Одним из наиболее важных и обсуждаемых событий уходящего года в области информационной безопасности стало принятие так называемого «законопроекта Резника», вносящего весьма существенные поправки в многострадальный Федеральный закон «О персональных данных» № 152-ФЗ
Именно поэтому в этом году, в отличие от двух предыдущих, никто не переносил срок вступления в силу требований, касающихся технической защиты информационных систем персональных данных (ИСПДн).
Традиция не продолжилась, потому что переносить стало нечего: ч. 3 ст. 25 в новом законе выглядит совсем не так, как в старом, да и требования по технической защите персональных данных (ПДн), обрабатываемых в ИСПДн, под «новое» законодательство разработать еще не успели.
Началом эпопеи с принятием поправок к 152-ФЗ принято считать поручение президента № 5 от 02.06.2011, данное министру связи и массовых коммуникаций, директору ФСБ и министру внутренних дел по итогам встречи с представителями интернет-сообщества, состоявшейся 29 апреля 2010 г. Именно на ней «жалобщики» со стороны интернет-бизнеса посетовали на несоответствие требований, указанных в 152-ФЗ, реалиям современного мира, и сложность их практической реализации. Поручение это было выполнено, и новый текст «законопроекта Резника», переработанный с момента его первого размещения на сайте Государственной думы до такой степени, что общими с первоначальным вариантом у него остались только название и номер, был размещен в автоматизированной системе обеспечения законодательной деятельности в открытом доступе для всех желающих.
Нескрываемая радость обуяла всех специалистов, тщетно ожидавших каких-либо новостей касательно изменений законодательства о ПДн, ведь с момента первого чтения «законопроекта Резника» прошло больше года, и с тех пор о нем не было ни слуху, ни духу. Содержание текста, размещенного для ознакомления, было воспринято многими с энтузиазмом: практически все острые углы в нем были сглажены, так как по наиболее спорным вопросам был достигнут определенный компромисс, устроивший почти все заинтересованные стороны. Это самое «почти» и явилось причиной, по которой в дальнейшем события стали развиваться по всем канонам политического детектива.
В этой истории было все:
- и подмена первоначального текста законопроекта, размещенного на сайте Государственной думы, на другой — «скорректированный» вариант; и «буйство» интернет-сообщества, того самого, что ратовало за изменение закона; и открытое письмо президенту с просьбой направить «скорректированный» законопроект на доработку и публичное обсуждение;
- и яростное противоборство его сторонников и противников (в том числе и в Совете Федерации); и массовые утечки ПДн в поисковых системах, чудесным образом случившиеся накануне подписания президентом «скорректированных» поправок, в буквальном смысле «продавленных» через Думу и Совет Федерации;
- и радость победителей;
- и расстройство побежденных после его подписания.
Все это было летом уходящего 2011 г., которое действительно оказалось «жарким». Однако на дворе зима, бурные баталии поутихли, победители перешли от ликования к активной деятельности по разработке новой нормативной базы, проигравшие «залечили раны», досконально изучили новое законодательство и стали внимательно следить за тем, «в какую сторону дует ветер ПДн» и как нарабатывается правоприменительная практика. И потому сейчас самое время обратить внимание на ключевые моменты нового законодательства, подвести некоторые итоги года уходящего и немного приоткрыть завесу тайны над тем, чего стоит ожидать в ближайшем будущем в сфере ПДн.
Ложка меда
Федеральный закон 261-ФЗ от 25.07.2011, внесший поправки в 152-ФЗ, фактически превратил его в новый закон: от «старого» 152-ФЗ в нем остались, что называется, «рожки да ножки». Чтобы убедиться в этом, достаточно хотя бы сравнить объемы нового и старого документов: 9454 против 5607 слов, направленных на «обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну».
Некоторые эксперты отмечают положительный характер изменений и связывают это прежде всего с неограниченным расширением понятия «персональные данные». Теперь ПДн считается любая информация, имеющая прямое или косвенное отношение к субъекту ПДн, она подпадает под действие 152-ФЗ и должна быть защищена в соответствии с установленными законом требованиями. Операторы, правда, сильно возмутились после прочтения такого определения: дескать, и предыдущее было нечетким, а уж нынешнее и подавно; и задались вопросом: не означает ли оно, что теперь нужно защищать все данные без исключения с одинаковым усердием? Вразумительного ответа от законодателей и регуляторов так и не последовало но, судя по правоприменительной практике, опасения операторов пока не оправдались.
Еще одним положительным моментом с точки зрения соблюдения прав субъекта ПДн является новая обязанность операторов по обеспечению неограниченного доступа к документу, определяющему их политику в области обработки ПДн, и к сведениям о реализуемом на практике требовании по защите ПДн5. После появления поправок именно это требование вызвало некоторую волну возмущения у операторов: они посчитали, что теперь придется раскрывать все «методы и способы» защиты и злоумышленникам даже не надо будет тратить время на сбор информации для осуществления атаки на ИСПДн. Однако и эти страхи оказались напрасными: поскольку документ этот предназначен для субъекта, в нем совсем не обязательно раскрывать все технические нюансы. Достаточно написать простым и понятным языком о том, зачем оператору нужны ПДн и как их обработка может затронуть права субъекта. В результате операторы получили весьма существенную выгоду: во-первых, они выполнили требования законодательства, во-вторых, существенно снизили количество вопросов типа «зачем вы снимаете копию моего паспорта» от субъектов ПДн, в-третьих, обрели положительный имидж в глазах этих субъектов, и, наконец, в-четвертых, сами более четко осознали, что у них происходит с обработкой ПДн. Кстати, обязанность публично обозначать свою политику в сфере обработки ПДн возложена и на «западных» операторов.
Существенным сдвигом в положительном направлении в отношении налаживания процессов обработки ПДн можно считать и вмененное в обязанность каждого оператора назначение лица, ответственного за организацию обработки ПДн (ЛОЗООПД — лицо, ответственное за организацию обработки ПДн ). Законодатель наделил ЛОЗООПД конкретными правами и обязанностями и поставил его в прямое подчинение управляющему органу оператора, который, в свою очередь, должен указывать сведения (ФИО, адрес, телефон и др.) о ЛОЗООПД в уведомлении, отправляемом в Роскомнадзор. Этот шаг, по идее, должен ликвидировать формальный подход к назначению ЛОЗООПД и в конечном счете повлиять (пусть и психологически) на отношение операторов к проблематике ПДн. Правда, потенциальные кандидаты на должность ЛОЗООПД выказывают определенное недовольство в связи с необходимостью раскрытия их собственных ПДн, однако регуляторы склонны считать этот нюанс «необходимой жертвой» ради всеобщего блага.
Позаботился законодатель и об операторах ПДн: положения, регламентирующие их права и обязанности, подверглись переработке. Из положительных моментов здесь в первую очередь следует отметить увеличение срока для ответа оператора на запрос субъекта с 10 до 30 дней, а на запрос уполномоченного органа по защите прав субъекта (Роскомнадзора) с 7 до 30 рабочих дней7. Помимо этого, увеличен срок, по истечении которого уничтожаются ПДн: в случае выявления неправомерной обработки — до 10 дней, а по достижении целей их обработки или отзыва субъектом согласия на обработку — до 30 рабочих дней (максимальный срок —6 мес). Подход к блокированию ПДн стал более гибким: оператор может не осуществлять его в случае, если этот процесс затронет права и законные интересы других субъектов (в случае выявления неправомерной обработки ПДн), он также имеет право обрабатывать ПДн без согласия субъекта (в случае отзыва субъектом согласия).
Новый закон в определенной мере снижает риски необоснованных претензий субъектов к операторам и, как следствие, должен привести к уменьшению количества жалоб, отправляемых в Роскомнадзор. Отныне субъект ПДн, посылающий запрос оператору, обязан указать сведения, подтверждающие наличие оснований для его рассмотрения (это могут быть договорные или иные отношения, а также информация, прямо или косвенно свидетельствующая о факте обработки оператором ПДн субъекта).
К положительным моментам можно отнести и введение в закон понятия о «лице, осуществляющем обработку персональных данных по поручению оператора» (ЛООПДППО), в котором можно обнаружить некоторую перекличку с определением обработчик ПДн9. ЛООПДППО в отличие от оператора не определяет перечень действий, совершаемых с ПДн, и цели их обработки (за него это делает оператор в документе под названием «Поручение»), а значит, ЛООПДППО не может являться оператором ПДн по определению. Оператор, поручающий обработку ПДн, несет полную ответственность перед субъектами за действия ЛОППДППО, которое, в свою очередь, обязано соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке, а также выполнять требования по технической защите ПДн, указанные оператором в «Поручении». ЛООПДППО не обязано получать согласие субъектов на обработку ПДн: за него это должен сделать сам оператор, который, помимо прочего, в согласии должен указать, кому (какому ЛООПДППО) он передает данные субъектов. Наличие этого пункта позволит существенно облегчить жизнь таким ЛООПДППО, как единые расчетные центры, центры обработки данных, и прочим организациям, осуществляющим обработку ПДн по схеме аутсорсинга.
Нельзя не отметить позитивные изменения в перечне оснований обработки ПДн, для которых не требуется получение согласия субъекта; появились такие термины, как «выгодоприобретатель», «поручитель», «интересы третьих лиц» и «заключение договора по инициативе субъекта». Такие же изменения коснулись специальных категорий ПДн — теперь их можно обрабатывать в соответствии с трудовым законодательством или для осуществления прав субъекта и третьих лиц без получения согласия и даже в случае его отзыва11. Кроме того, оператор, получивший ПДн от другого оператора в рамках исполнения договора, выгодоприобретателем или поручителем по которому является субъект ПДн, а также в случае, если субъект уже уведомлен о том, что его данные будут переданы, освобождается от обязанности уведомлять субъекта. Все это позволяет таким операторам, как пенсионные фонды и медицинские страховые компании, спокойно обрабатывать ПДн организаций, с которыми у них заключены соответствующие договоры, не получая дополнительных согласий и не уведомляя субъектов. Впрочем, эта норма не освобождает таких операторов от обязанности соблюдать конфиденциальность и обеспечивать безопасность ПДн при их обработке.
Трансграничной передачей ПДн вместо «передачи через государственную границу РФ» в новом законе считается «передача ПДн на территорию иностранного государства», причем не просто так, а определенному лицу или органу власти. Тем самым решена проблема «коммутации трафика» в сети Интернет, когда отдельные пакеты, содержащие ПДн, по мнению некоторых представителей регуляторов, могли осуществлять «трансграничное путешествие». Роскомнадзор назначен ответственным за составление перечня иностранных государств, не обеспечивающих адекватную защиту ПДн, а оператор может передавать ПДн на территорию стран, не входящих в этот перечень, без согласия субъекта. Перечень этот пока отсутствует но, будем надеяться, в наступающем году он все же появится на свет.
Приведенные выше изменения являются весьма серьезным шагом на пути к гармонизации законодательства в области ПДн. Так чем же были недовольны противники поправок? Будем разбираться.
Бочка дегтя
Начнем, пожалуй, с терминологии. Во времена существования старой редакции закона различные эксперты насчитывали несколько видов обработки ПДн: неавтоматизированную (без использования средств автоматизации), автоматизированную (обработку в ИСПДн), с применением средств автоматизации (на ПК, но без ИСПДн), исключительно автоматизированную (порождающую юридически значимые последствия без участия человека) и смешанную (как в ИСПДн, так и без нее). Этот факт вызывал многочисленные толкования терминов законодательства «на местах», и немало копий было сломано относительно того, что называть автоматизированной обработкой, а что нет. Действующая редакция ставит точку в этом вопросе: автоматизированной обработкой теперь считается обработка с использованием средств вычислительной техники, а ИСПДн — совокупность ПДн, содержащихся в базах данных, а также информационных технологий и технических средств, обеспечивающих их обработку. На первый взгляд, проблема терминологии вроде бы решена, однако более глубокий анализ показывает, что видов обработки по-прежнему осталось несколько: неавтоматизированная (без использования средств вычислительной техники), автоматизированная (с использованием СВТ) и обработка ПДн в ИСПДн (при наличии базы данных). И поскольку толкование понятия «база данных» 15 у регуляторов свое, то оператору по-прежнему придется изрядно «попотеть», доказывая, что он ведет автоматизированную обработку без использования ИСПДн.
Другой интересный момент касается законодательного определения обезличивания ПДн16: в него добавлены слово «становится» и формулировка «без использования дополнительной информации». Таким образом, ПДн, которые могут характеризовать сразу нескольких субъектов, являются обезличенными. Однако в новой редакции 152-ФЗ законодатель изъял норму об отсутствии необходимости обеспечивать конфиденциальность в отношении обезличенных и общедоступных ПДн, и поэтому оператор обязан применять меры защиты в том числе и к этим категориями данных.
Согласие на обработку ПДн оператор может получить от субъекта в любой произвольной форме, позволяющей впоследствии доказать, что этот факт имел место, данную обязанность законодатели оставили. Норма эта, казалось бы, должна была существенно облегчить жизнь различным онлайн-сервисам, ведь в качестве согласия могут выступать аудио- и видеозапись, «чекбос» на веб-форме, сканкопия документа или уникальный код. К сожалению, практика показывает, что регуляторов устраивает либо письменная форма с собственноручной подписью, либо «нечто», снабженное электронной подписью. Поэтому из перечисленного выше подойдут только «коды», «пароли» и «иные средства», являющиеся простой ЭП или другими ее видами, а это значит, что проблема социальных сетей, интернет-магазинов и многих других операторов по-прежнему не решена.
Биометрическими ПДн теперь считаются сведения, характеризующие не только физиологические, но и биологические особенности человека (хотя по-прежнему непонятно, что считать таковыми), а вот письменное согласие на их обработку оператор должен получать только в том случае, если таковые сведения используются им для установления личности субъекта. Тем не менее обработка биометрических ПДн накладывает на оператора обязанности по обеспечению безопасности носителей биометрических ПДн и технологий хранения таких данных в ИСПДн вне зависимости от целей их использования19, поэтому для хранения фотографии с корпоративного мероприятия, возможно, необходимо будет использовать специальные процедуры.
Наиболее ожесточенные споры в экспертных кругах вызвали требования по технической защите ПДн и противоречия между статьями 18.1 и 19, их устанавливающими, оба эти момента заслуживают отдельного, более глубокого рассмотрения.
Статья 18.1 являет собой тот «луч света в темном царстве», который так долго ждали и на который очень надеялись многие эксперты «либерального толка». В ней есть все, что должно быть представлено в соответствии с лучшими традициями европейского подхода к защите ПДн: и самостоятельное определение оператором мер по защите ПДн на основе оценки вреда субъекту и принципа разумной достаточности, и проведение внутреннего контроля (аудита) принимаемых мер на соответствие требованиям 152-ФЗ, и даже пункт, «выводящий» негосударственных операторов из-под требований Правительства РФ и контроля «уполномоченных органов».
Статью же 19 можно считать своеобразным «флагом победы консерватора»: она содержит требования, совершенно противоположные мерам, указанным в ст. 18.1, и непредусматривает возможности выбора. Помимо некоторых новшеств, ранее существовавших в качестве «мнений регуляторов», в ст. 19 «перекочевали» и самые спорные положения действующих подзаконных актов20: это и применение средств защиты информации (СЗИ), прошедших оценку соответствия, в отношении которой регуляторы не видят альтернативы в форме обязательной сертификации; и оценка эффективности принимаемых мер по обеспечению безопасности ПДн до начала ввода в эксплуатацию ИСПДн, очень сильно напоминающая «аттестацию объекта информатизации»; и осуществление контроля уровня защищенности ИСПДн — мероприятие, требующее получения лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации (ТЗКИ).
Согласно ст. 19, все по-прежнему решают, во-первых, Правительство РФ, которое исходя из собственных оценок вреда, актуальности угроз, а также с учетом вида деятельности оператора, объема и содержания ПДн устанавливает «уровни защищенности» и требования, необходимые для их обеспечения, и, во-вторых, «уполномоченные органы» (ФСТЭК и ФСБ) — они определяют состав и содержание организационных и технических мер для выполнения установленных правительством требований. Право определять перечень угроз также отдано государственным органам, оператору в этой парадигме отведена роль простого исполнителя «спущенных сверху» мер. Единственное, в чем оператор может проявить фантазию, так это в определении «дополнительных» угроз, по каким-то причинам не учтенных правительством, но и эти действия нужно согласовать с «уполномоченными органами». По умолчанию ФСТЭК и ФСБ могут осуществлять контроль и надзор за исполнением мер по обеспечению безопасности ПДн только в государственных ИСПДн, однако согласно решению правительства могут быть наделены полномочиями и по контролю «частного сектора».
Таким образом, в законе имеются две диаметрально противоположные по содержанию статьи, сопоставляя которые, можно обнаружить один очень важный момент. Оператор обязан применять меры по обеспечению безопасности ПДн, в частности те, что указаны в ч. 2 ст. 18.1 (а среди них — отсылка на ст. 19), но с одной оговоркой: «если иное не предусмотрено настоящим федеральным законом или иными федеральными законами». Статьей 19 этого же самого «настоящего федерального закона» предусмотрен совсем другой «обязательный» подход. Получается, что «оговорка» ст. 18.1 наглухо перекрывает «луч света», а вместе с ним и надежды «либералов» на изменение ситуации. Положения ст. 19 свидетельствуют об усилении роли государства в части установления требований к обработке и защите ПДн и контроля их соблюдения операторами.
Все будет хорошо?
Нескрываемая радость «консерваторов», регуляторов и лиц, близких к ним, понятна — их авторитет и значимость лишь возрастают, а бизнес, связанный с подготовкой операторов к поголовному лицензированию, аттестации и сертификации, успешно развивается. Но чем же все-таки недовольны «либералы», ведь усиление контроля за обработкой ПДн со стороны государства, возможно, все же способно принести некоторую пользу, пусть и c помощью «давления» на недобросовестных операторов?
Своеобразным катализатором волны недовольства в рядах экспертного сообщества явился сам факт внезапной «корректировки» текста законопроекта. Он разрабатывался и согласовывался с заинтересованными сторонами более года, затем одобренная всеми версия была размещена на сайте Государственной думы и «провисела» там две недели, но за два дня до второго чтения законопроект был изъят, за сутки «кем-то» поправлен, а новый вариант в течение двух недель «продавлен» через Думу и Совет Федерации. Такой механизм законотворческой деятельности вызвал возмущение не только у независимых экспертов, но и у целого ряда общественных организаций и профессиональных объединений.
Эксперты-«консерваторы» сразу же заподозрили «либералов» в лоббировании интересов «недобросовестных» операторов, не желающих тратить свои собственные средства на обеспечение защиты такого «непонятного» актива, как ПДн. Тем не менее основной принцип безопасности — разумное со- отношение стоимости защитных мер и защищаемого актива —никто не отменял. Западные «уполномоченные органы» («комиссары») это понимают и пытаются отыскать оптимальный баланс между интересами оператора и субъекта, предоставляя первому возможность самостоятельно выбирать меры обеспечения безопасности и гарантируя второму получение компенсации за полученный ущерб. При этом «комиссары» проверяют порядок обработки ПДн оператором на соответствие принципам Конвенции и, что не менее важно, являются своего рода «связующим звеном» между операторами, субъектами и органами государственной власти («уполномоченные органы» независимы от государства и бизнеса), ведя к тому же огромную разъяснительную работу. Подход, предлагаемый «отечественными» государственными регуляторами, основан на подробном регламентировании организационных и технических мер обеспечения безопасности и последующем контроле их выполнения, а потому не соответствует современным европейским практикам.
Кроме того, методы и способы, предлагаемые регуляторами для обеспечения безопасности ПДн в ИСПДн, «списаны» с документов, регламентирующих защиту государственной тайны, а потому являются избыточными и, как следствие, дорогостоящими. Поскольку документы по защите государственной тайны разрабатывались около 20 лет назад, требования, «перекочевавшие» в область ПДн, не учитывают современных технологий обработки данных (прежде всего «виртуализацию» и «облачные вычисления») и потому для них неприменимы.
Осторожный оптимизм вселяет тот факт, что государственные органы, хотя и со скрипом, но сами признают указанные недостатки, в том числе и то, что на данный момент именно они являются основным источником утечек ПДн отчасти из-за отсутствия финансирования, отчасти из-за низкой квалификации и большой текучести кадров. Представитель Министерства связи и массовых коммуникаций (Минкомсвязи), выступая на 2-й Международной конференции «Защита персональных данных», сообщил, что его ведомство учтет эти факты при разработке проектов постановлений правительства, регламентирующих вопросы, указанные в ст. 19 152-ФЗ.
Таких постановлений, по словам представителя Минкомсвязи, будет четыре: перечень мер обеспечения безопасности ПДн для государственных и муниципальных органов, перечень уровней защищенности ПДн, перечень требований к защите ПДн для обеспечения требуемых уровней защищенности и порядок согласования с ФСБ и ФСТЭК предложений операторов по дополнительным угрозам ПДн. Правда, ожидать эти документы следует не раньше II квартала 2012 г., а до этого и операторам, и регуляторам придется жить в правовом вакууме: старые постановления правительства хотя и действуют, но не соответствуют требованиям нового законодательства. Тем не менее этот факт нисколько не мешает регуляторам уже сейчас проводить плановые проверки операторов на соответствие требованиям ст. 19 «нового» 152-ФЗ, т. е., по сути дела, применять меры, обозначенные в «старых» нормативных документах.
Помимо разрабатываемых ФСТЭК и ФСБ документов, определяющих состав и содержание мер защиты, в наступающем году регуляторы приготовили нам еще несколько сюрпризов, главным из которых, безусловно, станет новое Положение о лицензировании деятельности по ТЗКИ. Дело в том, что в мае уходящего года вместо известного закона 128-ФЗ «О лицензировании отдельных видов деятельности» был принят новый закон с таким же названием, но под другим номером —99-ФЗ. И старый, и новый законы относят ТЗКИ к лицензируемому виду деятельности, из-за чего уже достаточно продолжительное время между экспертами, юристами и регуляторами ведутся ожесточенные споры о том, можно ли считать «деятельностью» мероприятия, осуществляемые юридическим лицом своими силами и для собственных нужд.
Для того чтобы снизить накал страстей, в целях уточнения понятия «деятельность по техническому обслуживанию шифровальных (криптографических) средств» 24 ФСБ ввела в закон формулировку «за исключением случая, если деятельность осуществляется для собственных нужд юридического лица». В свою очередь, ФСТЭК не последовала примеру ФСБи не ввела такую формулировку в отношении деятельности по ТЗКИ, и теперь на вопрос, нужна ли лицензия для собственных нужд, ФСТЭК отвечает: да, так как в законе не сделано исключения.
Следует отметить, что указанная выше формулировка присутствовала и в старой редакции закона, однако замечать ее ФСТЭК почему-то стала только сейчас. Кроме того, в проекте нового Положения о лицензировании деятельности по ТЗКИ, одно время присутствовавшего на сайте ФСТЭК в открытом доступе, из перечня видов лицензируемых мероприятий была убрана «эксплуатация средств защиты информации», однако имелся «контроль защищенности конфиденциальной информации от несанкционированного доступа и модификации».
При таком подходе все без исключения операторы, обрабатывающие ПДн автоматизированным способом, будут обязаны либо получать лицензии ФСТЭК на деятельность по ТЗКИ, стоимость владения которыми, по разным оценкам, составляет от 2,7 до 3,5 млн руб.28, либо заключить договор на выполнение мероприятий, предусмотренных Положением о лицензировании (таких, как установка, настройка и ремонт средств защиты информации), со специализированными фирмами, имеющими такую лицензию.
В развитие темы «поголовного» лицензирования некоторые эксперты ожидают ужесточения требований и в других областях, таких как обязательная сертификация СЗИ и аттестация ИСПДн, тем более что для первой уже существует нормативная база: это постановление правительства № 330 от 15.05.2010, устанавливающее обязательную сертификацию единственным возможным способом оценки соответствия СЗИ, используемых для защиты ИСПДн. Правда, документ этот пока носит пометку «для служебного пользования», не зарегистрирован в Министерстве юстиции, недоступен большинству операторов и потому нелегитимен с точки зрения законодательства. Однако пессимисты, вспоминая опыт прохождения «законопроекта Резника», уверены о том, что снять пометку «ДСП», зарегистрировать в Минюсте и опубликовать это постановление — не такая уж и проблема.
Что касается обязательной аттестации ИСПДн, то здесь эксперты говорят о новой редакции документа «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), которая якобы уже подготовлена и содержит данное положение. Учитывая общий тренд, направленный на ужесточение требований во всех областях государственного регулирования, удивляться не приходится, но, как говорится, поживем — увидим.
Не остается в стороне и уполномоченный орган по защите прав субъектов ПДн — Роскомнадзор. Одним из требований евроконвенции является независимость уполномоченного органа от государственных и частных структур. Роскомнадзор по понятным причинам таковым не является, и этот факт долгое время не позволял довести процедуру ратификации Евроконвенции до логического завершения — Евросоюз просто не принимал у РФ ратификационную грамоту. Однако после решительного прорыва, достигнутого РФ по вопросу вступления в ВТО, Евросоюзу ничего не остается, кроме как признать Роскомнадзор независимым органом и принять наконец ратификационную грамоту, сделав ему тем самым главный новогодний подарок.
Роскомнадзор и сам готовит операторам «сюрпризы», обещая внести поправки в свой административный регламент, что позволит ему возбуждать дела об административных правонарушениях «в обход» прокуратуры и самостоятельно доводить их до суда. Кроме того, Роскомнадзор планирует расширить сотрудничество с другими ведомствами, в частности проверять наличие лицензий ФСТЭК и ФСБ, а также сертификатов на СЗИ и в случае их отсутствия сообщать «куда следует». Привлечение специалистов управления «К» МВД в качестве экспертов для проведения проверок выполнения требований по технической защите ИСПДн осуществляется уже сейчас, и Роскомнадзор собирается расширять эту практику, хотя правовые основания для этого весьма спорные.
Многие эксперты отмечают, что регуляторы чрезмерно увлечены проверками операторов, и при этом не уделяют должного внимания защите прав субъектов. Именно этот факт вызвал наибольшее негодование противников поправок, выступавших за вменение в обязанность операторов уведомление субъектов об утечках ПДн, ужесточение их ответственности при несоблюдении требований законодательства, а также за законодательные гарантии компенсации ущерба, нанесенного субъектам, однако законодатели тогда остались глухи к доводам экспертного сообщества. Зато теперь с подобными инициативами регулярно выступают представители различных думских фракций, выражая благое намерение сделать определенные шаги для разрешения указанных противоречий. Практика же показывает, что слова, как всегда, расходятся с делом: поправок в КоАП, ужесточающих ответственность операторов за утечки ПДн, в ближайшее время принимать не планируется.
Поэтому, поздравляя читателей журнала «Директор по безопасности» с наступающим Новым годом, автор статьи вынужден констатировать, что все мы, как субъекты, в случае утечки ПДн по-прежнему останемся «с носом», а потому должны быть бдительными: ведь никто, кроме нас самих, не позаботится о приватности нашей частной жизни.
Источник: Директор по безопасности
Теги: 152-ФЗ изменения