Перенесут ли ФЗ во второй раз?
Рекомендации прошедших в октябре 2009 года парламентских слушаний, посвященных реализации Федерального закона «О персональных данных» (ФЗ-152) были утверждены и именно от них начался отсчет эволюционных изменений, которые мы наблюдаем до сего момента. Хотелось бы рассмотреть ключевые изменения, которые происходят на разных уровнях и в разных ведомствах в области как защиты прав субъектов персональных данных (ПДн), так и в области защиты самих ПДн.
В области федерального законодательства, кроме уже всем известного переноса сроков по приведению в соответствие информационных систем персональных данных (ИСПДн) ничего публичного и нового практически не произошло. Кроме внутридумских «войн», в которых схлестнулись интересы разных комитетов, продвигающих свои законопроекты по внесению изменений в ФЗ-152. Также в Госдуму был внесен проект закона, предоставляющий судебным приставам широкое право доступа к персональным данным. Автором проекта выступил глава думского комитета по конституционному законодательству и госстроительству Владимир Плигин.
Гораздо более интересная активность происходила на уровнях ниже.
Деятельность Роскомнадзора
В октябре Роскомнадзор (РКН) выпустил проект административного регламента проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. 1 декабря 2009 года приказом №630 Роскомнадзор утвердил его, а 28 января 2010 года Министерство Юстиции утвердило этот регламент. Предназначение документа — описать процедуру проверок операторов ПДн со стороны Роскомнадзора. Регламент во многом повторяет положения Федерального закона от 26 декабря 2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», но есть ряд очень интересных моментов. Во-первых, РКН решил расширить закрытый перечень оснований для плановой проверки, установленный федеральным законом, и добавил к нему еще 2 основания:
- Осуществление оператором ПДн деятельности по обработке персональных данных
- Истечение 3-х лет с момента государственной регистрации оператора ПДн.
Также расширен закрытый перечень оснований для внеплановой проверки. Теперь он пополнился двумя новыми основаниями:
- нарушение прав и законных интересов граждан действиями (бездействием) операторов при обработке их ПДн
- нарушение операторами ПДн требований ФЗ-152 и иных нормативных правовых актов в области ПДн, а также о несоответствии сведений, содержащихся в уведомлении об обработке ПДн, фактической деятельности.
Расширение закрытого перечня оснований, указанных a федеральном законе, нормативным актом меньшей юридической силы, выпущенном федеральным органом исполнительной власти, не имеющих таких полномочий, — это определенный юридический нонсенс… но МинЮст все-таки зарегистрировал этот административный регламент и «развязал руки» РКН при осуществлении им функции по контролю исполнения операторами ПДн требований ФЗ-152.
Деятельность Генпрокуратуры
На сайте Генпрокуратуры вывешен приказ 02.10.2009 №319 «О порядке формирования ежегодного сводного плана проведения органами государственного контроля (надзора), муниципального контроля плановых проверок в отношении юридических лиц и индивидуальных предпринимателей».
Данный порядок разработан во исполнение положений Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и определяет условия, при которых вы можете попасть в план проверок, в т.ч. и по линии ПДн со стороны РКН, ФСТЭК и ФСБ. Из интересного в этом приказе следующее:
- Прописаны основания для плановых проверок. Они повторяют то, что есть в 294-ФЗ. Расширенные основания из административного регламента РКН этому закрытому перечню противоречат.
- При отсутствии административного регламента проверок они не будут приниматься к рассмотрению (на момент написания статьи такой регламент был только у Роскомнадзора).
- Генпрокуратура лишний раз напоминает, что проверять можно только обязательные требования (приказ 58 ФСТЭК появился в том числе и поэтому).
- Если несколько регуляторов хотят проверять одного оператора в течение года, то они должны осуществлять совместную проверку (а для этого нужен отдельный регламент, которого пока нет).
- Если у юрлица есть филиалы, то проверки применяются к каждому филиалу отдельно.
- План проверок должен быть опубликован на сайте Генпрокураторы до 31-го декабря года, предшествующему проверяемому.
Сейчас уже известны результаты сведения всех заявок от всех регуляторов в единый план. С момента, как заработал Федеральный закон «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», прокуроры рассмотрели больше 37 тысяч обращений всевозможных контролирующих органов федерального, регионального и муниципального уровней. Все обращения касались прописанного в законе согласования на проведение выездных проверок. Прокурорами было отклонено больше 18,7 тысячи таких заявлений, что составляет чуть больше 50 процентов. Но это средняя цифра. В некоторых, точнее, в 54 прокуратурах субъектов Федерации было принято решение об отказе от 50 до 86 процентов всех заявок. Хотите узнать, попали ли вы в сводный список проверок? Тогда вам на сайт Генпрокуратуры.
Деятельность ФСТЭК
Получив на Парламентских слушаниях порцию законной критики, ФСТЭК все-таки выпустила новую версию своих требований по защите ПДн — приказ от 5.02.2010 № 58 «Об утверждении положения о методах и средствах защиты информации в ИСПДн». Он утвержден директором ФСТЭК 5 февраля 2010 года и зарегистрирован в МинЮсте 19 февраля. Чтобы не возникало путаницы с наличием 58-го приказа и «старого» четверокнижия ФСТЭК 5-го марта своим решениям отменила два из четырех прежних документов:
- «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
- «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденные заместителем директора ФСТЭК России 15 февраля 2008 г.
Новые требования были переработаны – были устранения неточности, ошибки, повторы и многие другие, вызывавшие нарекания моменты. При этом были устранены и противоречащие законодательству пункты, связанные с обязательной аттестацией ИСПДн и получение каждым оператором ПДн лицензий ФСТЭК на деятельности в области технической защиты конфиденциальной информации. Теперь это не требуется. Вопрос обязательного применения сертифицированных средств защиты также стал более реалистичным и соответствующим стратегии России на изменение законодательства в области технического регулирования. Согласно тексту приказа 58 средства защиты должны проходить в установленном порядке процедуру оценки соответствия (что дословно повторяет аналогичное положение из Постановления Правительства №781). Согласно же Федеральному закону «О техническом регулировании» таких форм оценки соответствия существует три:
- Обязательная сертификация
- Добровольная сертификация
- Декларация соответствия.
Теперь средства защиты могут пройти и через две новых формы оценки. Добровольная сертификация реализуется по аналогии с тем, что сделал Газпром со своей системой «Газпромсерт», а декларирование соответствия в области информационной безопасности еще ждет своих первопроходцев.
Алексей Лукацкий
Источник: cio-world