Вчера удалось-таки прочитать законопроект “О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона “Об информации, информационных технологиях и о защите информации“. Свое мнение высказал здесь. Занятным кажется возможность изменения названия лицензии на ТЗКИ.
2565 . 1066 Другие записи
Со мной регулярно связываются представители российских коллекторских агентств с просьбой дать разъяснение по тому или иному вопросу, связанному с персональными данными. Недавно обратились представители международного агентства. Особенно был интересен, тот факт, что большая доля бизнеса этой компании находится в Украине, где буквально 2 недели назад президент Янукович подписал украинскую версию закона о персональных данных (в своем твиттере в тот момент я написал, что сочувствую Украине В результате получилось довольно интересное интервью, которое мы решили оформить и опубликовать. Обратите внимание, что большинство коллизий, на которые указывает Людмила существуют и в нашей нормативной базе, более того даже противодействие новым нормам схожи с «российской версией». Воистину братские народы. Итак…
Людмила добрый день. Для начала расскажите в общем о законе. О том, какие проблемы? Что настораживает? Как относятся к персональным данным в Украине простые граждане? Были ли уже какие суды? и т.д. Закон о защите персональных данных в Украине уже подписан главой государства. Надеюсь, до введения в силу его все-таки доработают, с целью исключения неприменимых мер. Украинская ассоциация банков подавала прошение о ветировании закона с целью его доработки. В России, на мой взгляд, поступили более разумно – и регистрируют не базы персональных данных, а их операторов. А это значительно облегчает исполнение норм закона. У нас же в Украине, регистрации подлежат сами базы данных. Т.е. грубо говоря, если у тебя есть телефон со списком контактов и нет письменного подтверждения с разрешением на коммуникацию – ты нарушитель закона. И любая коммерческая организация, имеющая портфель клиентов, автоматически становится обладателем базы, которую нужно регистрировать. Еще пример: оператор по работе с базами данных, по закону будет обязан уведомлять субъектов о любых изменениях в их персональных данных, просить разрешение на их использование для той или иной цели. Можете себе представить должника, который даст разрешение коллекторам писать ему письма с требованием суммы долга? А еще по закону мы обязаны исключить субъекта из нашей базы данных по его просьбе, а затем уведомить его об этом. Т.е. удаляем строку в базе данных, и сразу высылаем письмо по только что удаленному адресу. Как это исполнить физически? В применении к нашему полю деятельности – с введением закона в силу мы получим массовые запросы от должников с просьбой удалить данные из нашей базы. Своя рубашка, конечно ближе к телу, но кому у нас не позавидуешь при введении закона – так это электронной коммерции Есть откровенно анекдотические определения, к примеру: “…Действие закона не распространяется на … журналистов и профессиональных творческих работников“. А почему, собственно? В отношении граждан – на моей памяти был один случай (еще до появления этого закона), когда гражданка подала в суд на ДМ-оператора, который ей прислал письмо от имени одного из предвыборных кандидатов. Но прецедент создать не удалось, она проиграла. А после принятия Закона о персональных данных, Украинский Хельсинский союз по правам человека также обратился к президенту с просьбой ветировать закон, как несоответствующий европейским стандартам и несущий серьезную угрозу свободе слова в Украине. У нас регистрация происходит подачей уведомления в Роскомнадзор. Как должна происходить регистрация баз данных в Украине? Регистрация базы данных существует пока в теории, а она такова (цитирую закон): “1. База ПД обязательно подлежит регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты ПД в Государственный реестр баз персональных данных. Вы сказали что “если у тебя есть телефон со списком контактов и нет письменного подтверждения с разрешением на коммуникацию – ты нарушитель закона” Распространяется ли действие закона на случаи, если обработка ведется для личных и семейных нужд? Нет, только в случае использования данных для рабочих нужд. Но признайте, сколько в Вашем телефоне контактов друзей/родных, а сколько рабочих? У меня получилось соотношение 1:50, приблизительно. У нас регуляторами являются ФСТЭК, ФСБ и Роскомнадзор. Как будет регулироваться исполнение закона в Украине? Для контроля за исполнением Закона о защите ПД будет создан специальный гос. орган по защите ПД (очередная кормушка, полагаю). Вы сказали, что электронной коммерции не позавидуешь? Какие именно нормы на ваш взгляд наиболее опасны для них? Может быть, есть информация от представителей этой отрасли? В законе прописано обязательное письменное уведомление (в электронном виде – не считается) субъектов базы ПД о любых манипуляциях с ПД – при объемах, которыми оперирует ЭК, затраты на исполнение норм закона серьезно перекосят их бюджеты. Как вы оцениваете шансы доработки закона, и что на ваш взгляд желательно доработать в первую очередь? Надежда на доработку закона есть. Украинская ассоциация директ-маркетинга уже готовила свои замечания по его усовершенствованию. С точки зрения здравого смысла Закон страшно читать. Недаром на семинаре, посвященном его принятию в ВР, не явился ни один представитель власти. По информации, полученной от моих коллег, также интересующихся данным вопросом, за основу его был принят проект закона о защите ПД для Евросоюза, разработанный годах так в 90-х. Отсюда и откровенно устаревшие процедуры и методы применения. Необходимо привести Закон в соответствие с сегодняшними тенденциями в бизнесе и технологиями по защите ПД. Скорость, с которой был состряпан закон, объясняет ускоренная подготовка Украины к ЕВРО-2012 и необходимость привести законодательство в соответствии с нормами ЕС. ______________________________________________ Спасибо Людмиле, лично мне информация показалась очень интересной. Ситуация напоминает 2008-й год у нас. Если у вас есть что добавить прошу писать в комментариях, по возможности Людмила ответит на вопросы.
4061 . 1538 Другие записи
Помимо долгожданного «Письма шестерых», сегодня наткнутся на очередное письмо ФСТЭК, адресованное Минздравсоцразвития. В нем обосновывается необходимость ОБЯЗАТЕЛЬНОГО получения лицензии на ТЗКИ, в случае если учреждения здравоохранения ведут мероприятия по технической защите персональных данных для СОБСТВЕННЫХ нужд. Очевидно, что это мнение ФСТЭК распространяется не только на учреждения здравоохранения… И вновь покой нам только снится…
6149 . 2300 Другие записи
Ответ банальный:
Позиция имела бы право на существование, если бы не одно НО. В Ставропольском крае за тонировку стекол сажают. Схема следующая. Сначала в соответствии с законом инспектор выписывает штраф в размере 100 рублей и выдает предписание, «снять в течение суток не соответствующее госстандарту затемнение». Если через сутки машину с тонировкой остановят снова, а пленка все еще на месте, наказывать будут уже не за тонировку, а за неисполнение предписания. За это Административным кодексом, а именно статьей 19.3 предусмотрено наказание до 15 суток ареста. Похожая схема возможна и в случае с персональными данными, только в случае невыполнения предписания включается статья 19.5 КоАП РФ. Мягко говоря, не самая приятная. Другими словами отмахиваться от 152-ФЗ после получения предписания уже не получится. Ну и еще одна деталь. Если предписания Роскомнадзора выполнить своими силами в относительно короткие сроки реально, то возможные технические предписания ФСТЭК выполнить сложнее, тем более, если учитывать особенности выделения денежных средств на некоторых предприятиях, когда закупка оборудования планируется за 1-1,5 года. Ну и самое обидное – чтобы ни произошло, в конечном итоге предписание придется выполнить.
7067 . 2555 Другие записи
Коллеги свершилось! Очень долго участники рынка ждали новой версии Стандарта Банка России с составляющей по защите персональных данных. И вот теперь «Комплекс БР ИББС» окончательно согласован с ФСТЭК, ФСБ и Роскомнадзором. Первоначально согласование планировалось до банковской конференции 15 апреля, но по ряду причин работа затянулась. И вот сегодня, вышел пресс-релиз Ассоциации российских банков, поставивший точку в этом вопросе. На самом деле, это очень знаковое событие. Теперь банковское сообщество получило качественные и адаптированные методические рекомендации по защите персональных данных. Требования по защите персональных данных в рамках СТО БР ИББС стали более понятными и простыми, по сравнению с общими требованиями ФСТЭК и ФСБ. Теперь у кредитно-финансовых учреждений есть выбор: 1) Принять для себя СТО БР ИББС обязательным в полном объеме и приступить к обеспечению информационной безопасности в нормальном режиме с поддержкой основного регулятора (ЦБ). 2) Не принимать для себя СТО БР ИББС обязательным в полном объеме и биться с ФСТЭК, ФСБ и Роскомнадзором на общих основаниях и в рамках существующих документов регуляторов. На мой взгляд выбор очевиден, нужно проводить работу по приведению в соответствие стандарту, это выгодно как с точки зрения тактики, так и с точки зрения стратегии.
8266 . 2590 Другие записи |
СсылкиКликнуть, чтобы подписаться на новости:
Есть представительство в ЖЖ:Ресурсы:Рубрики
|
Мой профиль
|
). В разговоре мне было интересно не только отвечать на вопросы, но и задавать их.
Последние комментарии