом лице, осуществившем их
распространение или иную обработку». Не забываем, что одним из способов
обработки является, например, доступ, и доводим ситуацию до логичного абсурда:
доказывать, что законно прочитал что-то в посте социальной сети должен каждый
читатель (а чтение публикации и есть доступ). Правда, в части 9 этой же статьи возможность
доступа оговаривается отдельно, но эта норма касается оператора,
предоставившего доступ, а не лица, его получившего. И вообще, при чем здесь
иное использование, в то время как нововведения касаются исключительно
распространения?
Дальше – больше. Части 5 и 9 статьи 10.1 предусматривают возможность
установления субъектом запретов и условий на обработку персональных данных, а
также категорий и перечней персональных данных, для обработки которых эти
условия и запреты устанавливаются. Более того, если из согласия субъекта на
распространение не следует, что субъект не установил запреты и условия или
не определил категории, в отношении которых они установлены, оператор,
получивший данные от субъекта и согласие на их распространение (видимо, криво
составленное субъектом), должен их обрабатывать (внимание!) без передачи,
распространения, предоставления и доступа неограниченному кругу лиц. Еще раз.
Согласие было дано, как следует из статьи 10.1, на распространение, но их
распространение является противоправным, потому что из согласия такая
возможность не следует.
Новые положения вступают в явное противоречие с положениями
более высокоуровневого закона – Гражданского кодекса, часть 1 статьи 152.2 которого
прямо говорит, что запрет на сбор, хранение, распространение и использование
любой информации о частной жизни без согласия гражданина не распространяется на
случаи, когда информация о частной жизни гражданина ранее стала общедоступной
либо была раскрыта самим гражданином или по его воле. А вот
недействительность запрета на обработку в государственных, общественных или
иных публичных интересах почему-то из Гражданского кодекса продублирована в
части 11 статьи 10.1 закона. Очень напоминает известную миниатюру «здесь
играем, здесь не играем, а это пятно, потому что я рыбу заворачивал».
При этом в законе о персональных данных по-прежнему
содержатся основания для размещения персональных данных в общедоступных
источниках без согласия субъекта – обработка персональных данных для достижения
целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством
на оператора функций, полномочий и обязанностей, для исполнения договора,
стороной которого является субъект персональных данных, обработка данных,
подлежащих опубликованию или обязательному раскрытию в соответствии с
федеральным законом. В этих случаях и потребовать прекращения обработки не
получится.
Ничего не поменялось и в статье 8 об общедоступных
источниках, она по-прежнему пахнет нафталином прошловековой давности («…могут
создаваться общедоступные источники персональных данных (в том числе справочники,
адресные книги)…») и ничего не знает про ресурсы в сети интернет вообще и
социальные сети в частности.
Впереди нас ждет много интересного – форма согласия на обработку
персональных данных, разрешенных субъектом персональных данных для
распространения, которая, как хочется надеяться, не будет содержать паспортных
данных субъекта и его адреса; создание очередного реестра Роскомнадзора, в
котором будут согласия субъектов на распространение их данных, а на самом деле
– на обработку с указанием перечня персональных данных по каждой из категорий
(еще бы знать, что это – специальные, биометрические, или законодатель имел
ввиду что-то совсем другое?). Я так полагаю, что реестр должен быть общедоступным,
иначе откуда пользователи будут знать, что можно, а что нельзя делать с данными
из перечня по каждой из категорий?
Очень хочется знать, как на практике будет реализовываться
требование прекратить передачу (распространение, предоставление, доступ) своих
персональных данных, ранее разрешенных субъектом персональных данных для
распространения, к любому лицу, обрабатывающему персональные данные, если к
данным уже получил доступ неопределенный круг лиц.
Радует, конечно, что все эти запреты и ограничения не
распространяются на выполнение функций, полномочий и обязанностей, возложенных
законодательством Российской Федерации на федеральные органы исполнительной власти,
органы исполнительной власти субъектов Российской Федерации, органы местного
самоуправления. И это при том, что практически в то же время, когда был принят
закон, 23 декабря прошлого уже года, подписано Постановление
Правительства РФ № 2249, в соответствии с которым гражданам дано право предоставлять
и отзывать согласие на обработку своих персональных данных в случаях
предоставления органам и организациям, подключенным к единой системе
идентификации и аутентификации (ЕСИА), доступа к информации о физическом лице,
согласия на совершение иных действий, в том числе юридически значимых, с
использованием государственных, муниципальных и иных информационных систем, а
также хранение самих согласий. Но это уже совсем другая песня.
