Впечатления от заседания Консультативного совета РКН по Пдн

Впечатления от заседания Консультативного совета РКН по Пдн
Пока Совет Федерации почти единогласно принимал закон о "черных списках" (кстати, обратите внимани, я заголовок блога привел в соответствие с законом), Роскомнадзор проводил первое заседание обновленного Консультативного Совета, созданного в соответствии с ч. 9 ст. 23 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных".

Так случилось, что в состав Совета вошел и я, как активный эксперт по вопросам ПДн.Как написано на сайте РКН, произошло сокращение численности Совета почти в два раза за счет перераспределения компетенций его участников. В совещательный орган вошли 20 представителей общественных организаций и профессиональных ассоциаций, а также органов власти. При этом центр тяжести сместился в сторону независимых общественных деятелей – от государства осталось всего восемь представителей.

Правда, из этого списка на первом заседании многих не было. Представители АЗИ и МИДа были в отпуске, сенаторы принимали закон о черных списках и клевете, а депутат Железняк уехал на телевидение защищать также закон о черных списках. Поэтому заседание прошло в тихой и спокойной обстановке. На повестку вынесено было 3 вопроса - переизбрание председателя и его заместителя, определение планов работы на год и обсуждение законопроекта об увеличении наказания за несоблюдении требований ФЗ-152.

С первым вопросом решили все быстро. Со вторым отложили на следующее заседание, попутно решив собрать мнения участников о том, что надо рассматривать в первоочередном порядке. А вот по третьему вопросу ситуация оказалась интересной.

Во-первых, законопроект поменяли в сторону дифференциации составов правонарушений. Добавились статьи за отсутствие согласия (с ущербом и без него, с рецидивом и при получении дохода от обработки ПДн без согласия), незаконную обработку спецкатегорий ПДн и за нарушение порядка трансграничной передачи ПДн. Ну а основная статья 13.11 осталась такой же. Суть ее проста - оператор ОБЯЗАН выполнять требования ст.18, 18.1 и 19 ФЗ-152. И вот за невыполнение этих статей и надо наказывать рублем, иначе никто и дальше не будет заниматься темой ПДн. Иными словами, желание оставить наказание даже при отсутствии ущерба для субъектов - вполне осознанное. На Совете (не от РКН) звучала идея привязать штрафы к числу пострадавших субъектов, но ее быстро отмели.

Ну а дальше началось то, что вызвало у меня двойственное ощущение от Совета. С одной стороны мне, безусловно, приятно включение в состав этой организации, что позволяет надеяться на то, что мое мнение будет услышано. С другой, складывается впечатление, что Общественные и Консультативные советы нужны только для того, чтобы придать уже принятым по сути решениям видимость наличия независимой оценки общественными организациями. Это, кстати, тоже занесу в плюс - понимать как работают такие советы тоже полезно. Но я все-таки надеюсь, что мое впечатление обманчиво и к мнению участников все-таки прислушаются и, что самое главное, учтут.

Только приступив к обсуждению законопроекта, один из участников уже стал посматривать на висящие в зале заседаний часы, намекая, что два часа для заседания - это много и надо закругляться. В итоге пройдя по трем статьям КоАП, мы до трансграничной передачи так и не дошли. А она, на мой взгляд, наиболее взрывоопасна, т.к. нарушение установленного порядка трансграничной передачи - это по сути еще одна попытка давления на социальные сети, блоги, облака и т.п. Порядок-то, по сути, не установлен. Кстати, 2 часа на заседание - это еще одно открытие для меня. Я думал, что такие советы собираются чаще. Правда, от Павла Сундеева из МТС прозвучала идея между собраниями вести онлайн-общение и РКН обещал такую возможность реализовать, но по некоторым репликам я понял, что не все готовы активно работать между заседаниями (надеюсь, что я ошибаюсь). 4 квартальных заседания по 2 часа - вот и все, что выделяется Консультативному совету. Буду надеяться, что удастся и эти 8 часов использовать плодотворно.

Но вернемся к законопроекту. Финал обсуждения и вызвал двойственность впечатления. Всеми правдами и неправдами из участников Совета "вырвали" из уст согласие с законопроектом "в целом". Мне кажется, что именно ради этих слов, попавших в протокол заседания, все и затевалось (подтвердить это можно будет после выхода финальной редакции законопроекта или уже самого закона). Я могу повторить свою позицию, высказанную на заседании. Я не против увеличения штрафов за нарушения ФЗ-152, но при наличии двух условий. Первое. Наказывать надо за нанесенный ущерб, а не за невыполнение невыполнимых многими условий. Второе. Прежде чем вводить наказание надо сделать все, чтобы у операторов ПДн не было даже мысли о карательности РКН. А такие мысли появляются в условиях, когда регулятор не говорит, КАКнадо выполнять те или иные требования? Когда оператор вынужден один на один с законом пытаться понять, что имелось ввиду под тем или иным требованием? Когда оператор не будет тратить миллионы на то, что могло бы быть разработано и выложено в качестве шаблонов на сайте РКН. Вот тогда можно ужесточать наказание за невыполнение требований (в Европе сделано именно так).

На такую мою позицию коллеги из РКН, участвующие в Совете, ответили, что критику разделяют и делают все, чтобы такого мнения о "карательности" РКН не было; что проводятся регулярные совещания с территориальными органами и им доносится правильная позиция и готовятся разъяснения. В частности, до терорганов должна быть вскорости донесена позиция, то для обработки сведений о ближайших родственниках в Т-2 согласия брать не нужно. Если я правильно понял, то речь идет об исключении ст.6.1.1 (обработка ПДн необходима для выполнения возложенных законодательством на оператора ПДн обязанностей). Это позитивно, что центральный аппарат проводит такие разъяснения для территоральных органов. Главное, чтобы такие разъяснения появились и на сайте РКН для операторов ПДн - РКН обещал подумать над этим.

Собственно на этом заседание и закончилось. В течение недели члены совета должны отправить свои предложения по планам работы на год и замечания по законопроекту.
Роскомнадзор персональные данные
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!