26.12.13

Персональные данные: что было, что есть, что будет

Календарный год почти на исходе, можно подвести и некоторые итоги нормотворческой деятельности, посвященной теме персональных данных. Так уж получилось, что эта тема невольно стала в этом блоге одной из основных, заняв второе место после темы законодательства. Ну а так как я непосредственно был вовлечен в ряд нормотворческих инициатив, то эта заметка станет некоторым подведением годовых итогов.

Начнем с известных фактов, о которых я писал по мере возможности:
  1. Проект Постановления Правительства по наделению РКН новыми полномочиями в части надзора (контроля) в области ПДн подвис и о его судьбе больше ничего не известно.
  2. Законопроект Аксакова 108693-6 "О внесении изменений в статью 857 части второй Гражданского кодекса Российской Федерации, статью 26 Федерального закона "О банках и банковской деятельности" и Федеральный закон "О персональных данных" (в части смягчения режима банковской тайны) до первого чтения в Госдуме пока так и не добрался и, несмотря на прошедший ноябрь, дальнейшие шаги по нему так и не определены.
  3. Утверждение 21-го приказа ФСТЭК с мерами по защите персональных данных.
  4. Проект Указания Банка России "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных" также находится в подешенном состоянии, что связано на мой взгляд с серьезной пертурбацией в руководстве ЦБ и ключевых департаментов.
  5. Утверждение приказа Роскомнадзора "Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных".
  6. Принятие закона "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" и Федерального закона "О персональных данных".
  7. Принятие закона "О внесении изменений в подраздел 3 раздела I части первой Гражданского кодекса Российской Федерации".
  8. Публикация разъяснения ФСТЭК по применению 17-го и 21-го приказов.
  9. Внесение бывшим кандидатом в мэры Москвы Дегтярева в Госдуму с последующим отзывом законопроекта о контроле ПДн в соцсетях.
  10. Публикация разъяснения Роскомнадзора по биометрическим ПДн.
  11. Утверждение приказа Роскомнадзора от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных".
  12. Публикация проекта приказа ФСБ "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
  13. Законопроект "О внесении изменения в статью 10 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля".
  14. Публикация проекта методического документа ФСТЭК, разъясняющего меры в 17-м и 21-м приказах.
  15. Публикация методических рекомендаций по исполнению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».
И вот последний штрих - во вторник в Госдуму был внесен еще один законопроект - №416052-6 "О внесении изменений в Федеральный закон "О персональных данных" и статью 28.3 Кодекса Российской Федерации об административных правонарушениях". Это результат работы рабочей группы при Совете Федерации, в которую входил и я. Я не буду подробно рассматривать этот законопроект - мой взгляд будет слишком субъективным :-) Но Сергей Борисов уже вкратце пробежался по ключевым изменениям; думаю скоро и коллеги подтянутся. Если этот законопроект примут, то он снимет многие разногласия, возникающие при толковании отдельных норм ФЗ-152.

Из того, что планируется и что я не упомянул выше:
  1. Законопроект по внесению изменений в КоАП в части увеличения штрафов за нарушение отдельных требований ФЗ-152. Существует два законопроекта с разными составами правонарушений и разными суммами максимальных штрафов - от 300 до 700 тысяч рублей.
  2. Законопроект по внесению изменений в ФЗ "О лицензировании отдельных видов деятельности" в части четкого определения, в каких случаях нужна лицензия ФСТЭК на ТЗКИ
  3. Законопроект об административной ответственности за несообщение об инциденте с ПДн.
  4. Законопроект об административной ответственности за отказ продавца в предоставлении товара или услуги при отсутствии согласия субъекта ПДн.
  5. Законопроект о внесении в ФЗ-152 понятия "минимальный набор персональных данных".
  6. Законопроект о внесении в ФЗ-152 понятия конклюдентного согласия.
  7. Принятие новой Евроконвенции и Евродирективы по защите прав субъектов ПДн. За ней должна в теории последовать и гармонизация ФЗ-152, но так далеко у нас пока на забегали.
В мае я писал, что 2013-й год будет очень насыщенным по части персональных данных. Так и получилось. И хотя я прекрасно понимаю, что это законодательство всех уже достало и большого успеха на поприще защиты прав субъектов оно не имело, все-таки сбрасывать со счетов его нельзя.

Я бы взглянул на него немного с другой позиции. Представьте, что доводы, приведенные в статье KermlinRussia, верны и в России скоро будет ощущаться острая нехватка денег. Откуда их можно взять? Вариантов не так уж и много. Взять можно в долг у МВФ (но фиг дадут). Можно потребовать возврата долгов, но если кризис везде, то денег никто не вернет. Можно поднять цены на газ, но покупать его тогда не станут в тех объемах, которые покроют дыру в бюджете. Можно попросить у граждан, что мы и видим на примере пенсионной реформы, установке лимитов на Интернет-торговлю и т.п. Но и тут есть пределы. Наконец, можно взять у бизнеса. И мы опять видим, что последние законодательные инициативы направлены на это. И законодательство по персональным данным очень хорошо ложится именно в последнюю схему. Закон касается ВСЕХ, штрафы поднимут, регулятор начнет активнее их взимать в пользу государства. Ни о какой защите прав субъекта никто и не думает, в отличие от наполнения бюджета. А в такой ситуации о ФЗ-152 может быть и стоит задуматься...

4 коммент.:

Алексей Т. комментирует...

Красивая мысль, но даже штрафы в миллион не спасут. Да и если денег нет у государства, то их и в частных компаниях не будет (или платить не будут)... А кремлину верю, давно к этому идём )))

Алексей Т. комментирует...

Красивая мысль, но даже штрафы в миллион не спасут. Да и если денег нет у государства, то их и в частных компаниях не будет (или платить не будут)... А кремлину верю, давно к этому идём )))

Artem комментирует...

Добрый день. В начале года совместно с ассоциацией RISSPA проводился вебинар, по вопросу нового на тот момент приказа ФСТЭК. В ходе данного вебинара вы (Алексей Лукацкий) говорили о том, что регулятором ведется разработка методики моделирования угроз, которая будет обязательной для гос. органов и рекомендательной для коммерческих организаций.
Вы случайно не в курсе, что-нибудь известно о судьбе данного документа?

Алексей Лукацкий комментирует...

Artem, документ практически готов. Думаю, что в первой половине 2014-го года он будет принят.