четверг, 16 июня 2011 г.

Карнавала нет


Дорогие читатели, зашедшие по прямой ссылке! К сожалению, все, что здесь написано, уже имеет историческую ценность. Причины указаны здесь и здесь. Однако у нас есть шанс это исправить! Хотите знать как? Посетите эту страницу!

Возвращаясь к теме нового законопроекта, хочется дописать еще несколько строк ( можно, конечно, писать бесконечно, но надо себя сдерживать :).

Читатели спрашивают, что будет с уже действующими подзаконными актами - постановлениями Правительства 781, 687 и иже с ним. Ответ прост - ничего. Именно эти документы устанавливают требования для государственных и муниципальных операторов, согласно ч. 4 ст. 19 законопроекта. Негосударственные операторы вправе использовать их для разработки своих собственных стандартов, а те, кто уже реализовал защиту ИСПДн в соответствие с этими документами, вправе вообще не издавать и не присоединяться к какому-либо стандарту - необходимо только уведомить об этом ФСТЭК до 1 января 2012 года. В противном случае, как я уже говорил,оператор должен присоединиться к какому-либо стандарту или разработать свой собственный, и уведомить об этом ФСТЭК до 1 января 2013 года (ч. 21 и 22 ст. 25).

Ригель отметил некоторую недосказанность, поэтому исправляю недостаток :) Статьей 22 вводится институт Лица, Ответственного За Организацию Обработки Персональных Данных в Организации (ЛОЗООПДвО). В принципе, особой новизны в этом нет - такое лицо должно было быть у оператора и раньше - другое дело, что раньше оно было определено в подзаконных актах, а теперь - на законодательном уровне, с совершенно определенным набором функций и полномочий (например, именно это лицо имеет право обратиться к Уполномоченному за разъяснениями по поводу сомнений в законодательстве).

Изменения вносятся в часть 3 статьи 22, определяющей форму и содержание уведомления оператора, отправляемого последним в уполномоченный орган при начале обработки ПДн. помимо мер защиты и стандартов безопасности, к которому "примкнул" оператор (обратите внимание, что стандартов может быть несколько), в уведомлении вносится ФИО должностного или название юридического лица, ответственного за защиту ПДн. Таким образом, получается, что оператор может заключить договор на аутсорсинг не только на обработку, но и на защиту ПДн (либо на то и на другое вместе).

Что еще... Ах, да. Статья 21 вводит новые сроки уточнения - 7 дней, уничтожения - 10 дней (по достижении целей обработки - 30 дней). Почитаете сами - обратите внимание, когда будете приводить в порядок внутреннюю документацию. Тем более, что читать можно в удобном формате - Александр Бондаренко сделал для этого удобный документ.

Все, завершаю брифинг - если что, пишите в комментарии. И сильно в ладоши не хлопайте - все еще может измениться,  ведь второе (и возможно третье) чтение только завтра, так что скрестили пальцы...

4 комментария :

  1. Карнавала пока нет - но на днях будет.
    По-моему очень даже позитивные изменения.

    Мне кажется что дополнительные разъяснения оставшихся спорных вопросов надо делать не в ФЗ-152, а каких-то подзаконных актах или смежных законах.

    Иначе ФЗ-152 может раздутся до невообразимых размеров.

    ОтветитьУдалить
  2. Он и так уже на 60 страниц :)

    ОтветитьУдалить
  3. Анонимный17.6.11

    Для тех, организаций у которых вообще не соответствуют ни каким требованием инф. безопас. потратиться придется реально.

    ОтветитьУдалить
  4. Анонимный21.6.11

    Что-то нет новостей с полей боев на выпуском новой редакции закона о ПДн!
    Может кто знает как там дела?

    ОтветитьУдалить