Компания
49,20
рейтинг
15 августа 2011 в 10:57

Разное → Новая редакция закона о ПД: нужно ли нам бояться?

В конце июля Президент подписал законопроект о внесении поправок в федеральный закон «О персональных данных». Закон этот был опубликован в "Российской газете" 27 июля, и тогда же вступил в силу. Вдобавок, ему придана еще и «обратная сила»: действие его распроостраняется и на те правоотношения, которые возникли с 1 июля. Принятию предшествовала бурная дискуссия: несколько специалистов в области информационной безопасности обратились к Президенту с открытым письмом, в котором призвали его закон ни в коем случае не подписывать. По мнению подписантов письма, предлагаемые поправки не соответствуют конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», хотя целью проекта было именно выполнение ее требований.

Та схема определения мер по защите персональных данных, которая принята сейчас, в корне противоречит конвенционной. По конвенции лицо, которое обрабатывает информацию, может само определять, с помощью каких средств можно их защищать. А вот отечественный закон сам устанавливает такие требования, предусматривая ответственность за их неисполнение. Причем, по мнению авторов письма, требования эти представляют собой «методы и способы защиты государственной тайны 20-летней давности». Сам текст законопроекта изначально имел компромиссный характер, давая оператору персональных данных большую свободу действий при выборе средств защиты. Но в процессе принятия текст его был изменен. Ну что ж, давайте посмотрим, что за поправки.

На что распространяется закон?



Не так давно мы уже разбирали этот закон в его предыдущей редакции. И самым первым моментом, на который следовало обратить внимание, была сфера его действия. К сожалению, в самом законе она была описана не совсем понятно для широких народных масс: его требования распространялись только на такую обработку данных, которая либо «совершается с использованием средств автоматизации», либо «соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации». Что это за характер такой, раскрывалось в подзаконных нормативных актах, которые, как правило, никто не читает.

Теперь текст первой статьи закона изменен, в него добавлено разъяснение, которое касается именно этого момента: обработка данных «осуществляется с использованием средств автоматизации» в том случае, если она «позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным». Как уже говорилось в предыдущей статье, закон о ПД распространяется только на массовую обработку данных. Теперь это ясно обозначено в тексте. Однако, эта дополнительная конкретика была компенсирована изменением самого понятия персональных данных. Раньше под их определение попадала «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу». Теперь к ПД относится «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Этими изменениями сфера действия закона расширяется до невообразимых пределов. Теперь персональными данными считается та информация, которая хоть как-то относится к определенному лицу, при этом не имеет значения, можно ли на ее основании установить личность, или требуется сопоставлять ее с данными из других источников.

Под регулирование закона сразу же попадают все до единого сайты в Интернете, даже те, которые не хранят имен с фамилиями. Адрес электронной почты, даже без какой-либо дополнительной информации − это уже персональные данные, поскольку он косвенно относится к определяемому физическому лицу. Как и записи в блогах, адреса Интернет-мессенджеров, и куча другой информации, вплоть до оценок в зачетной книжке. Эта неопределенность неминуемо приведет (и уже приводит) к тому, что закон толкуется «как бог на душу положит», и наказанию за нарушение порядка работы с ПД может подвергнуться любой. Так было и в период действия старой редакции закона, но изменения поспособствуют большему распространению такой практики.

Вдобавок, в четвертой статье закона расширен круг органов, которые могут принимать нормативные акты в области охраны ПД: в их число включены дополнительно Банк России и муниципальные органы. Это вполне соответствует общему курсу закона к увеличению «зарегулированности» обработки персональных данных.

Когда не нужно спрашивать согласия?



Общим условием для обработки персональных данных является получение согласия на это их субъекта (то есть, лица, к которому относятся эти данные). Закон предусматривает ряд ситуаций, когда такое согласие получать не требуется. Поправками перечень таких ситуаций был значительно расширен, поскольку старая редакция явно не отвечала современным реалиям. В список таких ситуаций добавилось, например, осуществление правосудия и исполнение судебных актов. То, что этого основания не было в законе до этого − явное упущение.

Согласия субъекта можно не спрашивать и при предоставлении государственных услуг. Кроме того, к списку таких ситуаций добавилась и такая, когда «обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных». Как вы понимаете, под «общественно значимыми целями» понимать можно довольно многое, например, сайты с разного рода «черными списками» в случае возникновения к ним претензий, скорее всего, именно на этоит пункт закона и будут ссылаться. Согласия можно не спрашивать и в том случае, если происходит обработка информации, сделанной публичной самим субъектом персональных данных. Как ни странно, такого исключения в предыдущей редакции закона не было, то есть, формально, согласие требовалось даже на обработку тех данных, которые были общедоступными.

Девятая статья закона, описывающая процедуру получения такого согласия, также подверглась существенным изменениям. В прежней редакции его можно было дать только в письменной форме, причем документ должен был содержать собственноручную подпись. Проще говоря, он должен был быть бумажным. Хотя ГК предусматривает возможность совершения сделок в письменной форме путем обмена документами, в том числе электронными, требование собственноручной подписи лишало такой возможности оператора и субьекта персональных данных. Альтернативой бумажному согласию был только документ, подписанный электронной подписью, распространенность которой в России была крайне мала.

Но сначала поменялся закон «Об электронной подписи»: в новом его варианте подписан документ может быть не только с помощью криптографического ПО, но и с помощью паролей, кодов подтверждаения, и прочих действий. Раньше они назывались аналогами собственноручной подписи, но по новому закону тоже стали «подписью».

Авторы поправок в закон о ПД пошли еще дальше и разрешили получать согласие на обработку «в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом». Закон может требовать и письменной формы, в этом случае подпись может быть и электронной. Включая и галочку «согласен» в форме регистрации сайта. Собственно, изначально никакой собственноручной подписи закон не требовал, ее необходимость была установлена внесением в него изменений. Теперь эти необдуманные изменения откатили обратно. Кроме этого, изменениям подверглась и статья 18, определяющая обязанности оператора ПД: был расширен перечень ситуаций, когда он может не уведомлять субьекта о том, что обрабатывает его персональные данные в тех случаях, когда получает их не от самого субьекта. От такого уведомления закон освобождает, например, в том случае, если обработка осуществляется для статистических или иных исследовательских целей, либо при осуществлении деятельности журналиста.

… и что же теперь изменится?



Ну, а теперь мы подошли к той самой статье (девятнадцатой), которая регулирует меры по обеспечению безопасности данных. В отличие от других статей закона, в нее поправками вообще не было внесено никаких изменений. Измененный вариант просто выбросили из законопроекта. Между тем, он также содержал в себе значительные послабления для операторов данных. В нынешнем варианте они обязаны принимать необходимые меры для защиты информации, при этом требования к обеспечению безопасности устанавливаются Правительством. Никаких исключений из этого правила не установлено. Но тот вариант статьи, который содержался в законопроекте, также предусматривал либеральные нововведения.

Те «необходимые меры», которые оператор должен принимать, были поставлены в зависимость от объема данных и характера их обработки, вреда, который может быть причинен утечкой, а также других факторов. Но самое главное − Правительство получало право определять обязательные требования по защите только для государственных и муниципальных учреждений. То, как защищают информацию все остальные организации − оставалось целиком на их совести.

Почему этот вопрос принципиален, можно легко понять, если знать, как проходит в России внедрение сертифицированных информационных систем. Хороший пример − всем известная ЕГАИС, задачей которой был контроль «за каждой бутылкой спиртного в России». С задачей этой система не справилась, но на ее внедрение уже потрачены горы денег, в основном из-за немеряной стоимости сертифицированной техники и работ по ее обслуживанию. Правда, само ПО для работы системы писалось специально для нее, а для защиты персональных данных можно будет использовать уже существующие сертифицированные программы, что позволяет надеяться на более щадящие цены.

Но аппетиты поставщиков сертифицированных компьютеров предугадать трудно: например, типичный комплект ЕГАИСовской техники для работы ликеро-водочного завода стоит 650 тысяч рублей. Именно на чрезмерные расходы ссылались и подписанты упомянутого письма к Президенту: по их оценкам, затраты на выполнение требований закона могут достигать шести процентов валового внутреннего продукта страны. А если вы думали, что основной задачей закона была реальная защита персональных данных, то вы жестоко ошиблись. Как-либо защитить от утечек он просто не способен, наоборот, содержащиеся в нем жесткие требования только усложняют получение электронных услуг.

Как мы уже писали выше, ответственность нашим законодательством установлена за несоблюдение обязательных требований по защите информации. Но в то же время, если какая-то утечка данных на самом деле произойдет, никаких санкций за это просто не предусмотрено: привлечь оператора данных можно будет только по статье 13.11 КоАП, за «нарушение установленного законом порядка» обработки данных. Статья эта не делает разницы между простым нарушением и таким, которое повлекло какой-то ущерб. Кроме того, отсутствует какая-либо ответственность за скрытие информации об утечках данных. Еще одна «ходовая» статья КоАП – 19.7, устанавливающая ответственность за «непредоставление сведений, предоставление которых предусмотрено законом». Ее применяют в тех случаях, когда оператор не уведомляет Роскомнадзор о том, что начал обработку персональных данных − такая обязанность предусмотрена статьей 22 закона о ПД. Как видите, и здесь ответственность применяется за несоблюдение формальных требований, независимо от того, причинен ли нарушением какой-либо ущерб. А вот простимулировать продажи сертифицированных компьютеров и программ закон может вполне.
Автор: @glazkova
Pravo.ru
рейтинг 49,20
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Комментарии (18)

  • +4
    «Что? Законы должны упрощать жизнь гражданам и обеспечивать их безопасность? да вы шутите!»
  • +6
    Мда. Еще раз убеждаюсь, что наши заклято-любимые правители создают Законы так, чтобы те удовлетворяли принципу: «Закон — что дышло: куда повернешь, туда и вышло». И ведь некому набить морду им за это! И ведь никто не пикнет. А пикнет — сразу 282 и срок за Экстремизм. Хорошо пристроились.
    • +5
      Думаю, тут альтернативный подход: закон пишется так, чтобы его было невозможно исполнять. Людей, которые (не по своей вине, а из-за оторванности законов от реальности) вынуждены нарушать законы, гораздо проще заставить слушаться и делать то, чего они бы не хотели делать (например — платить взятки за «нарушения»). И мне кажется, у нас многие законы в последнее время принимаются именно по такому принципу.

      И это нехорошо.
  • –2
    насрал в коммент — получил повестку в суд!
    • 0
      Согласно этому закону, как я понял, после этого можно насрать на суд. Т.е. закон применим отлько для «отжатия» денег, а для реального применения не подходит. Если я не так понял, разъясните что там с ответсвенностью за «слив» данных?
  • +3
    В нашей ситуации законы пишут так, чтобы у властей имелись эффективные и мощные рычаги воздействия как на отдельного гражданина, так и на любое юрлицо, а вовсе не для того, чтобы кого-либо из них защищать.
  • +5
    Тоесть, если я захочу сделать чятик города Мухосранск, мне придется кого-то-там уведомлять о своем существовании?
    [Ваш сайт ужасно глючит в опере]
  • +1
    Я правильно понял, что теперь КАЖДЫЙ российский сайт, где есть форма регистрации, должен уведомить органы об обработке ПД?
    • +3
      Не должен, если на сайте присутствует договор публичной оферты. Тогда можно указывать на подпункт 2 пункта 2 статьи 22 152-ФЗ:
      полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных
      • +2
        По-подробнее можно?
        • +1
          пишется разъяснение в Роскомнадзор с примерно таким текстом:

          Уведомление об обработке персональных не были представлены в уполномоченный орган по защите прав субъектов персональных данных на основании подпункта 2 пункта 2 статьи 22 Федерального закона N 152-ФЗ от 27.07.2006 г. «О персональных данных», где указывается, что «оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных на обработку персональных данных, полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных». Все персональные данные, обрабатываемые в ООО «Компания», получены в связи с заключением договора, стороной которого является субъект персональных данных. При этом персональные данные субъекта персональных данных могут быть распространены лишь являясь общедоступными, на что у него берется согласие на присвоение его персональных данных к категории общедоступных. Согласие на присвоение персональных данных субъекта персональных данных к общедоступным персональным данным является частью Пользовательского соглашения интернет-сайта www.xxx.com.

          И у Роскомнадзора будет меньше вопросов.
  • +5
    А как это будет касаться сайтов ориентированных на РФ, но находящихся за пределами РФ и принадлежащим юрлицам в другой юрисдикции?

    Можно ли всего этого избежать если регистрироваться в оффшоре и хоститься в Европе?
  • +4
    Судя по всему, все кто захочет открыт свой бизнес в Интернете будут стараться не иметь дело с Россией и всей этой бюрократией. А потом еще удивляются, почему у нас не получается сделать свою силиконовую долину. С помощью таких законов на крючке будут все.
    • +4
      Мы живем на оккупированной территории.
      Колониальные законы от колониального правительства.
      Кто есть метрополия — догадаться не трудно — там законы позволяют легко заниматься предпринимательством.
  • 0
    Но самое главное − Правительство получало право определять обязательные требования по защите только для государственных и муниципальных учреждений. То, как защищают информацию все остальные организации − оставалось целиком на их совести.

    Я не смог разобраться. Вышеуказанное было в измененный варианте статьи, который «просто выбросили из законопроекта» или это то, что теперь описывает закон?
  • +5
    Вот же дурь. Это теперь любой человек становится фактически оператором ПД. У каждого есть как минимум телефон, в котором хранятся контакты (то есть ПД). Номер телефона, e-mail, месенджер, а иногда адрес и фотография еще, это все подпадает под «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Причем все это структурировано, с возможностью поиска, получения доступа и даже, О УЖАС, возможностью передачи третьим лицам прямо в электронном виде.
    Так что, мне теперь нужно защищать эти ПД согласно этому ФЗ?! Так еще, по-хорошему, нужно согласие спрашивать, так как номер телефона/e-mail/фотография/адрес — не всегда публичная информация и передается мне лично. А иногда так даже не мне. Например общие контакты клиентов из Exchange.
  • +1
    Мда уж. Из цикла «Угадай страну по фотографии». Чем дальше, тем смешнее…
  • 0
    А что делать службам такси? Ведь они тоже являются операторами ПД, поскольку собирают данные о клиенте (телефон, адрес). Получается, им необходимо закупать сертифицированную защитную технику? Проясните, пожалуйста, если не сложно.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разное