июля 19

Вчера удалось-таки прочитать законопроект “О внесении изменений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона “Об информации, информационных технологиях и о защите информации“.

Свое мнение высказал здесь. Занятным кажется возможность изменения названия лицензии на ТЗКИ.

Post to Twitter

2565 . 1066

Другие записи

Автор: Царев Евгений | Метки: , ,

июля 14

Со мной регулярно связываются представители российских коллекторских агентств с просьбой дать разъяснение по тому или иному вопросу, связанному с персональными данными. Недавно обратились представители международного агентства. Особенно был интересен, тот факт, что большая доля бизнеса этой компании находится в Украине, где буквально 2 недели назад президент Янукович подписал украинскую версию закона о персональных данных (в своем твиттере в тот момент я написал, что сочувствую Украине ;-) ). В разговоре мне было интересно не только отвечать на вопросы, но и задавать их.

В результате получилось довольно интересное интервью, которое мы решили оформить и  опубликовать.

Обратите внимание, что большинство коллизий, на которые указывает Людмила существуют и в нашей нормативной базе, более того даже противодействие новым нормам схожи с «российской версией». Воистину братские народы.

Итак…

Общаемся мы с Людмилой Бец, представителем международной коллекторской компании.

Людмила добрый день. Для начала расскажите в общем о законе. О том, какие проблемы? Что настораживает? Как относятся к персональным данным в Украине простые граждане? Были ли уже какие суды? и т.д.

Закон о защите персональных данных в Украине уже подписан главой государства. Надеюсь, до введения в силу его все-таки доработают, с целью исключения неприменимых мер. Украинская ассоциация банков подавала прошение о ветировании закона с целью его доработки.

В России, на мой взгляд, поступили более разумно – и регистрируют не базы персональных данных, а их операторов. А это значительно облегчает исполнение норм закона.

У нас же в Украине, регистрации подлежат сами базы данных. Т.е. грубо говоря, если у тебя есть телефон со списком контактов и нет письменного подтверждения с разрешением на коммуникацию – ты нарушитель закона. И любая коммерческая организация, имеющая портфель клиентов, автоматически становится обладателем базы, которую нужно регистрировать.

Еще пример: оператор по работе с базами данных, по закону будет обязан уведомлять субъектов о любых изменениях в их персональных данных, просить разрешение на их использование для той или иной цели. Можете себе представить должника, который даст разрешение коллекторам писать ему письма с требованием суммы долга? А еще по закону мы обязаны исключить субъекта из нашей базы данных по его просьбе, а затем уведомить его об этом. Т.е. удаляем строку в базе данных, и сразу высылаем письмо по только что удаленному адресу. Как это исполнить физически? В применении к нашему полю деятельности – с введением закона в силу мы получим массовые запросы от должников с просьбой удалить данные из нашей базы.

Своя рубашка, конечно ближе к телу, но кому у нас не позавидуешь при введении закона – так это электронной коммерции ;-)

Есть откровенно анекдотические определения, к примеру: “…Действие закона не распространяется на … журналистов и профессиональных творческих работников“. А почему, собственно?

В отношении граждан – на моей памяти был один случай (еще до появления этого закона), когда гражданка подала в суд на ДМ-оператора, который ей прислал письмо от имени одного из предвыборных кандидатов. Но прецедент создать не удалось, она проиграла.

А после принятия Закона о персональных данных, Украинский Хельсинский союз по правам человека также обратился к президенту с просьбой ветировать закон, как несоответствующий европейским стандартам и несущий серьезную угрозу свободе слова в Украине.

У нас регистрация происходит подачей уведомления в Роскомнадзор. Как должна происходить регистрация баз данных в Украине?

Регистрация базы данных существует пока в теории, а она такова (цитирую закон):

“1. База ПД обязательно подлежит регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты ПД в Государственный реестр баз персональных данных.
2. Регистрация базы данных осуществляется по заявочному принципу путем уведомления.
3. Заявление о регистрации базы ПД подается владельцем базы ПД в уполномоченный государственный орган по вопросам защиты ПД.
Заявление должно содержать:
- заявление о внесении базы ПД в Государственный реестр
- информацию про владельца базы ПД
- информацию о названии и местонахождении базы ПД
- информацию о цели обработки ПД в базе ПД, сформулированную в соответствии со ст. 6 и 7 данного Закона*
- информацию о других распорядителях базы ПД
- подтверждение обязательства об исполнении требований защиты ПД, установленных законодательством о защите ПД

4. Уполномоченный государственный орган по вопросам защиты ПД в порядке, утвержденном Кабинетом Министров Украины:
- уведомляет заявителя по позднее следующего рабочего дня со дня получения заявления о его получении
- принимает решение о регистрации базы ПД в течение 10 рабочих дней со дня поступления заявления
- владельцу базы ПД выдается документ установленного образца о регистрации базы данных в Государственном реестре.
5. Уполномоченный государственный орган по вопросам защиты ПД отказывает в регистрации базы ПД, если заявление о регистрации не соответствует требованием части 3 этой статьи.
6. Владелец базы ПД обязан уведомлять уполномоченный государственный орган по вопросам защиты ПД о каждом изменении данных, необходимых для регистрации соответствующей базы ПД, не позднее, чем в течение 10 дней со дня наступления такого изменения.
7. Уполномоченный государственный орган по вопросам защиты ПД в течение 10 дней со дня получения уведомления об изменении данных, необходимых для регистрации соответствующей базы ПД, должен принять решение относительно указанного изменения и уведомить об этом владельца базы ПД.
____________________________________
*Статья 7 закона о защите ПД – “Особенные требования к обработке ПД”
Статья 8 – “Права субъекта ПД”

Вы сказали что “если у тебя есть телефон со списком контактов и нет письменного подтверждения с разрешением на коммуникацию – ты нарушитель закона” Распространяется ли действие закона на случаи, если обработка ведется для личных и семейных нужд?

Нет, только в случае использования данных для рабочих нужд. Но признайте, сколько в Вашем телефоне контактов друзей/родных, а сколько рабочих? У меня получилось соотношение 1:50, приблизительно.

У нас регуляторами являются ФСТЭК, ФСБ и Роскомнадзор. Как будет регулироваться исполнение закона в Украине?

Для контроля за исполнением Закона о защите ПД будет создан специальный гос. орган по защите ПД (очередная кормушка, полагаю).

Вы сказали, что электронной коммерции не позавидуешь? Какие именно нормы на ваш взгляд наиболее опасны для них? Может быть, есть информация от представителей этой отрасли?

В законе прописано обязательное письменное уведомление (в электронном виде – не считается) субъектов базы ПД о любых манипуляциях с ПД – при объемах, которыми оперирует ЭК, затраты на исполнение норм закона серьезно перекосят их бюджеты.

Как вы оцениваете шансы доработки закона, и что на ваш взгляд желательно доработать в первую очередь?

Надежда на доработку закона есть. Украинская ассоциация директ-маркетинга уже готовила свои замечания по его усовершенствованию.

С точки зрения здравого смысла Закон страшно читать. Недаром на семинаре, посвященном его принятию в ВР, не явился ни один представитель власти. По информации, полученной от моих коллег, также интересующихся данным вопросом, за основу его был принят проект закона о защите ПД для Евросоюза, разработанный годах так в 90-х. Отсюда и откровенно устаревшие процедуры и методы применения. Необходимо привести Закон в соответствие с сегодняшними тенденциями в бизнесе и технологиями по защите ПД. Скорость, с которой был состряпан закон, объясняет ускоренная подготовка Украины к ЕВРО-2012 и необходимость привести законодательство в соответствии с нормами ЕС.

______________________________________________

Спасибо Людмиле, лично мне информация показалась очень интересной. Ситуация напоминает 2008-й год у нас.

Если у вас есть что добавить прошу писать в комментариях, по возможности Людмила ответит на вопросы.

Post to Twitter

4061 . 1538

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , ,

июля 05

Помимо долгожданного «Письма шестерых», сегодня наткнутся на очередное письмо ФСТЭК, адресованное Минздравсоцразвития. В нем обосновывается необходимость ОБЯЗАТЕЛЬНОГО получения лицензии на ТЗКИ, в случае если учреждения здравоохранения ведут мероприятия по технической защите персональных данных для СОБСТВЕННЫХ нужд.

Очевидно, что это мнение ФСТЭК распространяется не только на учреждения здравоохранения…

И вновь покой нам только снится…

Post to Twitter

6149 . 2300

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , ,

июня 26

  • А что будет за невыполнение требований ФЗ-152 «О персональных данных»?

Ответ банальный:

  • Лица, виновные в нарушении требований несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную в РФ ответственность.
  • Ну… это понятно, а что реально?
  • Придут, посмотрят. Если будут нарушения, выдадут предписание, может быть, будет штраф.
  • А какой штраф?
  • Обычно 10 000 – 20 000 рублей.
  • У-у-у-у… так я буду платить эти штрафы хоть каждый месяц!

Позиция имела бы право на существование, если бы не одно НО.
Для начала история, которую показывали вчера в новостях:

В Ставропольском крае за тонировку стекол сажают.

Схема следующая. Сначала в соответствии с законом инспектор выписывает штраф в размере 100 рублей и выдает предписание, «снять в течение суток не соответствующее госстандарту затемнение».

Если через сутки машину с тонировкой остановят снова, а пленка все еще на месте, наказывать будут уже не за тонировку, а за неисполнение предписания. За это Административным кодексом, а именно статьей 19.3 предусмотрено наказание до 15 суток ареста.

Похожая схема возможна и в случае с персональными данными, только в случае невыполнения предписания включается статья 19.5 КоАП РФ. Мягко говоря, не самая приятная.

Другими словами отмахиваться от 152-ФЗ после получения предписания уже не получится.

Ну и еще одна деталь. Если предписания Роскомнадзора выполнить своими силами в относительно короткие сроки реально, то возможные технические предписания ФСТЭК выполнить сложнее, тем более, если учитывать особенности выделения денежных средств на некоторых предприятиях, когда закупка оборудования планируется за 1-1,5 года.

Ну и самое обидное – чтобы ни произошло, в конечном итоге предписание придется выполнить.

Post to Twitter

7067 . 2555

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , , , ,

июня 09

Коллеги свершилось! Очень долго участники рынка ждали новой версии Стандарта Банка России с составляющей по защите персональных данных. И вот теперь «Комплекс БР ИББС» окончательно согласован с ФСТЭК, ФСБ и Роскомнадзором.

Первоначально согласование планировалось до банковской конференции 15 апреля, но по ряду причин работа затянулась. И вот сегодня, вышел пресс-релиз Ассоциации российских банков, поставивший точку в этом вопросе.

На самом деле, это очень знаковое событие. Теперь банковское сообщество получило качественные и адаптированные методические рекомендации по защите персональных данных. Требования по защите персональных данных в рамках СТО БР ИББС стали более понятными и простыми, по сравнению с общими требованиями ФСТЭК и ФСБ.

Теперь у кредитно-финансовых учреждений есть выбор:

1) Принять для себя СТО БР ИББС обязательным в полном объеме и приступить к обеспечению информационной безопасности в нормальном режиме с поддержкой основного регулятора (ЦБ).

2) Не принимать для себя СТО БР ИББС обязательным в полном объеме и биться с ФСТЭК, ФСБ и Роскомнадзором на общих основаниях и в рамках существующих документов регуляторов.

На мой взгляд выбор очевиден, нужно проводить работу по приведению в соответствие стандарту, это выгодно как с точки зрения тактики, так и с точки зрения стратегии.

Post to Twitter

8266 . 2590

Другие записи

Автор: Царев Евгений | Метки: , , , , , , , , , , , , ,