Вчера прошли парламентские слушания по персональным данным. Очень познавательно 😉 Почти все выступления были по делу и все выступали в унисон — клеймя ФСТЭК с их требованиями и описывая проблемы текущего законодательства. А теперь по пунктам.
Начал выступление первый заместитель председателя комитета Госдумы по безопасности — Гришанков Михаил Игнатьевич. Основные лейтмотивы его выступления:
- жесткая критика ФСТЭК и ФСБ в части обязательных и жестких требований
- переносить сроки нельзя, но надо (на один год)
- необходимы отраслевые стандарты
- необходимо пересматривать обязательные требования по сертификации, аттестации и лицензированию (например, лицензия дает право заниматься определенной деятельностью, а защита ПДн — это обязанность).
- закрытость регуляторов.
Затем выступал глава думского комитета по финансовым рынка Резник. Со многим согласился. Он тоже считает, что закон надо менять, а ст.19 должна носить рекомендательный характер. Интересно было предложение персонифицировать ответственность оператора ПДн, как это сделано в 29-й статье ЕвроКонвенции.
После Резника выступал представитель комитета по конституционному законодательству. Он согласился с Гришанковым и Резником и добавил, что права субъекта ПДн абсолютизированы.
Затем было выступление депутата Аксакова (президента Ассоциации региональных банков «Россия»). Живо, по делу и без бумажки. Учитывая, что он банкир, его выступление изобиловало примерами недостатков ФЗ из финансовой сферы. Он первый заявил про коррупциогенность документов ФСТЭК, про направленность требований ФСТЭК на интересы регулятора и интеграторов, про возможность использовать ФЗ для рейдерства. Также считает нужным переносить сроки реализации 19-й статьи на год. Так уж сложилось, что предложения в разработке которых я принимал участие наряду с рядом достойных джентльменов и дам озвучивались от имени Аксакова, а в раздаточные материалы попали от имени РСПП.
Предложения РСПП по персональным данным
Потом выступал Шередин из РКН. По делу почти ничего — зачитал отчет о деятельности РКН за 9 месяцев этого года. Зато у него проскользнуло два интересных пассажа:
- внеплановая проверка по обращению субъекта ПДн согласно ФЗ-294 запрещена
- судебная практика по ПДн очень незначительна — суды предпочитают считать эту проблему несущественной. Наказаний очень мало, а сумма штрафов измеряется тремя-четырьмя десятками тысяч рублей за этот год.
Предложения РосКомнадзора по персданным
Потом выступал замминистра юстиции Костенников. Он заявил интересную вещь — несмотря на принятие ФЗ-160, ЕвроКонвенция юридически так и не ратифицирована Россией и мы не входим в список стран, обеспечивающих адекватную защиту ПДн для стран Евросоюза.
Затем выступал представитель ФСБ. Он дистанцировался от ФСТЭК в части закрытости документов (заявил, что их документы публичны). Из интересных вещей сказал, что лицензия на криптозащиту ПДн не нужна (исключая предоставление услуг и распространение шифрсредств). Также ФСБ сейчас готовит регламент проверок по данной теме. Было интересное заявление, что шифровальные средства не являются обязательными для защиты персданных и ФСБ не настаивает на их обязательном применении (в ФЗ хотят внести соответствующий пункт). Также было сказано, что оператор сам определяет какие СКЗИ использовать, но т.к. большинство операторов неквалифицированы, то лучше использовать сертифицированные СКЗИ. Более подробно см. ниже.
Материалы ФСБ по персональным данным
Затем выступал г-н Русаков из Московской области. Он высказал интересную мысль, что в российском законодательстве есть требование уведомлять пострадавших субъектов ПДн о факте утечки их ПДн. Видимо он спутал наше законодательство с американским 😉
Было два выступления страховщиков — от РСА и от Национальной страховой гильдии. От вторых были политически корректные высказывания, от первых конкретика в предложениях. В раздатке были материалы от РСС.
Предложения Российского Союза Автостраховщиков по ПДн
Затем выступал Андрей Емелин из АРБ. Тоже четко и по делу, с цифрами в руках. Учитывая, что он юрист, аппелировал к законодательству и использовал юридически корректные термины. Из ключевых проблем выделил:
- что делать с исторически накопленными данными?
- как идентифицировать субъекта ПДн?
- что делать с выгодоприобретателями?
- отзыв согласия
- вопросы уничтожения ПДн (особенно из взаимосвязанных и взаимопополняемых БД) и т.д.
Предложения АРБ по персональным данным
Затем вне программы выступил человек от Минздрава. Тоже по делу и с описанием конкретных проблем своей отрасли. Сказал, что если ситуацию не изменить, то с 1-го января все здравоохранение встанет, т.к. ни рецепт выписать, ни больного принять нельзя будет. Он вообще предложил отменить «приказ трех».
Потом выступал Курило Андрей Петрович (Банк России). Опять банкир и опять по делу, живо и без бумажки. Предпоследним выступал Слепаков из Ассоциации региональных операторов связи (ничего нового не сказал, только уточнил ряд вопросов). Больше операторы связи не выступали, как и сидящий в президиуме представитель Минкомсвязи ;-( А вот предложения от операторов связи были — от МТС и Инфокоммуникационного союза.
Предложения МТС по персональным данным
Предложения ИнфоКоммуникационного Союза
Завершал слушания Михаил Якушев (от имени АП КИТ). Сказал, что в первончальной версии ФЗ многих этих проблем не было — они появились в результате правки в Госдуме. Предложения от АП КИТ хороши тем, что ориентированы на Интернет-компании и Интернет-сервисы.
Предложения АП КИТ по персональным данным
ЗЫ. Были еще материалы от Минюста и Рособрнауки, но они у меня плохо отсканировались — завтра выложу, как и проект итоговых рекомендаций с их анализом. Эти рекомендации интересны тем, что это то, что будут пробивать депутаты в итоговую новую версию ФЗ.
Странно, что так никто и не озвучил следующий тезис: раз вы (регуляторы, государство) так жестко регулируете методы обеспечения безопасности ПДн, то вы и отвечайте за любой ущерб нанесенный субъекту ПДн.
Алексей, так а каков итог?
Будет ли новая версия ФЗ?
Будут ли рассматривать все эти предложения?
Шередин из Роскомнадзора выступил против переноса сроков
http://pd.rsoc.ru/press-service/subject1/news332.htm
Спасибо — очень нужная информация.
А итогов нет. Все много говорили о необходимости работать, работать и еще раз работать.
На то они и слушания, чтобы послушать мнения и определиться со своим.
Единственное, что все-таки меня заинтриговало — желание Гришанкова доработать и принять изменения в законодательство до конца года. Интересно как?
ФСТЭК не выступал?
Итоги будут опубликованы завтра. В Думе есть желание (по крайней мере на словах) изменить ситуацию. Есть люди, которые готовы это драйвить на стороне Думы. Но есть и противодействие регуляторов, о чем прямо было заявлено депутатами.
Так что непонятно, чем это все закончится.
ФСТЭК не выступал, но их представителей было несколько — как нынешних, так и прошлых. А вот собак на них спускали все. Так что ждать позитива от ФСТЭК не приходится.
"Рекомендации" отсканированные у меня есть. Прислать?
А.Курило еще высказывал интересную мысль о том, что в нормативных документах АТЭС также есть требования по защите прав субъектов ПДн, с которыми неплохо было бы гармонизироваться.
Также было выступление дамы (к сожалению не расслышал её фамилию) от Российской Ассоциации Правосудия, она чётко аргументировала, почему Роскомнадзор в качестве уполномоченного органа противоречит евроконвенции.
>>Итоги будут опубликованы завтра.
>>Так что непонятно, чем это все
>> закончится.
Ну как я понимаю должен быть в итоге документ под названием Рекомендации по парламентским слушаньям
http://www.scribd.com/doc/21384668/Проект-рекомендаций-парламентских-слушаний-по-защите-ПДн
Проект рекомендаций.
Рекомендации завтра будут в блоге с оставшимися неопубликованными документами.
Рекомендации APEC списаны с Конвенции — там ничего конкретного, акромя комментариев.
А про независимость уполномоченного органа говорил и МинЮст, только бестолку — у нас только орган по правам человека независимый. Но кто видел, как он работает?
В общем это уже позитивные сдвиги в решении проблемы ФЗ-152. Мне кажется это первый случай такой реакции на не совсем правомочные требования регуляторов. Одно только смущает, то что требования предлагается сделать рекомендуемыми для бизнеса и обязательными для госучереждений (ссылка на якобы более частую утечку данных их госов мягко говоря притянута за уши — можно найти много примеров утечек ПД и из бизнеса, причем ущерб там более реальный). Выглядит как некая уступка регуляторам и "кусок" интеграторам и прикормленным конторкам, между прочим за счет налогоплательщиков. Почему нельзя сделать требования рекомендуемыми для всех?