Реклама


Автор Тема: Новая редакция закона о ПД: нужно ли нам бояться?  (Прочитано 2140 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн TotiАвтор темы

  • Администратор
  • Ветеран
  • *****
  • Сообщений: 11902
  • Карма: 223
  • Все намного проще, чем кажется
  • Referrals: 4
    • Просмотр профиля
    • Идеи бизнеса
  • Город: Сланцы
  • Страна: Россия
  • Рейтинг: +1059/-27
0
В конце июля Президент подписал законопроект о внесении поправок в федеральный закон «О персональных данных». Закон этот был опубликован в "Российской газете" 27 июля, и тогда же вступил в силу. Вдобавок, ему придана еще и «обратная сила»: действие его распроостраняется и на те правоотношения, которые возникли с 1 июля. Принятию предшествовала бурная дискуссия: несколько специалистов в области информационной безопасности обратились к Президенту с открытым письмом, в котором призвали его закон ни в коем случае не подписывать. По мнению подписантов письма, предлагаемые поправки не соответствуют конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», хотя целью проекта было именно выполнение ее требований.

Та схема определения мер по защите персональных данных, которая принята сейчас, в корне противоречит конвенционной. По конвенции лицо, которое обрабатывает информацию, может само определять, с помощью каких средств можно их защищать. А вот отечественный закон сам устанавливает такие требования, предусматривая ответственность за их неисполнение. Причем, по мнению авторов письма, требования эти представляют собой «методы и способы защиты государственной тайны 20-летней давности». Сам текст законопроекта изначально имел компромиссный характер, давая оператору персональных данных большую свободу действий при выборе средств защиты. Но в процессе принятия текст его был изменен. Ну что ж, давайте посмотрим, что за поправки.

На что распространяется закон?


Не так давно мы уже разбирали этот закон в его предыдущей редакции. И самым первым моментом, на который следовало обратить внимание, была сфера его действия. К сожалению, в самом законе она была описана не совсем понятно для широких народных масс: его требования распространялись только на такую обработку данных, которая либо «совершается с использованием средств автоматизации», либо «соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации». Что это за характер такой, раскрывалось в подзаконных нормативных актах, которые, как правило, никто не читает.

Теперь текст первой статьи закона изменен, в него добавлено разъяснение, которое касается именно этого момента: обработка данных «осуществляется с использованием средств автоматизации» в том случае, если она «позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным». Как уже говорилось в предыдущей статье, закон о ПД распространяется только на массовую обработку данных. Теперь это ясно обозначено в тексте. Однако, эта дополнительная конкретика была компенсирована изменением самого понятия персональных данных. Раньше под их определение попадала «любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу». Теперь к ПД относится «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Этими изменениями сфера действия закона расширяется до невообразимых пределов. Теперь персональными данными считается та информация, которая хоть как-то относится к определенному лицу, при этом не имеет значения, можно ли на ее основании установить личность, или требуется сопоставлять ее с данными из других источников.

Под регулирование закона сразу же попадают все до единого сайты в Интернете, даже те, которые не хранят имен с фамилиями. Адрес электронной почты, даже без какой-либо дополнительной информации ? это уже персональные данные, поскольку он косвенно относится к определяемому физическому лицу. Как и записи в блогах, адреса Интернет-мессенджеров, и куча другой информации, вплоть до оценок в зачетной книжке. Эта неопределенность неминуемо приведет (и уже приводит) к тому, что закон толкуется «как бог на душу положит», и наказанию за нарушение порядка работы с ПД может подвергнуться любой. Так было и в период действия старой редакции закона, но изменения поспособствуют большему распространению такой практики.

Вдобавок, в четвертой статье закона расширен круг органов, которые могут принимать нормативные акты в области охраны ПД: в их число включены дополнительно Банк России и муниципальные органы. Это вполне соответствует общему курсу закона к увеличению «зарегулированности» обработки персональных данных.

Когда не нужно спрашивать согласия?


Общим условием для обработки персональных данных является получение согласия на это их субъекта (то есть, лица, к которому относятся эти данные). Закон предусматривает ряд ситуаций, когда такое согласие получать не требуется. Поправками перечень таких ситуаций был значительно расширен, поскольку старая редакция явно не отвечала современным реалиям. В список таких ситуаций добавилось, например, осуществление правосудия и исполнение судебных актов. То, что этого основания не было в законе до этого ? явное упущение.

Согласия субъекта можно не спрашивать и при предоставлении государственных услуг. Кроме того, к списку таких ситуаций добавилась и такая, когда «обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных». Как вы понимаете, под «общественно значимыми целями» понимать можно довольно многое, например, сайты с разного рода «черными списками» в случае возникновения к ним претензий, скорее всего, именно на этоит пункт закона и будут ссылаться. Согласия можно не спрашивать и в том случае, если происходит обработка информации, сделанной публичной самим субъектом персональных данных. Как ни странно, такого исключения в предыдущей редакции закона не было, то есть, формально, согласие требовалось даже на обработку тех данных, которые были общедоступными.

Девятая статья закона, описывающая процедуру получения такого согласия, также подверглась существенным изменениям. В прежней редакции его можно было дать только в письменной форме, причем документ должен был содержать собственноручную подпись. Проще говоря, он должен был быть бумажным. Хотя ГК предусматривает возможность совершения сделок в письменной форме путем обмена документами, в том числе электронными, требование собственноручной подписи лишало такой возможности оператора и субьекта персональных данных. Альтернативой бумажному согласию был только документ, подписанный электронной подписью, распространенность которой в России была крайне мала.

Но сначала поменялся закон «Об электронной подписи»: в новом его варианте подписан документ может быть не только с помощью криптографического ПО, но и с помощью паролей, кодов подтверждаения, и прочих действий. Раньше они назывались аналогами собственноручной подписи, но по новому закону тоже стали «подписью».

Авторы поправок в закон о ПД пошли еще дальше и разрешили получать согласие на обработку «в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом». Закон может требовать и письменной формы, в этом случае подпись может быть и электронной. Включая и галочку «согласен» в форме регистрации сайта. Собственно, изначально никакой собственноручной подписи закон не требовал, ее необходимость была установлена внесением в него изменений. Теперь эти необдуманные изменения откатили обратно. Кроме этого, изменениям подверглась и статья 18, определяющая обязанности оператора ПД: был расширен перечень ситуаций, когда он может не уведомлять субьекта о том, что обрабатывает его персональные данные в тех случаях, когда получает их не от самого субьекта. От такого уведомления закон освобождает, например, в том случае, если обработка осуществляется для статистических или иных исследовательских целей, либо при осуществлении деятельности журналиста.

… и что же теперь изменится?


Ну, а теперь мы подошли к той самой статье (девятнадцатой), которая регулирует меры по обеспечению безопасности данных. В отличие от других статей закона, в нее поправками вообще не было внесено никаких изменений. Измененный вариант просто выбросили из законопроекта. Между тем, он также содержал в себе значительные послабления для операторов данных. В нынешнем варианте они обязаны принимать необходимые меры для защиты информации, при этом требования к обеспечению безопасности устанавливаются Правительством. Никаких исключений из этого правила не установлено. Но тот вариант статьи, который содержался в законопроекте, также предусматривал либеральные нововведения.

Те «необходимые меры», которые оператор должен принимать, были поставлены в зависимость от объема данных и характера их обработки, вреда, который может быть причинен утечкой, а также других факторов. Но самое главное ? Правительство получало право определять обязательные требования по защите только для государственных и муниципальных учреждений. То, как защищают информацию все остальные организации ? оставалось целиком на их совести.

Почему этот вопрос принципиален, можно легко понять, если знать, как проходит в России внедрение сертифицированных информационных систем. Хороший пример ? всем известная ЕГАИС, задачей которой был контроль «за каждой бутылкой спиртного в России». С задачей этой система не справилась, но на ее внедрение уже потрачены горы денег, в основном из-за немеряной стоимости сертифицированной техники и работ по ее обслуживанию. Правда, само ПО для работы системы писалось специально для нее, а для защиты персональных данных можно будет использовать уже существующие сертифицированные программы, что позволяет надеяться на более щадящие цены.

Но аппетиты поставщиков сертифицированных компьютеров предугадать трудно: например, типичный комплект ЕГАИСовской техники для работы ликеро-водочного завода стоит 650 тысяч рублей. Именно на чрезмерные расходы ссылались и подписанты упомянутого письма к Президенту: по их оценкам, затраты на выполнение требований закона могут достигать шести процентов валового внутреннего продукта страны. А если вы думали, что основной задачей закона была реальная защита персональных данных, то вы жестоко ошиблись. Как-либо защитить от утечек он просто не способен, наоборот, содержащиеся в нем жесткие требования только усложняют получение электронных услуг.

Как мы уже писали выше, ответственность нашим законодательством установлена за несоблюдение обязательных требований по защите информации. Но в то же время, если какая-то утечка данных на самом деле произойдет, никаких санкций за это просто не предусмотрено: привлечь оператора данных можно будет только по статье 13.11 КоАП, за «нарушение установленного законом порядка» обработки данных. Статья эта не делает разницы между простым нарушением и таким, которое повлекло какой-то ущерб. Кроме того, отсутствует какая-либо ответственность за скрытие информации об утечках данных. Еще одна «ходовая» статья КоАП – 19.7, устанавливающая ответственность за «непредоставление сведений, предоставление которых предусмотрено законом». Ее применяют в тех случаях, когда оператор не уведомляет Роскомнадзор о том, что начал обработку персональных данных ? такая обязанность предусмотрена статьей 22 закона о ПД. Как видите, и здесь ответственность применяется за несоблюдение формальных требований, независимо от того, причинен ли нарушением какой-либо ущерб. А вот простимулировать продажи сертифицированных компьютеров и программ закон может вполне.

http://habrahabr.ru/company/pravo/blog/126299/#habracut

Оффлайн welikii

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 6698
  • Карма: 96
  • пришло время думать на 10 лет вперёд
  • Referrals: 0
    • Просмотр профиля
  • Город: Москва.ВАО
  • Страна: рашка:)
  • Рейтинг: +1340/-45.4
  • Awards: За заслуги
непонятный закон...чем больше вокруг него шумихи,тем более непонятным он мне кажеться...
давайте ,, на пальцах ,,
1 чтобы протащить этот закон - была организована утечка личных данных от мегафона и ,, нескольких интернет магазинов ,, ( в основном торгующих резиновыми членами)
2 мне лично,на домашний телефон каждый день звонят всякого рода ,, личности,, каторые начинаю разговор с ,, а могу ли я поговорить с пользователем интернета,, - стало быть база моего провайдера утекла ,, налево ,, но мне от этого не легче...врядли я смогу получить за ,, моральный ущерб,,
3 всякого рода базы как сливались,так и будут сливаться...хотя мы все прекрастно понимаем,что вычеслить откуда ,, протекло ,, для грамотного сисадмина - дело 10 минут...мой домашний телефон находиться во всех базах каторые существуют...как вы щитаете,смогу я получить ,, моральный ущерб ,, ???? ;D ;D ;D

получаеться закон абсолютно нерабочий,и простому гражданину от него никакой пользы...но всётакие его протащили... ;D ;D ;D ;D
стало быть сам по себе этот закон ничего конкретного не несёт...скорее всего он нужен для ,, связки ,, и соответственно для чего то более серьёзного...

ведь если подумать,я зашол на страничку тоти в контакте,без его ведома...получаеться дуров не заботиться о сохранности данных...а это повод:)
 ;D ;D ;D ;D ;D

чтобы полее чётко обосновать свой взгляд приведу пример статьи ук о наркоте...сам по себе ряд этих статей достаточно простой,и отмазыться в каждом конкретном случае достаточно легко...
но - ты можеш потреблять,но не можеш хранить(статья,отмазываеться),если ты берёш прозапас(чтобы не бегать к барыги каждый день),это уже вторая статься ( отмазаться труднее,так как колличество)...если ты это колличество поделил на дозы ( исключительно для собственного употребления),то фасовка являеться доказательством сбыта:) а это уже до 15....
получаеться если ты запасливый наркоман,каторый берёт небольшие партии наркоты,исключительно для собственного потребления,то у тебя 15 лит написанно на лбу...хотя нет статьи запрещающий тебе употреблять...

мне кажеться тоже самое происходит и в ПД :)
выстраиваеться цепочка,попав в каторую,включаеться ,, лавина ,,

Открой свой бизнес всего за 36 000р.

 

3D ПРИНТЕР. Новая эра в Истории

Автор id139662501Раздел Дело требующее серьёзных усилий

Ответов: 37
Просмотров: 13837
Последний ответ 08 Апрель 2014, 08:33:50
от pavelL
Что-то типа лотереи, нужно ли какое-то разрешение?

Автор Key12Раздел Хочу узнать

Ответов: 1
Просмотров: 1667
Последний ответ 01 Август 2011, 17:20:16
от StockJob
Новая радиоуправляемая модель - будет продаваться десятками тысяч

Автор TotiРаздел Дело доступное любому

Ответов: 35
Просмотров: 11506
Последний ответ 20 Январь 2014, 11:18:20
от Toti
Как нужно расставаться с сотрудниками?

Автор TotiРаздел О сотрудниках

Ответов: 36
Просмотров: 5472
Последний ответ 26 Октябрь 2015, 17:24:43
от Сэм
Друзья-паразиты или Почему-то друзьям всегда что-то нужно от тебя.

Автор ДЖЕЙХУНРаздел Темы не о деле

Ответов: 25
Просмотров: 8168
Последний ответ 24 Октябрь 2011, 12:39:22
от Афина

Рекомендованные темы

Наш форум стоит того, что бы о нем рассказать -


Бизнес за 36 000 р

Открой свой бизнес всего за 36 000р.

Социальная сеть для бизнеса

Социальная сеть для бизнеса

Свежие комментарии

мастерская по изготовлению ключей на базе универсала или минивена от welikii
[10 Декабрь 2017, 17:38:48]


Барахольщик от welikii
[09 Декабрь 2017, 18:33:45]


Terrasale - социальная сеть помогающая бизнесу от Legioneer
[09 Декабрь 2017, 10:39:54]


Франшиза 1с бухобслуживание отзывы от Makar
[07 Декабрь 2017, 18:25:25]


Копирайтинг (ПРОДАЮЩИЕ тексты) для вашего бизнеса бесплатно. Увеличу ваши продаж от Николай Петрович
[06 Декабрь 2017, 08:50:55]


Пидарасы блин - олимпиада 2018 от welikii
[05 Декабрь 2017, 22:33:34]


Продажа Снеков от Человек
[05 Декабрь 2017, 13:30:58]


Перенесено: Доля инвестиций в семейном бюджете от Toti
[04 Декабрь 2017, 16:32:02]


Организация свиданий на крыше от Ogojoca
[02 Декабрь 2017, 23:58:41]


Детский клуб различной направленности от Сэм
[02 Декабрь 2017, 18:47:18]


Кролики. Да нет, не разведение! от Анатолий Палыч
[01 Декабрь 2017, 09:19:59]


Сбор улиток. от Наташа Зимина
[30 Ноябрь 2017, 23:52:37]


Детский лагерь от Наташа Зимина
[30 Ноябрь 2017, 23:48:50]


Выпечка тортов. от Inga
[30 Ноябрь 2017, 22:33:20]


Продажа вязанных игрушек от Inga
[30 Ноябрь 2017, 22:17:12]

Свое агентство



Реклама

Объявления

Бухгалтерия это просто

Следуй за нами

Наш канал в Телеграм




Кто онлайн

  • Точка Гостей: 38
  • Точка Скрытых: 0
  • Точка Пользователей: 0

Нет пользователей онлайн.

Поиск

 
SimplePortal 2.3.6 © 2008-2014, SimplePortal