Об уведомлении об утечках ПДн

Об уведомлении об утечках ПДн
Несколько дней назад РБК опубликовал статью о том, что комитет Госдумы по конституционному законодательству одобрил к принятию в первом чтении законопроект о внесении изменений в ФЗ-152, который якобы обязывает операторов ПДн уведомлять об инцидентах с утечками ПДн субъектов.

В этой новости прекрасно все и лишний раз показывает, насколько стоит доверять всему, что пишут иногда журналисты, совершенно непогруженные в тему. В Госдуме нет комитета по конституционному законодательству (он был в прежнем созыве) - есть по государственному строительству и законодательству. И вот именно он действительно 18-го апреля на своем заседании рассматривал  законопроект, внесенный 3 с лишним года назад сенаторами Совета Федерации. Так случилось, что я участвовал в рабочей группе, которая этот законопроект писала и поэтому меня удивила фраза, что в законопроекте говорится об обязанности уведомлять об утечках ПДн. В законопроекте про это не говорится ни слова. И мне совсем непонятно о чем идет речь.

Чтобы говорить о данной норме, ее надо внести в законопроект. Текущий текст, внесенный в Госдуму, ее не содержит. Для внесения ее в новую редакцию нужно, как минимум, пройти первое чтение. Его еще не было и никаких событий вокруг этого законопроекта нет - последнее датируется октябрем прошлого года. Можно также внести новый законопроект по обязанности сообщать об утечках, но его никто не готовил и не вносил. Законопроект 2014-го года на эту тему жестко раскритиковал РКН, который отказался быть органом, собирающим факты утечек ПДн и инициирующим разбирательства по этому поводу. Да и ответственности у нас за отказ об уведомдении об утечках не предусмотрено (даже в проекте). Но тогда откуда возникла тема с уведомлением? Кто-то ее хочет внести? Кто? Когда? Как это будет формулироваться? Какое наказание? Пока вопросов больше чем ответов.

И вот сижу я и гадаю, что же имели ввиду журналисты РБК, которые написали свою статью и которая внесла сумятицу в головы экспертов, вовлеченных в тему нормативного регулирования обработки персональных данных.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!