Многострадальный ФЗ №152

Федеральный закон «О внесении изменений в Федеральный закон «О персональных данных» был принят Государственной Думой 5 июля 2011 года и одобрен Советом Федерации 13 июля 2011 года. Вчера же изменения в ФЗ № 152 «О персональных данных» закрепил Президент РФ, подписав соответствующий федеральный закон.  

Напомним, что тема вступления в силу самого ФЗ № 152 «О персональных данных», и связанные с этим вопросы, вызвали в свое время бурное обсуждение. В частности, за прошедшее время сроки, до которых операторы персональных данных должны были привести свои системы обработки персональных данных в соответствие с законом, переносились несколько раз. Последним таким «крайним сроком» было назначено 1 июля 2011 года.

Что касается нынешних изменений, то как уже говорилось, федеральным законом уточняются сфера действия ФЗ «О персональных данных», используемые в нем основные понятия, принципы и условия обработки персональных данных. Среди прочего в новой редакции ФЗ №152 были переработаны действующие законодательные нормы, касающиеся трансграничной передачи персональных данных, мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.

В новой редакции федерального закона №152 учитывается европейский опыт регулирования обработки персональных данных (требования Дополнительного протокола к Конвенции о защите физических лиц при автоматизированной обработке персональных данных, о наблюдательных органах и трансграничной передаче информации и Директивы 95/46/ЕС о защите физических лиц при обработке их персональных данных). В частности, положения европейских документов нашли отражение в определении понятия персональных данных (ПДн), которое стало более конкретным. Расширен перечень действий, считающихся обработкой персональных данных. Определены условиях трансграничной передачи персональных данных (такая передача допускается в страны-участницы упомянутой Конвенции или иные страны, обеспечивающие защиту персональных данных в соответствии с требованиями Конвенции) и принципы обработки персональных данных.

Говоря о том, каковы основные существенные отличия новой версии ФЗ № 152 от предыдущей версии, эксперты из числа представителей бизнес-сообщества говорят следующее: «Если брать первую часть изменений, то среди существенных отличий можно назвать целый их ряд. Уточнены многие определения, облегчающие их понимание и восприятие. Появилось четкое определение трансграничной передачи ПДн. Уточнен вопрос по срокам хранения ПДн. Теперь их можно хранить сколь угодно долго, если это не регулируется ФЗ, принятым в его исполнение нормативно-правовым актом или договором, стороной, выгодоприобретателем или поручителем является субъект ПДн. Существенно расширен перечень сценариев, когда разрешена обработка ПДн без согласия субъекта. Официально введено понятие обработки ПДн и определены его полномочия и условия работы с ПДн. Определены формы получения согласия субъекта ПДн. Определены условия отзыва своего согласия субъектом, а также условия ответа на запросы субъекта ПДн. Уточнены условия трансграничной передачи ПДн, а также условия неуведомления субъекта в случае получения ПДн не напрямую от него. Экспертам компании Cisco удалось участвовать на протяжении последних двух лет в экспертизе промежуточных вариантов законопроекта и практически все поправки, гармонизированные с Европейской Конвенцией, вошли в действующую редакцию ФЗ №152», - говорит менеджер по развитию бизнеса компании Cisco Алексей Лукацкий.

В свою очередь, руководитель направления информационной безопасности компании «КРОК» Михаил Башлыков по поводу изменений в ФЗ №152 говорит следующее: «Сейчас поднялась волна негативных отзывов относительно требований по защите ПДн, но в этой области объективно ничего не поменялось. Изменения в ФЗ №152, как и ожидалось, обеспечивают послабления с точки зрения прав и свобод субъектов: нет необходимости получать согласия всех субъектов, увеличены сроки реагирования на запросы и так далее. Кроме того, законодательно прописана обязанность операторов заниматься моделированием угроз вне зависимости от того, типовые они или нет. На сегодняшний день  «Крок» предлагает  заказчикам моделирование угроз, а также проектирование системы защиты. Это полностью соответствует требованиям закона. В связи с изменением в порядке взаимодействии с субъектами, компаниям имеет смысл провести ревизию сделанных документов на предмет их смягчения».

В новой версии закона уделяется внимание и мерам по обеспечению безопасности ПДн при их обработке. Закон определяет перечень таких мер. Кроме того, в новой версии ФЗ №152  предусмотрено, что Правительством Российской Федерации теперь устанавливаются уровни защищенности ПДн при их обработке в информационных системах, требования к их защите, а также к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем. Федеральным законом также определяются федеральные органы исполнительной власти, осуществляющие контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных при их обработке. Кроме того, теперь законом предусмотрено, что нормативные правовые акты по отдельным вопросам обработки ПДн в пределах своих полномочий могут принимать не только государственные органы, но и органы местного самоуправления, и Банк России.

Отмечая те негативные моменты, которые возникают или могут возникнуть в связи с принятием новой редакции ФЗ № 152, эксперты среди прочего говорят следующее: «С одной стороны, новый закон предполагает снижение обременений на операторов ПДн в части условий обработки ПДн. С другой стороны, всего лишь одна 19 статья нового закона ухудшает жизнь операторов ПДн, так как устанавливает очень жесткие обязательные требования по защите самих данных, история которых идет с 90-х годов, когда регуляторы активно защищали государственную тайну. В новый закон вошли и немного подретушированные старые требования – сертификация средств защиты, аттестация информационных систем, маркировка и учет носителей ПДн и так далее. На уровень реальной защищенности эти требования никак не влияют, на снижение числа утечек тоже, а вот затраты на выполнение требований нового закона возрастут многократно. Для предприятий малого и среднего бизнеса стоимость проекта по защите субъектов и их ПДн может составить несколько сотен тысяч рублей в год. При этом интересы самих субъектов в новом законе никак не учтены и за нарушение их прав никакой ответственности не предусмотрено.

Также хочется отметить, что раньше требования по защите определялись оператором ПДн самостоятельно или вытекали из разработанных экспертным сообществом отраслевых стандартов. В нынешней редакции закона вся наработанная за два года практика применения отраслевых стандартов уничтожена. Ей на смену пришли требования регуляторов. Остается надеяться, что в рамках подзаконных актов, которые сейчас готовятся во исполнение закона «О персональных данных», существующая критика будет учтена и ее решение найдет свое отражение в новых нормативно-правовых актах регуляторов», - рассказывает Алексей Лукацкий.

В свою очередь, Михаил Башлыков обращает внимание на следующий аспект: «По закону Правительство должно установить уровни защищенности информации и требования к защите ПДн, при этом закон позволяет переложить эти задачи на регуляторов. В законе дано определение того, что такое уровень защищенности и уже заданные классы информационной системы персональных данных под него подпадают полностью. При этом ПП 687, 781 и 512 никто не отменял. За данными постановлениями следуют положение о классификации  (описание уровней защищенности) и положение о защите (требования в привязке к данным уровням). Ранее, в первом чтении, закон распространял сферу регулирования ФСТЭК и ФСБ только на государственные организации. В текущей редакции ФСТЭК и ФСБ могут быть наделены полномочиями по контролю и надзору и в коммерческом секторе. К примеру, ПП 781, как раз, это подразумевает, так как не разделяет коммерческого и государственного сектора и применимо ко всем организациям. На данный момент остается неясным, каким именно образом будут преподноситься отраслевые стандарты».