четверг, 16 июня 2011 г.

Новая редакция закона о персональных данных

17-го июня Госдума собирается рассмотреть и возможно принять сразу во 2-м и 3-м чтении новую редакцию 152-ФЗ "О персональных данных".

Неплохой анализ нововведений уже сделал в своем блоге Алексей Волков, поэтому я ограничусь только дополнениями.

Т.к читать законопроект в отрыве от основного закона трудно, я сделал редакцию со всеми исправлениями (отмечено в документе желтым). Скачать ее можно здесь.

При всех безусловно позитивных сдвигах в документе, что смутило (я бы даже сказал огорчило) лично меня:

1) закон вступает в силу с 1 июля 2011 г, а решение о присоединении к какому-либо стандарту по безопасности (согласно требований закона) нужно тоже принять до 1 июля. Мне кажется это как-то не логично с правовой точки зрения

2) Законопроект вводит обязательство присоединения к какому-либо стандарту по безопасности (причем решение как я уже сказал нужно принять до 1 июля :) ). Зачем всех поголовно загонять под стандарты ? Ну я понимаю банки, телекомы, другие крупные отрасли.... но они про малый бизнес подумали ? Вот что делать, например, автосервисам ? Разрабатывать самим стандарт ? Более того, для большинства организаций подходы к защите ПДн будут очень схожи. Тут скорее нужен стандарт на уровне государства. Что-то вроде ISO 27001/27002. Но даже в этой ситуации нельзя делать такую обязаловку.

3) В законопроекте ничего не сказано об ответственности оператора в случае утечки персональных данных. Понятно, что теоретически можно обратиться в суд за возмещением морального и материального вреда. Но... мы же знаем как у нас суды работают. Таким образом мы получаем, что контроля со стороны ФСТЭК и ФСБ больше нет, есть только РКН, который может вынести предупреждение. Короче у нас как и прежде будут больше боятся проверяющих и не думать о реальной защите. А это грустно, коллеги...

Обновление 01.07.2011.
Все снова круто поменялось, см. здесь

6 комментариев:

  1. > причем решение как я уже сказал нужно принять до 1 июля :)

    Совсем нет.


    Ст. 25: 21. Операторы, которые осуществляют обработку персональных данных до 1 июля 2011 года, обязаны принять решение, ... не позднее 1 января 2013 года.
    22. Операторы, которые осуществляют обработку персональных данных до 1 июля 2011 года, обеспечившие безопасность персональных данных в соответствии с требованиями,... обязан уведомить уполномоченный орган по защите прав субъектов персональных данных не позднее 1 января 2012 года.»;

    ОтветитьУдалить
  2. "...В законопроекте ничего не сказано об ответственности оператора в случае утечки персональных данных..."

    Увы, это и делает из закона погремушку. :о(

    ОтветитьУдалить
  3. Алексею: Операторы, которые осуществляют обработку персональных данных до 1 июля 2011 года, обеспечившие безопасность персональных данных в соответствии с требованиями Правительства.

    Это что значит ? Какие требования ? Я понимаю это как организации, выполнившие требования 781, 687 ПП и как следствие требования ФСТЭК и ФСБ. Плохая альтернатива присоединению к стандартам.

    ОтветитьУдалить
  4. ну да. те кто уже защитил по ПП, тем не надо присоединяться к стандартам, а тем кто не защитил - тем надо.

    ОтветитьУдалить
  5. > Плохая альтернатива присоединению к стандартам.

    Этот пункт для тех, кто уже все сделал и изрядно потратился - такие организации мне известны. Так сказать, компенсация за бесцельно потраченные деньги.

    ОтветитьУдалить
  6. Меня терзают смутные сомнения, что рассмотрят сегодня во 2 и 3 чтении законопроект...в повестке дня в ГД не значится данный законопроект.

    ОтветитьУдалить