воскресенье, 10 мая 2015 г.

Возвращение фантомасов

С недавних пор я редко размещаю статьи в блоге. Писателей нынче много - кто во что горазд, почитать есть что, да и желания особо нет. Поэтому нынче в блог идет материал, который не влезает в журнал, если какое-то исключительное событие не заставит давить пальцами разбежавшихся по клавиатуре мозговых тараканов. Сегодня как раз такой случай - и не потому, что вчера был День Победы (кстати, с Праздником), а потому, что накануне на "едином портале для размещения ФОИВ-ами проектов НПА и результатов их общественного обсуждения" Роскомнадзор разместил проект постановления правительства РФ "Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации". И я сунул в него свой нос.

Как следует из п. 1.6 прилагаемого "сводного отчета, загруженного при публикации проекта", его авторы поставили перед собой целых три цели государственного регулирования: исключение двух законодательных пробелов и разграничение полномочий между Роскомнадзором, ФСТЭК и ФСБ в части контроля организационных и технических мер, установленных ст. 19 152-ФЗ. Убить трех мух предлагается одним тапком, точнее постановлением правительства, которое авторы и предлагают принять. После беглого прочтения проекта постановления складывается впечатление, что Роскомнадзору вдруг понадобилось повысить статус своего административного регламента по контролю и надзору за обработкой ПДн. Это вызывает легкое недоумение - особенно в свете вывода этой деятельности из-под 294-ФЗ. Более глубокое погружение в текст расставляет все на свои места - дело не в административном регламенте, а статусе как таковом.

Непростая ситуация в экономике РФ, сокращения государственных расходов и штатной численности аппарата государственного управления не могли не затронуть уполномоченный орган по защите прав субъектов ПДн. Поэтому на борьбу с нарушениями и нарушителями в надзираемой сфере, в дополнение к плановым и внеплановым документарным и выездным проверкам, предлагается направить еще двух драконов.

Первый называется "мероприятия систематического наблюдения" в соответствии с п. 71-77 проекта постановления. Наблюдать за деятельностью операторов этот дракон будет в соответствии с системой, установленной календарным планом - отдельным от плана проверок - и также систематически составлять докладные записки. Дракон наделен правом самостоятельно плевать огнем в нарушителя, выдавая ему не предписание, а "требование", неисполнение которого в десятидневный срок карается прокурорским реагированием и выездом "дружины" с внеплановой проверкой.

Второго дракона предлагается посадить в казенном доме, дабы инициативные операторы, не желающие внезапно попасть под зоркий глаз и очистительный огонь дракона-"наблюдателя", могли самостоятельно отнести свои документы, подтверждающие выполнение ими установленных законом требований. Имя ему - "анализ и оценка" (п. 78-83). Здесь, как в старой известной армейской поговорке, инициатива будет жестко поступать с инициатором, отдавшим документы для такого анализа. Если будет обнаружено нарушение, оператор сразу получит требование, которое будет должен устранить в десятидневный срок, и если не справится - огребет предписание без всяких выездных проверок.

Изменится и состав и полномочия "дружины", выезжающей на проверки. Авторы предлагают наделить ее полномочиями проверять и оценивать достаточность принятых оператором мер для обеспечения выполнения предусмотренных законодательством обязанностей. Именно ДОСТАТОЧНОСТЬ, о которой я писал три года тому назад здесь и вот здесь еще. Согласно п. 9.7, оценить ее сможет проверяющий самостоятельно или с привлечением аккредитованных экспертов - тех самых, о которых я тоже писал три года тому назад, и аккредитация которых была одно время приостановлена.

Для чего же аккредитованным экспертам понадобилось реанимация? Пункт 9.7 проекта говорит о том, что достаточность оценивается "дружиной" в пределах своей компетенции, которая, в свою очередь, определяется пунктом 24. Именно там, в п. 24.2, мы видим попытку автором разграничить полномочия между Роскомнадзором, ФСТЭК и ФСБ в части контроля принятых оператором мер в соответствии со статьей 19 152-ФЗ. И авторы сделали это изящно, скромно оставив себе статью 18.1. А теперь давайте посмотрим на нее в оригинале:

1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона

Дальше цитировать смысла не имеет: вот вам, ФСТЭК и ФСБ, и разграничение. "Дружина" Роскомнадзора проверит все за вас, а что не сможет - проверят ее аккредитованные эксперты.

Теперь представьте себе такую ситуацию. Вы добросовестный оператор, решили потратить денег на создание системы защиты персональных данных в вашей организации. Провели тендер, его выиграла некая компания, сделала проект, разработала документы, наладила процессы, построила систему защиты, и все вроде хорошо. Приходит Роскомнадзор с аккредитованным экспертом, который говорит - нет, этих мер не достаточно, все надо делать по-другому. Вместо Касперского ставьте Доктора Веба, а вместо Cisco поставьте Континент. Скажете - не реально? Отвечу - вполне, потому что нет никаких формализованных критериев достаточности, кроме ущерба субъектам. И если у вас не будет "своего" аккредитованного эксперта, способного изложить в суде свои возражения, в дополнение к штрафу вы получите приличную дыру в бюджете для устранения недостатков по выданному предписанию. И конечно, организация, в которой трудится приглашенный Роскомнадзором аккредитованный эксперт, с удовольствием поможет вам в его освоении.

Вспоминается другой анекдот про сотрудника полиции, который год не получал зарплату, а когда его спросили, почему - долго удивлялся, что в придачу к табельному оружию здесь еще и денег дают.

Ну и вот еще, про достаточность - от Жени Родыгина. Как вы помните, Швондер в "Собачьем сердце" у Булгакова тоже оценивал достаточность жилплощади, которую занимал профессор Преображенский, и тоже был недоволен.

Комментариев нет :

Отправить комментарий