22 августа 2011 г.

Поговорим «по понятиям»

Занимаюсь коренной переработкой своих авторских курсов по тематике защиты персональных данных. Изменений много, и не только в ФЗ-152, и чем дальше влезаешь, тем сложнее видится ситуация.
В качестве одного из аргументов в пользу новой редакции закона «О персональных данных» очень часто приводится тезис о совершенствовании понятийного аппарата. В значительной степени готов согласиться с этим утверждением, но некоторые моменты существенно уменьшают оптимизм.
Давайте поговорим о терминах и определениях нового закона – ведь от понятийной базы зависит многое, если не все, в последующем правоприменении.
Что же изменилось и как? И что не изменилось, хотя и нуждалось в этом?
Анализировать будем не «вообще» и не на тему, как закон соответствует духу новых европейских документов или что об этом когда-нибудь напишут в NIST, BSI или ISO, а конкретно.
Вроде бы все уже согласились с очевидным: плохо это или хорошо, ФЗ -152 заточен на проверку выполнения формальных требований, а не на реакцию на инциденты с персданными. В данной ситуации главное - что подлежит контролю  и надзору. Цитирую ФЗ-294 в последней (как и в предыдущей) редакции: «Предметом плановой/внеплановой проверки является соблюдение юридическим лицом, индивидуальным предпринимателем в процессе осуществления деятельности обязательных требований». Про муниципальные требования пропустим, поскольку к делу не относятся.
Мой главный аргумент против закона я уже много раз озвучивал. Он связан с тем, что оператор может, а что - должен. Поэтому не разделяю энтузиазма по поводу новой статьи 18прим. ИМХО, она ужасная...
Часть первая. [Оператор] Самостоятельно определяет меры... Счастье. И, там же, "к мерам могут относиться" - опубликование политики в том числе. МОГУТ!
Часть вторая. "Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику". Так «могут» или «обязан»? Задумчивость.
Часть четвертая. "Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных". Если могут, то как же обязан представить? Взрыв мозгов и торжествующий инспектор на пороге...
Ст.22прим. "Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных". Подождите, в 18прим мог назначать?
Про техническую защиту вообще молчу - будем ждать подзаконных актов.
Основное. Определение персональных данных стало другим. Определение базовое, краеугольное и основополагающее. Как в Конвенции, убеждают нас сторонники новой редакции закона. «Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)».
Меня лично слово «косвенно» просто убивает. Никогда не понимал, что такое «обезличенные персональные данные» в «приказе трех», исходя из закона, и считая, что если обезличены – значит, не персональные. Наивности пришел конец. Теперь все попытки заменить ФИО на табельный номер, условный код или номер договора в ИСПДн могут оказаться бесполезными – косвенно, с использованием другой ИСПДн, все определяется.
И не надо кивать на Европу.  Правило, выведенное отнюдь не россиянами, «что русскому здорово, то немцу смерть», имеет и обратную силу. Может, у них это и катит. Учитывая, что у нас про способы обезличивания ни в одном нормативно-правовом акте нет ни слова, боюсь, что с таким определением о поблажках, предусмотренных для К4, придется забыть. Посмотрим.
В законе вводится 13 видов обработки персданных, а, с учетом подвидов, - 18: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. При этом прямо определяются только пять видов обработки (распространение, предоставление, блокирование, уничтожение, обезличивание). Про сбор, хранение, уточнение, изменение, доступ, передачу и удаление можно догадаться, читая внимательно другие статьи закона. А вот что такое запись, систематизация, накопление, обновление, извлечение, использование – об этом вообще в законе нет ни слова. В предыдущей редакции определение «использования» было одним из базовых понятий, поскольку именно этот вид обработки приводил к принятию решений в отношении субъекта персональных данных, совершению «иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц». Теперь что такое использование – неизвестно. Кроме того, в законе упоминаются, но не определяются такие виды обработки, как опубликование, (обязательное) раскрытие, очень важные для понятия общедоступных данных.
Мелочи, придирки? Не совсем. Такое пренебрежение может приводить к абсурду.
Например. Сбор персданных – это тоже обработка. Но в ст.18 (как раньше, так и сейчас), оператор, в случае, если персданные получены не от самого субъекта, до начала обработки его данных обязан предоставить субъекту определенную информацию. Это как? Получив «черный ящик», найти того, про кого в ящике написано? Для многих этот пункт является камнем преткновения. Как, не обрабатывая данные, связаться с субъектом?
Или другой пример. Блокирование – тоже вид обработки. Читаем определение: «Блокирование - временное прекращение обработки персональных данных». Т.е. обработка заключается в прекращении обработки?
Выливается эта неряшливость терминов в неопределенность действий оператора в случаях, прямо связанных с его непосредственными обязанностями. Ст.21 предлагает в первой-третьей частях сразу два сценария поведения оператора при выявлении неправомерной обработки персональных данных. Если по этому поводу обратился субъект (его представитель, уполномоченный орган) (часть 1), данные надо блокировать и уточнить. А если просто обнаружился факт неправомерной обработки (часть 3 - про обращение субъекта – ни слова, , тогда, интересно, как он обнаружился?), обработку данных надо прекратить и их уничтожить.
Так как правильно? Тождественны ли блокирование и прекращение обработки? Если да, почему в двух частях одной статьи используются разные термины? Вопросы без конца… Проверяющие на пороге…
И в заключение. Новая часть 2 прим статьи 25 закона в новой редакции: «Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7прим, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года».
Все операторы? Даже те, кто не представлял уведомление ранее и не обязан по закону уведомлять Роскомнадзор вообще? Из текста статьи вытекает, что – да, должны! Тогда это новое слово в законе. Принципиально новое. Статья 19.7. Непредставление сведений (информации) КоАП заплакала обо всех юрлицах, адвокатах, нотариусах, журналистах и прочих операторах персданных нашей страны. Очень горькими слезами.
Подробный анализ всего этого – на обновленных курсах и семинарах.

6 комментариев:

  1. Мысли сходятся: http://anvolkov.blogspot.com/2011/08/blog-post_07.html

    ОтветитьУдалить
  2. Да, Алексей, мысли сходятся и не могут не сходиться - каждый, читающий внимательно, не может этого не увидеть. Самое печальное - в Вашем блоге про проверку. Когда я пытался убедить в этом сторонников, в том числе ЮВТ и СВВ, они говорили о правильности слов и доброй воле надзорных органов. Наедимся мы этой доброй воли... И про оргтехнику у Вас все правильно, просто уже времени и места нет писать обо всем. Чего только стоят "обработка с использованием средств автоматизации" (ч.1 ст.1), "обработка с использованием средств ЭВТ" (п.4 ст.3). Кто бы объяснил авторам, что средства автоматизации и средства ЭВТ - суть вещи разные

    ОтветитьУдалить
  3. Сейчас бурление закончится, потом все подуспокоится, потом "они" выпустят свои творенья и тогда мы точно "нахлебаемся"...

    ОтветитьУдалить
  4. Как раз с частью 4 статьи 18.1 более-менее понятно.

    Оператор самостоятельно определяет меры.
    Меры могут быть документированы и иметь свидетельства выполнения, а могут быть недокументированными и не иметь свидетельств выполнения.

    Если меры (которые Оператор определил самостоятельно) документированы, то по запросу Роскомнадзора Оператор должен предоставить эти документы.

    Если недокументированы - то иным образом подтвердить выполнение мер (которые Оператор определил самостоятельно).

    Получается из части 4 статьи 18.1 нельзя сделать выводов в плане МОЖЕТ-ДОЛЖЕН.

    ОтветитьУдалить
  5. Сергей, этим закон и плох - каждый читает его, как хочет, вместо того, чтобы увидеть эти самые обязательные требования, подлежащие проверке. Вам кажется все боле-менее понятным? Я читаю по другому (цитата): "подтвердить принятие мер, указанных в части 1 настоящей статьи". Все. Меры, указанные в ч.1, принять и подтвердить. А подтверждение моего пессимистического прочтения - у Волкова в детальном анализе проверки, см. ссылку в его комменте выше.

    ОтветитьУдалить