Как будет действовать реестр нарушителей закона... не о персональных данных?

Как будет действовать реестр нарушителей закона... не о персональных данных?
В канун Дня Победы стал доступен проект Постановления Правительства "Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных", который разработан во исполнение в соответствии с частями 3, 4 статьи 15.5 Федерального закона... "Об информации, информационных технологиях и о защите информации", а не "О персональных данных", как часто ошибаются многие эксперты и журналисты. Согласно ФЗ-242 именно трехглавый закон у нас определяет, как будут наказывать нарушителей, нет, не всего закона о персональных данных, а тех, кто в нарушении закона публикует персональные данные в Интернет. Статья 15.5 четко про это говорит в самом начале: "В целях ограничения доступа к информации в сети "Интернет", обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, создается автоматизированная информационная система "Реестр нарушителей прав субъектов персональных данных".

Второе важное замечание относительно данного реестра, которое надо дать, - нарушение должно быть признано судом, а не Роскомнадзором. В части 5, статьи 15.5 четко сказано, что "основанием для включения в реестр нарушителей информации, указанной в части 2 настоящей статьи, является вступивший в законную силу судебный акт".

Иными словами, не так страшен ФЗ-242, как его малюют. Лишний раз подтверждается идея, высказанная на одном из совещаний на Старой площади, что бояться надо иностранным Интернет-компаниям, которые могут влиять на общественное мнение российских граждан (социальные сети и поисковые системы). В отношении остальных операторов ПДн применение данных норм представляется более чем непростым. А уж в случае обработки ПДн работников или клиентов компании во внутренних информационных системах компании, находящихся за пределами РФ, тем более. В Интернете эти данные обычно не публикуются и не обрабатываются, а следовательно блокировать доступ не к чему и вносить в реестр нечего.

Но есть парочка "но"... Первое касается ситуации с обработкой ПДн на Интернет-магазинах, гостиницах, форумах и т.п. Они в полной мере "попадают" под ст.15.5 ФЗ-149. Разумеется, если их владельцы имеют представительства на территории России. Это как минимум. На закрытых встречах замглавы РКН, г-жа Приезжева, утверждала также, что закон распространяется и на тех, кто представительств не имеет, но имеет русскоязычные разделы на своих сайтах. Комментировать не буду.

Второе "но" касается наказания. Если нельзя заблокировать доступ к базам данных, хранящим ПДн за пределами РФ (а это пока запрещено и РКН именно так трактует эту норму ФЗ-242), то это не значит, что у РКН нет рычагов воздействия на оператора-нарушителя. Не забываем, что они имеют право выдавать предписания об устранении выявленных нарушений и в случае его невыполнения существует наказание именно за отказ от выполнения этого предписания. Так что учитывайте.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь