СЗПДн. Анализ. Новое в 152-ФЗ 2.0

На просторах сети Интернет коллеги активно проводят анализ определенных статей ФЗ-152 2.0.

У меня так-же стояла задача провести постатейный анализ изменений в ФЗ-152, поэтому интересно было выбрать публикации, в которых указывалось конкретные пункты, части и статьи закона, а так-же проводился их анализ.
Подобралась следующая таблица, которую я в дальнейшем планирую пополнять:
Автор заметки
Анализируемые статьи
Основная цель заметки
Михаил Емельянников
ч.3 ст.6
ч.5 ст.6
ч.2 ст.18
ЛООПДППО
Михаил Емельянников
ст. 5
ст. 6
ст. 9
ст. 14
ст. 17
ст. 24
Права субъектов ПДн
Михаил Емельянников
ст. 3
ст. 18
ст. 18.1
ст. 21.1
ст. 22
Термины и определения
Алексей Волков
ч. 1 ст. 11
Биометрия
Алексей Волков
ч. 3. Ст. 6
ч. 5 Ст. 6
ч. 1 Ст. 18.1
ч 2 ст 19
Оценка эффективности,
контроль
Алексей Волков
ст. 18.1
ст. 19
ст. 22.1
Обязанности Оператора
Алексей Волков
ст. 18.1

Политика обработки ПДн
Алексей Волков
ст.19
Этапы определения мер по обеспечению безопасности ПДн
Алексей Лукацкий
ст. 14
ст.18
ст.18.1
ст.19
Общее мысли
Игорь Харов
22.1
Лицо, ответственное за организацию обработки ПДн
Артем Аветян
ст.19
Этапы определения мер по обеспечению безопасности ПДн
Мои комментарии ниже
ст. 3
ст. 5
ч. 1 ст. 6
ч. 8 ст. 9
ст.21
ч. 2.1 ст 25
Общее мысли
Сергей Борисов
ч. 2 ст. 19
СЗИ
Сергей Борисов
ч. 1 ст. 6
ч. 1 ст. 8
ч. 3 ст. 9
Контактные ПДн

По нескольким пунктам хочу так-же добавить свои комментарии.
В статье 3 приведено следующее новое определение:
«обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных»
Понятие «обезличивание персональных данных» расширенно. Теперь позволяется применять идентификаторы,  выделить данные, позволяющие определить принадлежность субъекта ПДн, в отдельную базу, которая будет защищаться по полной программе. В остальных базах  можно оставлять только внутренние идентификаторы и категоризировать их как «обезличенные».
В части 2 статьи 5 приведено изменилась формулировка:
«Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных»
То есть теперь цели обработки должны быть более конкретными. “выполнение ФЗ” и “получение прибыли” – не пройдет. Конкретной целью обработки ПДн будет, например “идентификация субъекта при оказании ему услуги”, “доставка субъекту отчетов об оказанных услугах”.
На счет несовместимых целей – вообще беда. Нигде не определены критерии совместимости. Приходится полагаться на экспертное мнение.
В части 7 статьи 5 приведено следующее требование:
«Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.»
Теперь при достижении целей обработки можно не только уничтожить ПДн, но и допускается обезличивание ПДн. То есть при разделении баз, достаточно будет удалить данные из базы, позволяющей определить принадлежность субъекта ПДн.
Интересен пункт 7 части 1 статьи 6:
«7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных»
Теоретически любую цель обработки ПДн можно подтянуть под этот пункт и осуществлять обработку без согласия субъекта. Для этого надо собрать и изучить законодательство и подзаконные акты связанные с видом деятельности оператора.
В части 8 статье 9 приведено следующее условие:
«Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона»
Если возможна обработка без согласия субъекта, то данные могут быть получены от третьих лиц.  Третьи лица должны будут предоставить оператору подтверждение наличия оснований. То есть третье лицо должно предоставить нам ссылку на ФЗ или иной документ.
В каждой части статьи 21 в обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных входит  обеспечение устранения нарушений ЛООПДППО. Например часть 3 статьи 21:
«3. В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан … обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан … обеспечить их уничтожение. ...»
Таким образом, оператор должен перед тем как поручать обработку ЛООПДППО тщательно продумать регламент взаимодействия с ним, и прописать ответственность ЛООПДППО за устранение нарушений законодательства по обращению к нему Оператора.
В части 2.1 статье 25 приведено следующее требование:
«2.1. Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22* настоящего Федерального закона, не позднее 1 января 2013 года.
* указанные пункты ч.3 ст.22 содержат дополнительные сведения, включенные в уведомление оператора в Роскомнадзор»
Фактически все операторы, в том числе подавшие уведомление, обязаны подать Уведомление в Роскомнадзор.
В случае неподачи - ст. 19.7 КоАП РФ.

Комментарии

Сергей, крайне польщен вниманием к моим публикациям, но хотел бы скромно заметить, что моя фамилия - Емельянников
Сергей Борисов написал(а)…
Да ошибочка вышла, прошу прощения.
Поправил
Анонимный написал(а)…
Раньше так же можно было не удалять а обезличивать. Просто прямой нормы в законе не было прописано.

а вот про уведомления вопрос еще предстоит прояснить! ибо закон обратной связи не имеет. "когда я подавал уведомление оно было законно".

да и до 2013 дожить ещё надо..
Сергей Борисов написал(а)…
Причем здесь 2013?
Очередной конец света?
Сергей, в Вашу копилку - о понятиях ФЗ_152 http://emeliyannikov.blogspot.com/2011/08/blog-post_22.html
Сергей Борисов написал(а)…
Спасибо, уже прочитал.
С терминами действительно беда. Приходится в спорных случаях обращаться к Конвенции и другим ФЗ, писать официальные письма с вопросами Регуляторам и т.п.
А с запросами - другая беда. Госорганы по закону не могут комментировать и интерпретировать законы. Этого у нас не может вообще никто. Суды - только определять соответствие НПА закону, КС - соответствие законов Конституции.
Я еще на госсслужбе с этим измаялся. Так что мнение РКН - частное мнение частного гражданина. Хотя мы все, конечно, на него ссылаемся, если что :-)
Unknown написал(а)…
Этот комментарий был удален администратором блога.
Андрей Абрамов написал(а)…
"В части 7 статье 5 приведено следующее требование:

«Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.»

Теперь при достижении целей обработки можно не только уничтожить ПДн, но и допускается обезличивание ПДн..."

А как же статья 21? Там говорится ТОЛЬКО ОБ УНИЧТОЖЕНИИ ПДн!
Сергей Борисов написал(а)…
Андрей Абрамов: в статье 21 приводятся обязанности оператора при нарушениях и исключительных ситуациях.

То есть если оператор не имел (не имеет) права обрабатывать ПДн субъекта, то он не может сохранить у себя обезличенные данные.

А в части 7 статьи 5 определяются общие принципы. Например если обработка была законной, но цели уже достигнуты, то можно обезличивать ПДн.
Все было так просто, если бы законодатели не стремились нас окончательно запутать (лишние слова выкидываю). Ч.1 ст.21: "В случае выявления неправомерной обработки при обращении субъекта оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных".
Ч.3 той же статьи: "В случае выявления неправомерной обработки оператор обязан обязан прекратить неправомерную обработку персональных данных". Блокировать и прекратить - это одно и тоже? Почему прекращения нет в видах обработки (ст.3)? Как в части 3 выявлена неправомерность? Только при отсутствии обращения субъекта? И, наконец, как блокирование может быть видом обработки (п.7 ст.3), если оно заключается во "временном прекращении обработки"? Хорошие вопросы при общении с проверяющими...
Сергей Борисов написал(а)…
"Блокирование персональных данных - временное прекращение обработки персональных данных"
При чем сдесь можно трактовать блокирование не как длительный процесс, а как мгновенный (нажатие кнопки). Тогда само нажатие - это ещё обработка, а то что длится после - это уже не обработка ПДн.
А если волшебной кнопки нет? :-)
Сергей Борисов написал(а)…
Я понимаю статью 21 так:
- в части 1 написано, что оператор при
получении запроса (обращения) и при выявлении неправомерной обработки (неточных ПДн) должен осуществить блокирование ПДн на период проверки.
Видимо выявление здесь первичное/грубое выполняется ещё до начала проверки. Окончательное по результатам проверки.
- если в результате проверки выявилась неточность ПДн, то действуем в соответствии с частью 2, если выявилась неправомерная обработка - действуем в соответствии с частью 3.
- в части 2 сроки проверки не ограничиваются. Так что можно потянуть. Определен только срок реакции когда субъект уже предоставил точные данные - мы за 7 дней их актуализируем и снимаем блокирование
- в части 3 написано, что при выявлении неправомерно обработки оператор через 3 дня обязан прекратить неправомерную обработку. (вариантами могут быть блокирование, уничтожение или обеспечения правомерности).
То есть при обнаружении неправомерности по обращению субъекта мы блокируем сразу и начинаем проверку.
При обнаружении неправомерности оператором у него есть 3 дня на принятие решения (логично это тоже назвать проверкой)
и возможность не блокировать, а сразу обеспечить правомерность.
Предположим мы не уничтожили сразу ПДн. Но и за 3 дня не успели обеспечить правомерность.
Значит мы блокировали ПДн.

После этих 3 дней у нас есть ещё 7 дней чтобы определится, сможем ли мы обеспечить правомерность (собрать согласие) или придется уничтожать ПДн. Пока определяемся - ПДн блокированы, их обработка не ведется.
Сергей, извините, что не сразу - дискуссия интересная, но я пытался ответить на вопрос "Чем футбол в исполнении нашей сборной лучше ФЗ-152?". Не лучше.
А теперь по существу.
В целом можно было бы согласиться с предлагаемой Вами схемой действий, но закон таков, что он предполагает очень много трактовок и допущений, а это очень плохо. Вы сами пишите: «Видимо, выявление здесь первичное/грубое выполняется ещё до начала проверки». А почему Вы так решили? И что значит до начала проверки? Субъект пожаловался, оператор прикинул, насколько уязвима его позиция? Как-то уж очень произвольно.
Далее. Закон нигде не определяет, что такое неправомерная обработка, но активно оперирует этим термином. То же самое касается прекращения обработки. Допустим, неправомерная обработка (я тоже вынужден делать предположения и допущения, а это очень плохо) – это обработка при отсутствии оснований, предусмотренных п.п.1-11 части 1 ст.6. Опять-таки вынужден предположить, что к этому случаю относится обработка излишних персданных, не соответствующих заявленным при их сборе целям (и опять мое предположение – это плохо по определению). Тогда в ч.1 ст.21 рассматривается сразу две совершенно разных ситуации: обработка без законных оснований (неправомерная обработка) и правомерная обработка (при наличии оснований) персональных данных, которые являются неточными.
Это два совершенно разных случая. Но рассматривается в одной части одной и тоже статьи, даже в одном абзаце, что часто приводит к неправильным выводам у читающего ее.
Итак. Первый случай ст.21. Неправомерная обработка. Основания для такого предположения – обращение или запрос субъекта, его представителя или Роскомнадзора. Сразу же смешаны две ситуации и одно действие. «В случае выявления при обращении» написано в законе. А кто решил, что она неправомерная и когда? И почему? А если он посчитал правомерной и послал субъекта? Или так нельзя? Далее в законе написано «оператор обязан осуществить блокирование (обеспечить блокирование) неправомерно обрабатываемых персональных данных с момента такого обращения или получения указанного запроса на период проверки». Обратите внимание – с момента обращения и получения запроса. А если субъект бредит? А если оператор не согласен? Что значит блокировать – прекратить обработку? Например, перестать биллинговать услуги абонента связи в биллинговой системе, продолжая их оказывать? Или прекратить оказывать услуги, если абонент посчитал обработку неправомерной (например, говорит что договор заключен на него, но он его не заключал – типичная ситуация)? А как блокировать в Росрегистрации и ФНС обработку данных об учредителях общества, если один из них жалуется, что он не учредитель? (опять очень типично).
Должно быть написано «При получении запроса или обращения о неправомерности …. оператор делает то-то. Если оснований для обработки нет – то-то, если есть – продолжает.» Варианты для первого действия м.б. разные, но их надо было бы точно определить.
Ладно, идем далее. Мы читаем буквально и строго выполняем закон. Субъект обратился - мы СРАЗУ заблокировали и начали проверять правомерность. Оказалось – неправомерно. Читаем часть 3 ст.21. «Оператор в срок, не превышающий трех рабочих дней С ДАТЫ ЭТОГО ВЫЯВЛЕНИЯ, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки». Подождите, мы уже прекратили (заблокировали) с момента обращения. Значит, можно было неограниченно долго проверять, и если оказалось, что неправомерно, УЖЕ ПОСЛЕ ЭТОГО в течение трех дней блокировать? Или считать выявлением обращение и блокировать в течение трех дней после него? Но в ч.1 написано – с момента обращения, а не в течение трех дней?
И нет у нас еще семи дней, потому как в законе «если обеспечить правомерность невозможно». Вывод сделан.
Продолжение
Часть два ст.21 относится только к недостоверным данным. Про нее можно написать аналогичную новеллу. Но когда будем ее писать, не забудем про загадочное определение блокирования в ст.3: «временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)». Что значит за исключением случаев, когда обработка необходима для уточнения? Прекращение обработки для уточнения не является блокированием?
Я могу ПРИДУМАТЬ ответы на любой вопрос, здесь поставленный. И Вы можете. И кто угодно другой. ПРИДУМАТЬ. А не определить порядок действий, исходя из требований закона. В этом весь ужас. Потому что придет инспектор и придумает другой вариант.
Сергей Борисов написал(а)…
Михаил, в общем то вы всё верно пишете.
Но что делать то?

Я вижу 2 варианта:
1) В связи с противоречивостью и неточностью закона не выполнять его, пока он небудет исправлен.

На всех публичных мероприятиях говорить как плох закон и почему его надо переделать.

2) Придумать трактовку которая будет на 90% соответствовать закону и на 10% спорной.
Заблаговременно убедить регуляторов, прокуратуру и суды пользоваться именно нужной трактовкой.

На всех публичных мероприятиях надо говорить как много спорных моментов в законе и предлагать частично спорный но выполнимый вариант соответствия законодательству.
Сергей, однозначно второе. Нарисовать алгоритм в зависимости от особенностей его обработки, прописать в локальных актах и затвердить. Будут претензии - стоять намертво, писать особое мнение в акте, идти в суд. Закон надо выполнять. Собственно, это ответ на Ваш вопрос на моем блоге про куры. Рассказываю, примерно как делал выше, предлагаю свое решение - а дальше каждый сам в меру своего разумения. И это ответ на однозначный алгоритм действий. Его нет, но разумный найти можно. И это мое работка как консультанта: разбираем ситуацию, предлагаю решение, обсуждаем с заказчиком, оцениваем риски, но решение он принимает сам.
А говорит про плохой закон надо. Выполняя такой, как есть, и убеждая его менять.
Сергей Борисов написал(а)…
Возможно правомерность посчитали интуитивным понятием.
"Правомерность - соответствие явлений социальной жизни (деятельности или результатов деятельности субъектов права) требованиям и дозволениям содержащейся в нормах права государственной воли. П. воплощается не только непосредственно в поведении субъектов права, но и в таких юридических документах, как нормативные акты, правоприменительные акты (например, судебное решение или приговор). П. исключает какое бы то ни было отклонение от предписаний права; противоположность П. — противоправность.
Энциклопедический словарь экономики и права"



Так как блокировать сразу после обращения субъекта - нереально в некоторых случаях,
я выбираю трактовку - что факт неточности или неправомерности определяет Оператор.
Так как порядка определения факта неправомерности нет и везде по тексту используются ситуации когда неправомерность уже установлена, я выбираю трактовку - что факт неправомерности или неточности выявляется в результате проверки.
Ну что ж, примерно так. Step by step. Потом - оформление в виде процедуры в локальном акте, перенос в политику, доведение до допущенных работников. Стена построена. А дальше - состязательность процесса. Успехов!

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

Модель угроз безопасности клиента финансовой организации

КИИ. Категорирование объектов, часть 3