четверг, 16 июня 2011 г.

Карнавала не будет


Дорогие читатели, зашедшие по прямой ссылке! К сожалению, все, что здесь написано, уже имеет историческую ценность. Причины указаны здесь и здесь. Однако у нас есть шанс это исправить! Хотите знать как? Посетите эту страницу!

Итак, передо мной будущий закон "О персональных данных". Выгруженная из Консультанта старая редакция с отмеченными карандашом исправлениями. Труд пары часов. Зря или нет - давайте поглядим. Предупреждаю читателей - это всего лишь беглый взгляд на то, что лежит на поверхности, не претендующий на глубинные изыскания: все они еще впереди.

Первое, что сразу бросается в глаза - объяснение того, как закон распространяется на обработку без использования средств автоматизации (п.1 ч. 1 ст. 1): теперь это выражение означает, что закон применим в случае, если на ПДн, содержащиеся на материальном носителе, в картотеках или "иных систематизированных собраниях" можно найти "в соответствии с заданным алгоритмом" ИЛИ получить к ним доступ. Вдумавшись в эту фразу, мы придем к выводу, что она означает буквально следующее: если документы, содержащие ПДн, находятся  не на свалке - значит закон на них распространяется. Зато теперь все понятно с автоматизированной обработкой: пункт 4 статьи 3 однозначно утверждает: есть ЭВМ -  автоматизированная.

Часть 2 статьи 4, по идее, должна отбить охоту издавать "закрытые" документы, вроде 330-го постановления Правительства, содержащие к тому же необоснованные требования, и потом заставлять соблюдать их всех операторов поголовно. Большой плюс, но как это будет выполнено - покажет время.

Пункт 4 части 1 статьи 6 дает нам робкую надежду на признание конклюдентных действий: закон допускает обрабатывать ПДн как для исполнения, так и для заключения договора по инициативе субъекта. Пунктом 6 этой же части/статьи оператору предоставляется возможность вести обработку ПДн для осуществления собственных законных прав и интересов или "третьих лиц" (так, очевидно, решается проблема отзыва согласия субъектом), а в 9-й пункт существенно облегчает жизнь социальным сетям, предоставляя возможность обрабатывать ПДн, сделанные субъектом общедоступными. Учитывая, что 1 пунктом 1-й части 6 статьи идет "согласие субъекта", можно предположить, что все остальные пункты - и 4-й, и 6-й, и 9-й - подразумевают обработку без согласия - иначе ради чего весь сыр-бор.

Части 2-4 статьи 6 посвящены "обработчику" - лицу, обрабатывающему ПДн, но не являющегося оператором в полном смысле, поскольку обработка осуществляется в интересах третьего лица, устанавливающего цели. Не смотря на то, что в самом законе как таковое определение "обработчик" отсутствует, здесь "обработчик" называется ЛООПДППО (см. ч. 3 ст. 6). И к нему, помимо "требований по обеспечению конфиденциальности и безопасности ПДн при их обработке", оператор теперь должен предъявлять еще много чего - например, указать стандарт безопасности, которому должен следовать обработчик (все это указывается в "поручении"). Сам же ЛООПДППО теперь может не брать согласие, если оно получено оператором, и несет ответственность только перед последним: все "косяки", возникшие по вине обработчика, субъекту компенсирует сам оператор.

Статьей 9 определено, что субъект ПДн дает согласие на обработку СВОБОДНО, в любой форме, позволяющей подтвердить факт его получения. При этом, если субъект вдруг решит согласие отозвать, то оператор может преспокойно обрабатывать его ПДн дальше, руководствуясь п. 2-8 ч. 1 ст. 6 (см. абзац выше). Тем не менее, презумпция виновности оператора по прежнему сохраняется: согласно ч. 3, он по прежнему обязан доказывать либо факт получения согласия, либо наличия оснований обрабатывать ПДн, не имея оного, что, в случае конклюдентных действий или свободной формы данного согласия, будет весьма затруднительно. Но и здесь закон приходит нам на помощь: часть 4 ст. 9 говорит о том, что в случаях, предусмотренных федеральным законом, согласие должно быть письменным либо электронным с ЭП. Обратите внимание на формулировку: не НАСТОЯЩИМ федеральным законом, а просто - федеральным законом. Неужели придется шерстить все законы на предмет получения согласия и определять, каким оно должно быть - письменным или любым другим? Ладно, идем дальше.

Пункт 2 части 2 статьи 10, говорящей об обработке специальных категорий ПДн, претерпел изменения: обработка спецкатегорий теперь допускается в случае, если сам субъект сделал свои ПДн общедоступными. Только вот незадача - как же определить, сам ли субъект сделал их общедоступными под ником R2D2 или это кто-то другой?

Статья 11 говорит нам о том, что к биометрическим ПДн теперь относятся сведения, которые характеризуют не только физиологические, но И биологические особенности человека, причем одни без других не могут существовать. Вспоминая пресловутую фотографию, я так и не пойму - может ли она характеризовать физиологические и биологические особенности одновременно? И вообще - что это такое, биологические особенности? Например, по фотографии можно определить, что на ней изображен типичный представитель биологического вида - человек, со всеми свойственными ему особенностями, в том числе и физиологическими. Короче, мертвому припарка.

Статья 12 - трансграничная передача ПДн. Теперь она может осуществляться без согласия в случае, если принимающая страна обеспечивает адекватный уровень защиты прав субъектов. При этом, перечень "адекватных" стран, НЕ являющихся сторонами Конвенции совета Европы (часть 2), утверждает уполномоченный орган. Оператор же, до начала передачи, обязан убедиться в том, что страна "адекватна". Но для того, чтобы ему это сделать, придется поднапрячься: в перчне-то будут только страны, не ратифицировавшие Конвенцию, а те, что ратифицировали, оператор должен отыскать самостоятельно. Да и перечень этот когда издадут - непонятно... Словом, трудности даже в мелочах. ИМХО, в этой статье досадная опечатка: стоило убрать предлог НЕ, и все встало бы на места.

Статья 14 наделяет субъекта правом "повторного запроса" к оператору в случае, если он остался чем-то не доволен. Оно и правильно - раньше-то все бежали сразу в Роскомнадзор. Да и сам оператор теперь должен отвечать в течение 30 дней с момента получения запроса (ч. 1 ст. 20). А вот уведомлять субъекта при получении ПДн не от него самого оператор теперь не обязан в случае, если ПДн уже уведомлен об обработке "соответствующим оператором" (я долго думал, но не мог понять смысла этой фразы), если ПДн были получены при исполнении договора или взяты из общедоступных источников (сделаны общедоступными самим субъектом).

Теперь самое вкусное. Статья 18. В соответствии с частью 1, оператор САМОСТОЯТЕЛЬНО определяет состав и перечень мер, необходимых и достаточных для выполнения обязанностей. К числу таких мер МОГУТ, в частности, относиться (смотрим п. 3) применение мер обеспечения безопасности ПДн в соответствии со статьей 19. Итак, меры безопасности, указанные во 2 части 19-й статьи, носят необязательный характер: могут относиться, а могут и нет. По крайней мере, так следует из контекста статьи 18. Но к этому мы еще вернемся.

Частью 2 статьи 18 на оператора возлагается ОБЯЗАННОСТЬ ПУБЛИКОВАНИЯ ПОЛИТИКИ в отношении обработки персональных данных, а также обеспечивать неограниченный доступ к сведениям о реализуемом стандарте или требованиям по обеспечению безопасности ПДн. Это реально большой прорыв в отношениях "субъект-оператор", поскольку позволяет субъекту детально ознакомится с тем, как будут защищаться его ПДн, до их предоставления оператору, и впоследствии получить дополнительные бонусы при разбирательстве в случае, если оператор ввел его в заблуждение (ст. 23 ч. 2 п. 5.1).

Итак, статья 19. В части 1 - сразу второй прорыв: меры применяются с учетом вреда субъекту, а также возможностей их технической реализации. Обалденный маневр для составления модели угроз. Не смотря на нудное начало "включают в себя, в частности", часть 2 ст. 19, как следует из п. 1 и п. 3 ч. 1 статьи 18, носит необязательный характер, однако здесь мы по прежнему наблюдаем "применение методов, способов и СЗИ, прошедших оценку соответствия". Учитывая контекст, речь, очевидно, идет о 58 Приказе ФСТЭК, который будет носить исключительно рекомендательный характер.

Правительство РФ отныне устанавливает требования для государственных и муниципальных ИСПДн (часть 4 ст. 19), однако вправе установить и требования по обеспечению безопасности в негосударственных ИСПДн, эксплуатируемых при осуществлении определенных видов деятельности (часть 5 ст. 19). Что это за виды и кто и каким образом их определяет - пока загадка. К счастью, ФСТЭК и ФСБ будут контролировать только то, что предусмотрено частью 4 статьи 19 - а именно государственные и муниципальные ИСПДн (часть 6). Кто будет контролировать "отдельные ИСПДн" по 5-й части - так же не понятно.

В соответствии с частью 7 статьи 19, операторы, СРО, ассоциации, союзы и все-все-все могут издавать стандарты обеспечения безопасности ПДн. И это еще один большой плюс. Частью 8 статьи 19 определено, что оператор обязан либо присоединиться к какому-либо стандарту, либо издать свой собственный - персональный, для себя любимого. В любом случае, об этом необходимо уведомить ФСТЭК. Порядка уведомления пока, правда, нет (как, собственно, и массы отраслевых стандартов).

Зато, согласно ч. 5 ст. 22, оператор может обратиться в уполномоченный орган (им по прежнему остается Роскомнадзор) за разъяснением по любым (!!!)  вопросам относительно законодательства в области ПДн: это буквально означает, что Роскомнадзор будет единым консультационным центром как по организационным, так и по техническим и вообще любым другим вопросам, и его ответ на вопрос "обязательно ли использовать ли сертифицированные СЗИ в ИСПДн" будет основополагающим. Лишь бы этот ответ был правильный :)

Вот, вкратце, и все, что пока можно сказать. Не то, что многие ожидали: Конвенции закон по прежнему не соответствует, и основные проблемы, указанные здесь и здесь, в нем так и не решены. Тем не менее, это лучше, чем действующий вариант. У кого есть что добавить - пишите в комментариях. Полагаю, сейчас пойдет очередная волна доказывания обязательности исполнения части 2 статьи 19 - так что готовлю доску для серфинга ;)

38 комментариев :

  1. Прогресс по моему реальный..спасибо за анализ:)

    ОтветитьУдалить
  2. Концовочку-то ты проглотил. А там изменившиеся сроки уточнения/уничтожения, новые уведомления, интереснейший институт ЛОЗООПДВО.

    ОтветитьУдалить
  3. Ничего я не глотал – просто спать лег :) Щас допишу, там еще одна тема есть.

    ОтветитьУдалить
  4. Александру: всегда пожалуйста :) это не анализ а так – по видным верхушкам :)

    ОтветитьУдалить
  5. >Статья 11 говорит нам о том, что к биометрическим ПДн теперь относятся сведения, которые характеризуют не только физиологические, но И биологические особенности человека

    Это убран косяк с законом о геномной регистрации, ибо геномную информацию определили как не относящуюся к физиологическим особенностям:

    //ФЗ №242-ФЗ "О государственной геномной регистрации в Российской Федерации"

    3) геномная информация - персональные данные, включающие кодированную информацию об определенных фрагментах дезоксирибонуклеиновой кислоты физического лица или неопознанного трупа, НЕ характеризующих их физиологические особенности;//

    ОтветитьУдалить
  6. Угу. Но ясности вопросу так и не добавило.

    ОтветитьУдалить
  7. Для тех, кто зашел по прямой ссылке - продолжение мысли здесь: http://anvolkov.blogspot.com/2011/06/blog-post_5310.html

    ОтветитьУдалить
  8. А как вам тема с определением своих ПДн как общедоступных? Т.е. теперь абсолютно законно предложить субъекту сделать его ПДн общедоступными и не защищать? ;)

    ОтветитьУдалить
  9. >А вот уведомлять субъекта при получении ПДн не от него самого оператор теперь не обязан в случае, если ПДн уже уведомлен об обработке "соответствующим оператором" (я долго думал, но не мог понять смысла этой фразы)

    Типовые ситуации:
    1. Потенциальный работник заполняет анкету и указывает рекомендателей и их контакты. После контакта с рекомендателем не потребуется уведомлять субъекта о получении данных о нем от рекомендателя
    2. Заявка на пропуск. Субъект обращается в организацию для того, чтоб на него заказали пропуск. Организация передает ПДн субъекта в ЧОП/бизнес-центр/its для разового пропуска. Соответсвенно данному ЧОП/бизнес-центр/its не потребуется уведомлять субъекта о получении ПДн субъекта от организации

    Ну и далее в том же духе ;)

    ОтветитьУдалить
  10. > теперь абсолютно законно предложить субъекту сделать его ПДн общедоступными и не защищать?

    Это ущемление прав субъекта. Так делать нельзя, ибо разборок не избежать. Да и репутация такого оператора сильно пострадает. Вряд ли я с таким буду работать.

    ОтветитьУдалить
  11. to toparenko: а, вот про что. Эка они завернули. теперь понятно все.

    ОтветитьУдалить
  12. Или я что-то не понимаю или на основании "Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом" снимаются все вопросы по защите ПДн. В смысле ни один коммерс не будет защищать ПДн, особенно на фоне отсутствия проверок ФСТЭК и ФСБ.

    ОтветитьУдалить
  13. Не совсем так. Оператор, который не делает ничего, должен об этом написать в политике, и приложить свой стандарт, в котором будет написано то же самое. А субъект принимает решение, работать ему с таким оператором или нет, и если что – начинает жаловаться.

    ОтветитьУдалить
  14. При том не просто написать в политике и стандарте, а еще и разместить это в открытом для всех доступе.

    Ну, а РКН имеет возможность оспорить этот стандарт в суде.

    ОтветитьУдалить
  15. Год назад я видел акт классификации одной государевой федеральной службы, где были перечислены поля ПД граждан на полтора а4 листа и утверждалось что это к-3. Что мешает коммерсам в условиях отсутствия технического контроля принять соответсвующие решения и политики?
    Теоретический отток клиентов? В Новосибирске это не аргумент, т.к. даже если предположить озабоченнось субъекта данным вопросом, то с альтернативами не густо.
    По крайней мере, я бы на месте собственника, разигрывал именно эту карту.

    ОтветитьУдалить
  16. To toparenko:
    Имея опыт общения с юристами госстуктур в регионах вариант, IMHO, не рабочий. У нас юристы на госслужбе как огня боятся судов. Опять таки вышесказанное относится к некоторым конторам Новосибирска и в некоторой части СФО.

    ОтветитьУдалить
  17. Принцип добросовестности оператора и Роскомнадзор :) Ну и надо понимать, что пора прекращать нянькаться с субъектом и таскаться с его ПДн как с писаной торбой. Раз ему пофиг, то оператору и подавно. Тем более пятилетний опыт показал, что от госрегулирования этой сферы реальной защиты все равно не прибавляется.

    ОтветитьУдалить
  18. Хотя в чем–то я согласен. Прежде всего потому, что закодательно не закреплена обязанность раскрытия информации об утечках. Но почему– понятно: самые масштабные утечки в госструктурах, охота ли им тратиться.

    ОтветитьУдалить
  19. Вот и я к тому же. Опять защита информации только в госсекторе.

    ОтветитьУдалить
  20. Анонимный16.6.11

    До этого отсутствие защиты пдн субъектов не смущало, а теперь еще и в законе написано "не парьтесь". Типа скажи что обязательно примешь стандарт ИБ волговятских лесорубов и до 2013 года спи спокойно, а там глядишь и отменят закон вообще...

    ОтветитьУдалить
  21. > Опять защита информации только в госсекторе.

    Да ладно - откуда она там взялась-то? Бизнес (не шаромыжный типа урвал - свалил, а нормальный) гораздо лучше защищен с точки зрения ИБ. Теперь он более-менее защищен и от регуляторов.

    ОтветитьУдалить
  22. > отсутствие защиты пдн субъектов не смущало

    Это вопрос культуры, которую нужно повышать, и не только в отношении ПДн. Некоторые, вон, в лифтах ссут - им на все пофиг, так что теперь - обязать всех квартиросъемщиков ссать, а владельцев квартир убирать по очереди, чтобы всем было одинаково?

    Культура нужна во всем - и в поведении, и в отношении к себе и своим ПДн. И ее надо прививать. И именно такими методами. И равняться надо не на тех, кому пофиг - это пагубный путь, а на тех, кому не пофиг.

    ОтветитьУдалить
  23. Осведомленность... С этим у нас полная ж... и это жжж не спроста. Теперь выхватив одну фразу из закона мы решаем практически все проблемы, особенно если при этом сделать еще ПД общедоступными. Такая тенденция и раньше просматривалась.
    Ладно ждем выхода поправок, после этого и будем разбирать что к чему.

    ОтветитьУдалить
  24. >Опять защита информации только в госсекторе

    Как раз в госсекторе не парятся с защитой последние 20 лет - т.ч. "дурной пример заразителен (с)"

    Наведут порядок в госсекторе, тогда можно будет применять ответственность ЛООПДППО перед оператором - а пока пусть сами отвечают за вопрос защиты ПДн которые поручили обрабатывать комерсам

    ОтветитьУдалить
  25. > Такая тенденция и раньше просматривалась.

    В любом случае, надо из быдлообразного стада когда-то эволюционировать. Не эволюционировавшие - вымрут. От собственных ПДн.

    ОтветитьУдалить
  26. А кстати, тенденция строгости регулирования ИБ ниспадающая..несмотря на требования к ПС.

    ОтветитьУдалить
  27. Данная редакция закона очень удобна для банков (что не удивительно, с учетом того, какой комитет возглавляет Резник). Стандарты есть. Теперь они фактически становятся обязательными. Защита ПДн в рамках защиты банковской тайны. Уход от контроля регуляторов (хотя эти функции на себя перетащит ЦБ, например путем преобразования ABISS в СРО). Вообщем, кто девушку кормит, тот ее и танцует.

    ОтветитьУдалить
  28. > Уход от контроля регуляторов

    Банки-то как раз и не уходят, в связи с принятием закона "О национальной платежной системе".

    ОтветитьУдалить
  29. >Банки-то как раз и не уходят.
    Только в части переводов денежных средств.

    ОтветитьУдалить
  30. Так под эту дудку весь банковский бизнес, использующий СЗИ, и подпадает :)

    ОтветитьУдалить
  31. Существуют крупные системы денежных переводов - всего 5-6, и остальные банки к ним присоединяются. Все меры безопасности определяют владельцы систем, они же, как правило путем аренды или передачи во временное пользование, дают ПО, СЗИ, СКЗИ, организуют защищенные каналы и т.д.

    ОтветитьУдалить
  32. Анонимный17.6.11

    Маятник качнулся в сторону от людей государевых к бизнесу, при этом интересы злосчастного субъекта (изначально вроде бы цель данного закона) как-то всё более и более задвигаются куда-нибудь подальше, в дальний угол, под коврик. Чтоб не мельтешил понапрасну, пока большие дяди важные вопросы решают.

    ОтветитьУдалить
  33. Вот я не пойму - с чего все взяли, что как только государство перестанет регулировать ПДн, то сразу всем на все станет наплевать? Или регуляторы обладают магической силой внушения удава Каа, а операторы - как бандерлоги?

    Я могу с твердой уверенностью сказать, что ни я, ни мои коллеги, кто занимался защитой ПДн, пусть и не совсем по фстэковским скрижалям, и дальше будут их защищать. Для нормальной компании сотрудники - это важнейший актив, и пренебрегать ими и их правами - непозволительная роскошь.

    Те, кто ничерта не делал, говоря "да че там - 10 тыщ, пусть приходят" - и дальше ничего делать не будут, пока либо петух не клюнет, либо не повысят уровень своего бизнеса, либо не развалятся к чертям с таким подходом к людям.

    А вот государство, которому и на людей наплевать, и развалиться не может, а потому представляет собой огромную черную дырень утечек - пусть сначала у себя порядок наводит, а потом уж лезет со своим регулированием к тем, кто ушел далеко вперед и в ИБ, и в ПДн, и в отношении к людям.

    ОтветитьУдалить
  34. Анонимный18.6.11

    Скажем так, государство и бизнес обладают вполне сравнимой степенью равноудаленности интересов от интересов субъекта "с улицы", или еще откуда-нибудь. Теперь, правда, одна разновидность профанации (абсурдный перекос, якобы, в пользу субъекта - с де-факто навыполнимыми требованиями) заменится другой ее разновидностью (субъкета просто наклонят присоединиться к публичной оферте, где он согласится, что его персональные данные оператору защищать НЕ надо). И нечего так нервничать. Все чего-то от кого-то защищают, и собственные сотрудники - далеко не всегда самый ценный и важный актив, который только и следует защищать

    ОтветитьУдалить
  35. > И нечего так нервничать.

    А никто и не нервничает. Говоря «сотрудники» я несколько ограничил круг субъектов. Конечно же речь идет о всех, кто имеет какие–то отношения к оператору, для которого имиджевые и репутационные риски – не пустой звук. А граждане, желающие защитить свои ПДн и своих близких, должны самообразовываться и требовать соблюдение своих прав. Они и сейчас так делают. Вот только подавляющему большинству субъектов на это пофиг, а многие операторы ориентируются на большинство. И потом. Обязанность защиты ПДн и соблюдения прав субъекта возложена на всех законом. И если мы хотим жить в правовом государстве, то законы надо соблюдать вне зависимости от того, что за этим следует. А все разговоры о том, что закон никто не соблюдает потому, что штрафы низкие – от лукавого. Статистика ДТП после ужесточения штрафов это показывает.

    > субъкета просто наклонят присоединиться к публичной оферте

    Относительно «наклонят» смотрите выше http://anvolkov.blogspot.com/2011/06/blog-post_16.html?showComment=1308212753538#c4349040395732084925. Принцип добросовестности еще никто не отменял. И те, кто защищал, никого наклонять не будут. Это пагубный путь. и потом – субъект вправе сам решать, стоит ли ему иметь дело с публично нагибающим его оператором, или обратиться по этому поводу к уполномоченному.

    > государство и бизнес обладают вполне сравнимой степенью равноудаленности интересов от интересов субъекта "с улицы"

    Если для бизнеса этот термин применим, то для государства Вы это как себе представляете? Все мы граждане, живем в этой стране, соблюдаем одни и те же законы, платим налоги, и т.д. Поэтому государство как раз обязано защищать ПДн всех без исключения его граждан – 140 млн. Но не поголовным бестолковым регулированием всех и вся, а наведением порядка в своих структурах и обеспечением получения субъектом компенсации нанесенного ему ущерба вне зависимости от того, какой оператор – государственный или частный – его нанес. Я уже говорил выше, что не стал бы принимать этот закон, именно потому, что этого в нем нет. Отказ от регулирования есть, но вот все остальное (прежде всего публикование информации об утечках) отсутствует. Потому, что в госструктурах с этим полный бардак. Но тотальное регулирование это тоже не вариант. Поэтому законопроект однозначно лучше, чем действующий закон.

    ОтветитьУдалить
  36. Похоже мы не те пальцы скрестили. Информации о законопроекте из думы нет. Никакой. Может они его засекретили?

    ОтветитьУдалить
  37. Анонимный27.6.11

    Добрый День!

    Спасибо за труд! А где можно почитать сам проект нового закона?

    ОтветитьУдалить
  38. Вот здесь: http://asozd2.duma.gov.ru/main.nsf/(Spravka)?OpenAgent&RN=282499-5&02

    ОтветитьУдалить