Сегодня, 9-го декабря, спустя 5 месяцев после публикацией нами открытого письма Президенту по поводу внесений изменений в ФЗ-152, хотелось бы подвести промежуточные итоги. Письмо, отправленное через Администрацию Президента, было направлено по подведомственности в Минкомсвязь, в Департамент создания и развития информационного общества. Была организована встреча с руководством Департамента, на которой нас пригласили к совместной работе над подзаконными актами, которые должны выйти во исполнение нового, на тот момент еще законопроекта.
Нами было предложено несколько идей:
Алексей Волков, Александр Токаренко, Александр Бондаренко, Женя Царев и я предложили конкретные формулировки там, где это можно было сделать (п.1, 2 и 5).
Ответом нам стало "Статус Ваших предложений - предложения-)). К сожалению, большая часть из них не по-нашему столу. Они больше для наших коллег по этому процессу. Сейчас для нас основная задача - подготовка подзаконных актов, в том числе требований. Как они будут подготовлены, так и будет работать закон. Ваши предложения мы постараемся учесть на этом этапе, хотя я уверен, что и мы и Вы еще не раз будем это обсуждать".
В рамках дальнейшей дискуссии выяснилось, что у нас есть возможность поучаствовать в формировании содержания двух Постановлений Правительства:
Александр высказал мысль, что представленная схема слишком сложна для восприятия , а это в свою очередь означает, что либо законодатели не поймут и не примут документ в таком виделибо операторы поймут еще меньше и начнутся премудрости. Консенсуса у нас в группе найдено не было и предложения были в двух вариантах - как предлагал Алексей и как предлагал Александр.
В ноябре появилась информация о промежуточных результатах. Правительство поручило разработку указанных выше двух Постановлений ФСТЭК и ФСБ и Минкомсвязь переслал наши предложения регуляторам, которые должны утвердить указанные документы в 1-2 кварталах следующего года. Теперь остается только ждать...
Нами было предложено несколько идей:
- Внести в КоАПП и УК РФ (здесь надо уточнить просто формулировку ст.138 УК РФ) ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.
- Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».
- Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.
- Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.
- Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие факта утечек ПДн субъектов.
Алексей Волков, Александр Токаренко, Александр Бондаренко, Женя Царев и я предложили конкретные формулировки там, где это можно было сделать (п.1, 2 и 5).
Ответом нам стало "Статус Ваших предложений - предложения-)). К сожалению, большая часть из них не по-нашему столу. Они больше для наших коллег по этому процессу. Сейчас для нас основная задача - подготовка подзаконных актов, в том числе требований. Как они будут подготовлены, так и будет работать закон. Ваши предложения мы постараемся учесть на этом этапе, хотя я уверен, что и мы и Вы еще не раз будем это обсуждать".
В рамках дальнейшей дискуссии выяснилось, что у нас есть возможность поучаствовать в формировании содержания двух Постановлений Правительства:
- «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных»
- «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных».
Александр высказал мысль, что представленная схема слишком сложна для восприятия , а это в свою очередь означает, что либо законодатели не поймут и не примут документ в таком виделибо операторы поймут еще меньше и начнутся премудрости. Консенсуса у нас в группе найдено не было и предложения были в двух вариантах - как предлагал Алексей и как предлагал Александр.
В ноябре появилась информация о промежуточных результатах. Правительство поручило разработку указанных выше двух Постановлений ФСТЭК и ФСБ и Минкомсвязь переслал наши предложения регуляторам, которые должны утвердить указанные документы в 1-2 кварталах следующего года. Теперь остается только ждать...
