Нами было предложено несколько идей:
- Внести в КоАПП и УК РФ (здесь надо уточнить просто формулировку ст.138 УК РФ) ответственность операторов за УЩЕРБ субъектам, нанесенный утечками. Такое предложение уже поступало от Роскомнадзора около полутора-двух лет назад. При этом ответственность за неисполнение формальных требований необходимо убрать, т.к. это нарушает дух закона и букву Евроконвенции.
- Разработать методики оценки воздействия нарушений, связанных с обработкой ПДн, на частную жизнь субъектов, и возможного ущерба от этого, на основе лучших европейских практик, используемых европейскими уполномоченными органами. Это позволит более адекватно оценивать понятие «ущерб субъекту ПДн».
- Разработать с участием независимых экспертов и общественных организаций и обязательно путем публичного обсуждения подзаконные акты, определяющие уровни защищенности и требования по защите ПДн. При этом публичность и привлечение независимых экспертов является обязательным условием адекватности разработанных требований. В тех случаях, если в отдельных отраслях экономики есть отраслевые ассоциации, то обязательно привлекать их (как это было до нового законопроекта). Сейчас они могут вырабатывать только предложения по расширению модели угроз. В текущей ситуации ставится крест на работе Инфокоммуникационного союза, АРБ, НАПФ, НАУФОР и т.д., уже разработавших свои отраслевые стандарты и даже утвержденных регуляторами.
- Необходимо разработать и публично обсудить формализованные критерии для определении видов деятельности, подпадающих под контроль со стороны регуляторов.
- Внести нормы в КоАП и УК (в зависимости от ущерба) ответственность за скрытие факта утечек ПДн субъектов.
Нам ответили, что это лозунги, а и нужно не то, «что нужно сделать (разработать и пр…..) в смысле процесса, а как сделать это сделать (конкретные методики, формулировки статей) в смысле конкретной реализации«.
Алексей Волков, Александр Токаренко, Александр Бондаренко, Женя Царев и я предложили конкретные формулировки там, где это можно было сделать (п.1, 2 и 5).
Ответом нам стало «Статус Ваших предложений — предложения-)). К сожалению, большая часть из них не по-нашему столу. Они больше для наших коллег по этому процессу. Сейчас для нас основная задача — подготовка подзаконных актов, в том числе требований. Как они будут подготовлены, так и будет работать закон. Ваши предложения мы постараемся учесть на этом этапе, хотя я уверен, что и мы и Вы еще не раз будем это обсуждать«.
В рамках дальнейшей дискуссии выяснилось, что у нас есть возможность поучаствовать в формировании содержания двух Постановлений Правительства:
- «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных»
- «Об установлении уровней защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных».
Дальше началась работа, которая длилась около двух месяцев с переменным успехом. В итоге под руководством Алексея Волкова родился документ под названием «ПРЕДЛОЖЕНИЯ по вопросу формирования подзаконных актов, определяющих уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных и требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных в соответствии с п. 1 и 2 ч. 3 ст. 19 Федерального закона №152-ФЗ «О персональных данных».
Александр высказал мысль, что представленная схема слишком сложна для восприятия , а это в свою очередь означает, что либо законодатели не поймут и не примут документ в таком виделибо операторы поймут еще меньше и начнутся премудрости. Консенсуса у нас в группе найдено не было и предложения были в двух вариантах — как предлагал Алексей и как предлагал Александр.
В ноябре появилась информация о промежуточных результатах. Правительство поручило разработку указанных выше двух Постановлений ФСТЭК и ФСБ и Минкомсвязь переслал наши предложения регуляторам, которые должны утвердить указанные документы в 1-2 кварталах следующего года. Теперь остается только ждать…
"Ответственность за УЩЕРБ субъекту" путь тупиковый в нашей стране. Ущерб нужно еще доказать в суде, а с нашей судебной системой это настолько сложная процедура (к сожалению, имею печальный опыт)…
Было бы, конечно, лучше иметь административную ответственность за сам факт утечки.
Дожно быть и то и то.
Ответственность за УЩЕРБ, вернее ВРЕД, определяется главой 59 ГК РФ, чего выдумывать велосипед? Если субъекту причинен ущерб (вред) и это ДОКАЗАНО — вопросв нет.
А такое деяние как невыполнение мер защиты, которе может привести к неправомерным действиям, даже если еще вред субъекту не причинен — уже само по себе есть состав правонарушения. И это не новое изобретение.
как-то я уже спроил с А. Волковым по поводу того, что если ты пересчешь слошную линию на дороге, то тебя оштрафуют, что бы впредь не повадно было, даже, если ты не причинил инкому вреда.
Вихореву: к сожалению, в плане требований по защите ПДн все далеко не так очевидно, как с двойной сплошной. Установите адекватные требования — и мы с удовольствием их будем исполнять. Пока же, увы — ПДД и ПДн вещи несравнимые.
Да и с ПДД находятся желающие в погонах трактовать правила как хочется
а где можно посмотреть сами документы?