USD 66.26 ЕВРО 75.39

ФЗ-152 – эволюция продолжается. Часть 1

Аналитика

ФЗ-152 – эволюция продолжается.

За последние полгода в сфере персональных произошел ряд изменений — это касается и законодательства, и применительной практики, — причем конца процессу не видно.Работу в области выработки отраслевых рекомендаций по линии ПДн ведут страховщики, атомщики, представительства западных компаний и другие вертикали отечественной экономики. На апрель в Госдуме запланирован очередной виток обсуждения предложений и изменений в ФЗ-152. Также планируется принятие новых рекомендаций ФСБ в части защиты персональных данных. А значит эволюция продолжается…Данный материал отражает лишь наиболее значительные события и тенденции. Что же произошло за эти полгода?

Перенесут ли ФЗ во второй раз?

Рекомендации прошедших в октябре 2009 года парламентских слушаний, посвященных реализации Федерального закона «О персональных данных» (ФЗ-152) были утверждены и именно от них начался отсчет эволюционных изменений, которые мы наблюдаем до сего момента. Хотелось бы рассмотреть ключевые изменения, которые происходят на разных уровнях и в разных ведомствах в области как защиты прав субъектов персональных данных (ПДн), так и в области защиты самих ПДн.

В области федерального законодательства, кроме уже всем известного переноса сроков по приведению в соответствие информационных систем персональных данных (ИСПДн) ничего публичного и нового практически не произошло. Кроме внутридумских «войн», в которых схлестнулись интересы разных комитетов, продвигающих свои законопроекты по внесению изменений в ФЗ-152. Также в Госдуму был внесен проект закона, предоставляющий судебным приставам широкое право доступа к персональным данным. Автором проекта выступил глава думского комитета по конституционному законодательству и госстроительству Владимир Плигин.

Гораздо более интересная активность происходила на уровнях ниже.

Деятельность Роскомнадзора

В октябре Роскомнадзор (РКН) выпустил проект административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. 1 декабря 2009 года приказом №630 Роскомнадзор утвердил его, а 28 января 2010 года Министерство Юстиции утвердило этот регламент. Предназначение документа — описать процедуру проверок операторов ПДн со стороны Роскомнадзора. Регламент во многом повторяет положения Федерального закона от 26 декабря 2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», но есть ряд очень интересных моментов. Во-первых, РКН решил расширить закрытый перечень оснований для плановой проверки, установленный федеральным законом, и добавил к нему еще 2 основания:

  • Осуществление оператором ПДн деятельности по обработке персональных данных
  • Истечение 3-х лет с момента государственной регистрации оператора ПДн.

Также расширен закрытый перечень оснований для внеплановой проверки. Теперь он пополнился двумя новыми основаниями:

  • нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их ПДн
  • нарушение операторами ПДн требований ФЗ-152 и иных нормативных правовых актов в области ПДн, а также о несоответствии сведений, содержащихся в уведомлении об обработке ПДн, фактической деятельности.

Расширение закрытого перечня оснований, указанных a федеральном законе, нормативным актом меньшей юридической силы, выпущенном федеральным органом исполнительной власти, не имеющих таких полномочий, — это определенный юридический нонсенс… но МинЮст все-таки зарегистрировал этот административный регламент и «развязал руки» РКН при осуществлении им функции по контролю исполнения операторами ПДн требований ФЗ-152.

Деятельность Генпрокуратуры

На сайте Генпрокуратуры вывешен приказ 02.10.2009 №319 «О порядке формирования ежегодного сводного плана проведения органами государственного контроля (надзора), муниципального контроля плановых проверок в отношении юридических лиц и индивидуальных предпринимателей».

Данный порядок разработан во исполнение положений Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и определяет условия, при которых вы можете попасть в план проверок, в т.ч. и по линии ПДн со стороны РКН, ФСТЭК и ФСБ. Из интересного в этом приказе следующее:

  • Прописаны основания для плановых проверок. Они повторяют то, что есть в 294-ФЗ. Расширенные основания из административного регламента РКН этому закрытому перечню противоречат.
  • При отсутствии административного регламента проверок они не будут приниматься к рассмотрению (на момент написания статьи такой регламент был только у Роскомнадзора).
  • Генпрокуратура лишний раз напоминает, что проверять можно только обязательные требования (приказ 58 ФСТЭК появился в том числе и поэтому).
  • Если несколько регуляторов хотят проверять одного оператора в течение года, то они должны осуществлять совместную проверку (а для этого нужен отдельный регламент, которого пока нет).
  • Если у юрлица есть филиалы, то проверки применяются к каждому филиалу отдельно.
  • План проверок должен быть опубликован на сайте Генпрокураторы до 31-го декабря года, предшествующему проверяемому.

Сейчас уже известны результаты сведения всех заявок от всех регуляторов в единый план. С момента, как заработал Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», прокуроры рассмотрели больше 37 тысяч обращений всевозможных контролирующих органов федерального, регионального и муниципального уровней. Все обращения касались прописанного в законе согласования на проведение выездных проверок. Прокурорами было отклонено больше 18,7 тысячи таких заявлений, что составляет чуть больше 50 процентов. Но это средняя цифра. В некоторых, точнее, в 54 прокуратурах субъектов Федерации было принято решение об отказе от 50 до 86 процентов всех заявок. Хотите узнать, попали ли вы в сводный список проверок? Тогда вам на сайт Генпрокуратуры.

Деятельность ФСТЭК

Получив на Парламентских слушаниях порцию законной критики, ФСТЭК все-таки выпустила новую версию своих требований по защите ПДн — приказ от 5.02.2010 № 58 «Об утверждении положения о методах и средствах защиты информации в ИСПДн». Он утвержден директором ФСТЭК 5 февраля 2010 года и зарегистрирован в МинЮсте 19 февраля. Чтобы не возникало путаницы с наличием 58-го приказа и «старого» четверокнижия ФСТЭК 5-го марта своим решениям отменила два из четырех прежних документов:

  • «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
  • «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.

Новые требования были переработаны – были устранения неточности, ошибки, повторы и многие другие, вызывавшие нарекания моменты. При этом были устранены и противоречащие законодательству пункты, связанные с обязательной аттестацией ИСПДн и получение каждым оператором ПДн лицензий ФСТЭК на деятельности в области технической защиты конфиденциальной информации. Теперь это не требуется. Вопрос обязательного применения сертифицированных средств защиты также стал более реалистичным и соответствующим стратегии России на изменение законодательства в области технического регулирования. Согласно тексту приказа 58 средства защиты должны проходить в установленном порядке процедуру оценки соответствия (что дословно повторяет аналогичное положение из Постановления Правительства №781). Согласно же Федеральному закону «О техническом регулировании» таких форм оценки соответствия существует три:

  • Обязательная сертификация
  • Добровольная сертификация
  • Декларация соответствия.

Теперь средства защиты могут пройти и через две новых формы оценки. Добровольная сертификация реализуется по аналогии с тем, что сделал Газпром со своей системой «Газпромсерт», а декларирование соответствия в области информационной безопасности еще ждет своих первопроходцев.

 

Алексей Лукацкий

Источник: cio-world