Данный комментарий
содержит анализ текста Федерального закона от 27 июля 2006 г. N 152-ФЗ
"О персональных данных" (в редакции от 25 июля 2011 г.) с точки
зрения здравого смысла, логики и методологии научной и законотворческой
деятельности. Опыт проведения анализа закона под таким углом зрения является
уникальным. Попытка, предпринятая автором, обусловлена огромным количеством
правовых коллизий, которые породил и продолжает порождать сам закон и
подзаконные акты, уже вышедшие и выходящие в его развитие.
Для облегчения
восприятия автор полностью воспроизводит текст анализируемого закона, в котором
выделяет курсивом фразы, на которые считает необходимым обратить внимание с
целью дальнейшего анализа. Текст комментария предваряется пометкой
«Комментарий», печатается курсивом и размещается сразу после комментируемого
пункта (подпункта) закона.
Статья 17. Право на обжалование действий
или бездействия оператора
1. Если
субъект персональных данных считает, что оператор осуществляет обработку его
персональных данных с нарушением требований настоящего Федерального закона или
иным образом нарушает его права и свободы, субъект персональных данных вправе
обжаловать действия или бездействие оператора в уполномоченный орган по защите
прав субъектов персональных данных или в судебном порядке.
2. Субъект
персональных данных имеет право на защиту
своих прав и законных интересов, в том числе на возмещение убытков и (или)
компенсацию морального вреда в судебном порядке.
Комментарий:
В
данной статье вновь отсутствуют ссылки на «настоящий закон» и сферу его
компетенции, что необычайно расширяет сферу её применения. Получается, что
закон предоставляет субъекту право на защиту любых «прав и законных интересов»
А это противоречит ч.1 ст.1 этого же закона.
Глава 4. Обязанности оператора
Статья 18.
Обязанности оператора при сборе персональных данных
1. При
сборе персональных данных оператор обязан предоставить субъекту персональных
данных по его просьбе информацию, предусмотренную частью 7 статьи 14
настоящего Федерального закона.
2. Если
предоставление персональных данных является обязательным в соответствии с
федеральным законом, оператор обязан разъяснить субъекту персональных данных
юридические последствия отказа предоставить его персональные данные.
3. Если
персональные данные получены не от
субъекта персональных данных, оператор, за исключением случаев, предусмотренных
частью 4
настоящей статьи, до начала обработки
таких персональных данных обязан предоставить субъекту персональных данных
следующую информацию:
Комментарий:
«Получение персональных данных»
есть действие с персональными данными и поэтому согласно п.3 ст.3 настоящего
закона уже есть «обработка персональных данных». Поэтому требование данного
пункта (с учетом определений, приведенных в самом законе) заведомо невыполнимо,
т.к. получается «обработка до начала обработки»?!
1)
наименование либо фамилия, имя, отчество и адрес оператора или его
представителя;
2) цель
обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
Комментарий:
1) Нужно быть как минимум Богом,
чтобы выполнить требование этого пункта.
2) Кроме того, чтобы,
выполняя требования данного пункта, не нарушить требования настоящего закона в
отношении пользователей, которые так же являются субъектами персональных
данных, необходимо взять у них согласие на включение их персональных данных в такое
извещение, причем в письменном виде.
4) установленные настоящим Федеральным законом
права субъекта персональных данных;
Комментарий:
Интересно, зачем переписывать
закон или даже его отдельные положения? Если субъекту будет
нужно, он возьмёт закон и прочтёт, а оператор может ошибиться или сознательно
допустить неточность.
5)
источник получения персональных данных.
4. Оператор
освобождается от обязанности предоставить субъекту персональных данных
сведения, предусмотренные частью 3 настоящей статьи, в случаях, если:
1) субъект
персональных данных уведомлен об осуществлении обработки его персональных
данных соответствующим
оператором;
Комментарий:
«Оператор освобождается
от обязанности … если субъект … уведомлен … соответствующим оператором» - это же
абсурд! И что значит «соответствующим оператором»? Какой оператор
соответствующий, а какой несоответствующий? Чему соответствующий?
2)
персональные данные получены оператором на основании федерального закона или в
связи с исполнением договора, стороной которого либо выгодоприобретателем или
поручителем по которому является субъект персональных данных;
3)
персональные данные сделаны общедоступными субъектом персональных данных или
получены из общедоступного источника;
4) оператор
осуществляет обработку персональных данных для статистических или иных исследовательских целей, для
осуществления профессиональной деятельности журналиста либо научной, литературной или иной
творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;
Комментарий:
С учетом того, что «права и
законные интересы субъекта», которые могут быть нарушены (или не нарушены) при
обработке его персональных данных неизвестны, получается, что опубликование
персональных данных в научных статьях, литературных произведениях,
журналистских публикациях дело рискованное: кто знает
какие у данного субъекта интересы. Права худо-бедно прописаны в Конституции, а
законные интересы, как было отмечено выше, есть полный абсурд.
5)
предоставление субъекту персональных данных сведений, предусмотренных частью 3 настоящей статьи, нарушает права и законные интересы третьих лиц.
Комментарий:
Данный пункт защищает
доносчиков, кляузников и прочих мерзавцев, позволяя им творить свои чёрные
дела, оставаясь при этом под защитой закона. Именно они являются этими
"третьими лицами", которые поставляют такие персональные данные о
субъекте, с которыми даже ему не следует знакомиться.
Статья 18.1.
Меры, направленные на обеспечение
выполнения оператором обязанностей, предусмотренных настоящим Федеральным
законом
Комментарий:
Меры[1] не имеют направления и поэтому
не могут быть ни на что направлены. Они могут быть
предусмотрены или приняты, как указано в первом пункте данной статьи, для
достижения определённой цели.
1.
Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных
настоящим Федеральным законом и принятыми в соответствии с ним нормативными
правовыми актами. Оператор самостоятельно определяет состав и перечень мер,
необходимых и достаточных для обеспечения выполнения обязанностей,
предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним
нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным
законом или другими федеральными законами. К таким мерам могут, в частности, относиться:
Комментарий:
1) Яркое подтверждение того,
что главным критерием данный закон провозглашает не эффективность принимаемых
мер, а их соответствие/несоответствие закону.
2) Оператор не вправе
принимать меры, которые считает эффективными. Он имеет право только выбирать их
из перечня мер, предусмотренных законодательством, даже, если они неэффективны
и/или абсурдны;
3) «Состав мер» - это как? Или
что? Мера — философская категория,
выражающая некоторые пределы, за границами которых количественные изменения
параметров объекта или явления приводят к их качественным изменениям. Эти
границы и есть мера[2]. Т.о. мера не имеет
состава. Мер может быть несколько, тогда следует вести речь о перечне мер, но
никак не о составе.
1)
назначение оператором, являющимся юридическим лицом, ответственного за
организацию обработки персональных данных;
2) издание оператором, являющимся
юридическим лицом, документов, определяющих политику оператора в отношении
обработки персональных данных, локальных актов по вопросам обработки
персональных данных, а также локальных актов, устанавливающих процедуры,
направленные на предотвращение и выявление нарушений
законодательства Российской Федерации,
устранение последствий таких нарушений;
Комментарий:
Еще одно подтверждение того, что
главный критерий закона не эффективность, а соответствие/несоответствие
закону.
3)
применение правовых, организационных и
технических мер по обеспечению безопасности персональных данных в
соответствии со статьей
19 настоящего
Федерального закона;
Комментарий:
1) Очередной «ляп» с точки
зрения стиля изложения: «К таким мерам могут, в частности, относиться: …
применение правовых, организационных и технических мер по обеспечению
безопасности персональных данных …». Т.е. «к мерам могут относиться …
применение мер»?!
2) «Правовых мер», согласно
действующим нормативно-методическим документам в области защиты информации в
Российской Федерации, нет. Разработка нормативных и правовых актов, призванных
регулировать отношения в области защиты, всегда относилась к организационным
мерам.
3) С точки зрения логики не
может быть «организационных мер». Любые меры, принимаемые для достижения любой
цели, содержат организационную компоненту.
4) Из перечня мер,
применяемых для обеспечения безопасности персональных данных, исключены
программные меры, что достаточно странно, когда речь идет об обработке
персональных данных с использованием средств автоматизации.
5) С точки зрения логики и
здравого смысла меры, которые могут применяться для обеспечения безопасности чего бы то ни
было, следовало бы поделить на: а) организационно-правовые; б)
организационно-технические; в) организационно-программные.
4)
осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним
нормативным правовым актам, требованиям к защите персональных данных, политике
оператора в отношении обработки персональных данных, локальным актам оператора;
5) оценка вреда, который может быть
причинен субъектам персональных данных в
случае нарушения настоящего Федерального
закона, соотношение указанного вреда
и принимаемых оператором мер, направленных на обеспечение выполнения
обязанностей, предусмотренных настоящим Федеральным законом;
Комментарий:
1) Стоит обратить внимание,
что оценка вреда субъекту предусмотрена только в случае нарушения настоящего
закона.
2) Отнесение «оценки вреда»
к мерам необходимым и, главное, достаточным, для «обеспечения выполнения
обязанностей, предусмотренных настоящим Федеральным законом и принятыми в
соответствии с ним нормативными правовыми актами» представляется странным.
Оценка возможно причиненного вреда осуществляется для выбора мер защиты по
критерию эффективность-стоимость. Когда в качестве критерия оценки
устанавливается соответствие-несоответствие закону, оценка вреда абсолютно
излишня.
6)
ознакомление работников оператора, непосредственно
осуществляющих обработку персональных данных, с положениями
законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных
данных, документами, определяющими политику оператора в отношении обработки
персональных данных, локальными актами по вопросам обработки персональных
данных, и (или) обучение указанных работников.
Комментарий:
1) Ознакомиться с
персональными данными, обрабатываемыми в информационной системе, и причинить им
вред или использовать в противоправных целях могут не только работники,
непосредственно осуществляющие их обработку, но и многие другие. Например, руководитель
организации или ее структурного подразделения, не осуществляющий
непосредственно обработку персональных данных, с точки зрения модели угроз
гораздо опаснее, чем любой из его подчиненных. Поэтому руководители должны в
первую очередь знакомиться с положениями законодательства и проходить обучение.
Так что формулировка комментируемого подпункта представляется довольно
ущербной.
2) Требования не могут быть
применены к защите. Требования можно предъявлять к объекту или субъекту, но не
к виду деятельности. «Требования к защите» - это «идол рынка», т.е. оборот
обыденной речи, что недопустимо для законодательного акта, да еще федерального
уровня.
2. Оператор
обязан опубликовать или иным образом обеспечить неограниченный доступ к
документу, определяющему его политику в отношении обработки персональных
данных, к сведениям о реализуемых требованиях к защите
персональных данных. Оператор, осуществляющий
сбор персональных данных с использованием
информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей
информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки
персональных данных, и сведения о
реализуемых требованиях к защите персональных данных, а также обеспечить
возможность доступа к указанному документу с использованием средств
соответствующей информационно-телекоммуникационной сети.
Комментарий:
1) Требования не
реализуются, а выполняются!
2) Требование к оператору,
«осуществляющему сбор персональных данных с использованием
информационно-телекоммуникационных сетей» опубликовать политику в отношении обработки
персональных данных, а, тем более, сведения об их защите является грубым
нарушением логики, здравого смысла и многих руководящих документов.
Опубликование политики безопасности снижает её эффективность (иногда до нуля).
3) Персональные данные, как
известно, отнесены Президентом РФ (на тот момент В.В.Путиным) к конфиденциальной
информации. Следовательно, политика в отношении обработки конфиденциальной
информации, и, тем более, сведения о принимаемых мерах по защите этой
информации, должны быть отнесены к категории «конфиденциальная информация»
(служебная информация ограниченного доступа). Т.е. данный пункт требует от
оператора опубликовывать конфиденциальную информацию! Т.о. оператор, выполняя
требования этого пункта, будет нарушать требования других законодательных актов
в сфере защиты информации и саму логику защиты.
3.
Правительство Российской Федерации устанавливает перечень мер, направленных на
обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным
законом и принятыми в соответствии с ним нормативными правовыми актами,
операторами, являющимися государственными или муниципальными органами.
4.
Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным
образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по
запросу уполномоченного органа по защите прав субъектов персональных данных.
Статья 19.
Меры по обеспечению безопасности персональных данных при их обработке
Комментарий:
В
статье, озаглавленной «Меры по обеспечению …», – обязанности оператора!
1. Оператор
при обработке персональных данных обязан принимать
необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к
ним, уничтожения, изменения, блокирования, копирования, предоставления,
распространения персональных данных, а также от иных неправомерных действий в
отношении персональных данных.
Комментарий:
1) Относительно «мер защиты» см.
комментарий выше.
2) Оппозицией
«неправомерного» является «правомерного», а оппозицией «случайного» является
«закономерное». Получается, что,
согласно данному пункту, меры по защите от правомерного и/или закономерного
доступа, даже если он может привести к причинению информации вреда, бороться принимать не
следует?!
2.
Обеспечение безопасности персональных данных достигается, в частности:
1)
определением угроз безопасности
персональных данных при их обработке в информационных системах персональных
данных;
Комментарий:
1) «Угроза безопасности» -
это идиоматический оборот. Угрожают не безопасности персональных данных, а
персональным данным.
2) «Определением угроз»
обеспечение безопасности не достигается ни в целом, ни в частности!
3) Определенная вещь это
та, которая в соответствии с делением вещей на родовые и
индивидуально-определенные отличается конкретными, только ей присущими
характеристиками, обозначенными в нормативном порядке [подчеркнуто мной
– Г.А.] или договором[3]. Таким образом, «определить»
ближе по значению к «назначить». По логике, угорозы не
определяются, а явные – учитываются, скрытые (латентные) – выявляются.
3) Безопасность персональных
данных невозможно обеспечить, выявляя угрозы персональным данным только «при их
обработке в информационных системах персональных данных». Более того,
акустическая разведка, представляющая по мнению ФСТЭК чуть ли не основную
угрозу, для информационных систем вообще неактуальна. О ней даже упоминать
применительно к информационным системам должно быть стыдно. Ведь «компы» пока
еще друг с другом не говорят, а человек в состав информационной системы не
входит. А СВТ + персонал – это уже автоматизированная система (АС). Об этом,
видимо, разработчики закона не знали.
2)
применением организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах персональных
данных, необходимых для выполнения требований к защите персональных данных,
исполнение которых обеспечивает установленные Правительством Российской
Федерации уровни защищенности
персональных данных;
Комментарий:
1) «Уровень защищенности» -
это, опять же, идиоматический оборот, а «защищенность» - универсалия, т.е.
максимально общее понятие, у которого не может быть уровней.
2) Основные меры защиты
данных в информационных сетях – программные, но применение именно их
исключается этим законом.
3)
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
Комментарий:
Соответствия чему?
Санитарно-гигиеническим нормам? Архитектурному стилю помещения или
дизайнерскому замыслу рабочего места?
4) оценкой
эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы
персональных данных;
Комментарий:
До ввода информационной системы в
эксплуатацию персональные данные там не обрабатываются и, следовательно, меры
по обеспечению их безопасности не применяются, а только планируются к
применению.
5) учетом
машинных носителей персональных данных;
6) обнаружением фактов несанкционированного
доступа к персональным данным и принятием
мер;
Комментарий:
1) По тексту здесь речь идет
о всех возможных фактах несанкционированного доступа к персональным данным
безотносительно к тому, где они обрабатываются и/или хранятся. Однако
невозможно обнаружить факт преднамеренного/непреднамеренного прослушивания
информации или просмотра ее с экранов мониторов, раскрытых документов и т.д.,
что так же трактуется руководящими и нормативно-методическими документами по
защите информации как несанкционированный доступ к информации. Поэтому после
слов «к персональным данным» необходимо было бы добавить «обрабатываемым в
информационных системах персональных данных». Иначе этот пункт превращается в
абсурд.
2) О каких мерах здесь идет
речь? Какие меры необходимо принимать?
Кроме того, если читать текст ст. 19
как положено, по-русски, получим: «Обеспечение безопасности персональных данных
достигается, в частности, … применением организационных и технических мер по
обеспечению безопасности персональных данных … и принятием мер»! Что это, если
не абракадабра?
7)
восстановлением персональных данных, модифицированных
или уничтоженных вследствие несанкционированного
доступа к ним;
Комментарий:
1) «Модифицированы» не
означает «искажены». Персональные данные могут быть модифицированы (т.е.
изменены) сотрудником в неурочное время или находящимся в отпуске в порядке
исправления допущенных им ранее ошибок без согласования или вопреки указаниям
своего начальника, т.е. в результате несанкционированного доступа. Однако, в
результате такого несанкционированного доступа ложные данные стали
истинными. Разве после этого необходимо восстановить старые – ложные – данные?
2) А если данные были
уничтожены вследствие санкционированного доступа, их что, не нужно
восстанавливать? Получается, что восстановление уничтоженных (преднамеренно или
непреднамеренно) персональных данных сотрудником, допущенным к их обработке
(осуществляющим санкционированный доступ), не повышает безопасность персональных данных?
8)
установлением правил доступа к персональным данным, обрабатываемым в
информационной системе персональных данных, а также обеспечением регистрации и учета всех действий,
совершаемых с персональными данными в информационной системе персональных
данных;
Комментарий:
1) «Регистрация» и «учет» -
это синонимы[4].
2) Все действия, совершаемые
с данными в информационной системе, учесть либо невозможно, либо
нецелесообразно. Более того, в этом нет никакой необходимости, но стоить это
будет невероятно дорого.
9)
контролем за принимаемыми мерами по обеспечению безопасности персональных
данных и уровня защищенности информационных систем персональных данных.
Комментарий:
1) Грамматическая ошибка. Правильно -
«контролем за … уровнем …». Если «контролем уровня», тогда «принимаемых мер».
2) Меры, перечисленные в
п.3-9 ч.2 ст.19, в содержательном плане входят в состав п.2 и при этом не
являются исчерпывающими.
3.
Правительство Российской Федерации с учетом возможного вреда субъекту персональных
данных, объема и содержания обрабатываемых персональных данных, вида
деятельности, при осуществлении которого обрабатываются персональные данные,
актуальности угроз безопасности персональных данных устанавливает:
Комментарий:
1) О каком вреде субъекту идет
речь в данном предложении? О любом
«возможном»? Из текста следует именно это, но это есть абсурд.
2) Правительство не может
учесть вред, который может быть причинен субъекту персональных данных ни
вообще, ни в частности. Формулировка этого пункта – полнейшая белиберда.
1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в
зависимости от угроз безопасности этих данных;
Комментарий:
1) «Уровни защищенности …
при … обработке …» - это полный абсурд.
2) «Правительство Российской
Федерации с учетом … актуальности угроз
безопасности персональных данных устанавливает: … уровни защищенности
персональных данных … в зависимости от угроз
безопасности этих данных» – очередная белиберда.
2) требования к защите персональных данных
при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни
защищенности персональных данных;
Комментарий:
1) Как уже было отмечено
выше, требования могут предъявляться только к объекту или субъекту, но никак не
к сфере или виду деятельности.
2) Исполнение требований
обеспечивает определенный уровень
соответствия системе требований и никак не связано с «уровнем
защищенности». Так, например, требование применить железный щит вместо
деревянного повысит «уровень защищенности» от стрелы и никак не повлияет на
«уровень защищенности» от снаряда. Другими словами, «уровень защищенности»
определяется соответствием системы защиты средствам нападения, а не требованиям
уставов.
3) «Защищенность» – это
общее понятие, приемлемого определения которого на сегодняшний день не
существует. Равно как не существует и самой «защищенности» в физическом смысле.
Возможно говорить о «чувстве защищенности», т.е. категории психологической. Но
устанавливать уровни можно только того, что имеет физические параметры.
Устанавливать уровни того, чего не существует, да еще в законе, – это, по
меньшей мере, некорректно.
3)
требования к материальным носителям биометрических персональных данных и
технологиям хранения таких данных вне информационных систем персональных
данных.
Комментарий:
Странно, что устанавливаться
будут требования к носителям и технологиям хранения только биометрических
персональных данных.
4. Состав и содержание необходимых для
выполнения установленных Правительством Российской Федерации в соответствии
с частью 3
настоящей статьи требований к защите
персональных данных для каждого из уровней
защищенности, организационных и технических мер по обеспечению безопасности
персональных данных при их обработке
в информационных системах персональных данных устанавливаются федеральным
органом исполнительной власти, уполномоченным в области обеспечения
безопасности, и федеральным органом исполнительной власти, уполномоченным в
области противодействия техническим разведкам и технической защиты информации,
в пределах их полномочий.
Комментарий: Все содержащиеся в
данном пункте закона недостатки проанализированы ранее.
5.
Федеральные органы исполнительной власти, осуществляющие функции по выработке
государственной политики и нормативно-правовому регулированию в установленной сфере деятельности,
органы государственной власти субъектов Российской Федерации, Банк России,
органы государственных внебюджетных фондов, иные государственные органы в пределах
своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности
персональных данных, актуальные при обработке персональных данных в
информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с
учетом содержания персональных данных, характера и способов их обработки.
Комментарий:
1) О какой сфере
деятельности идет здесь речь? Кто её установил?
2) Выявить угрозы,
актуальные для всех информационных систем, даже в пределах одной сферы
деятельности, НЕВОЗМОЖНО! Это сугубо индивидуальное дело, зависящее от
множества разнообразных параметров. А вот «определить», в смысле «назначить», -
это действительно можно. Что, собственно, ФСТЭК и делает.
3) «Соответствующих» чему?
6. Наряду с
угрозами безопасности персональных данных, определенных в нормативных правовых
актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы
и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных
данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности
членами таких ассоциаций, союзов и иных объединений операторов, с учетом
содержания персональных данных, характера
и способов их обработки.
Комментарий:
1) «Определить
дополнительные угрозы» = «назначить дополнительные угрозы».
2) «Актуальные при
обработке» - абсурд, равно как и «эксплуатируемых при осуществлении».
3) Каким документом и кто
определил виды деятельности, при которых можно «определять дополнительные
угрозы»?
4) Что следует понимать под
термином «характер обработки»? У обработки нет, и не
может быть, характера.
7. Проекты
нормативных правовых актов, указанных в части 5
настоящей статьи, подлежат согласованию с федеральным органом
исполнительной власти, уполномоченным в области обеспечения безопасности, и
федеральным органом исполнительной власти, уполномоченным в области
противодействия техническим разведкам и технической защиты информации. Проекты
решений, указанных в части 6 настоящей статьи, подлежат согласованию с
федеральным органом исполнительной власти, уполномоченным в области обеспечения
безопасности, и федеральным органом исполнительной власти, уполномоченным в
области противодействия техническим разведкам и технической защиты информации,
в порядке, установленном Правительством Российской Федерации. Решение
федерального органа исполнительной власти, уполномоченного в области
обеспечения безопасности, и федерального органа исполнительной власти,
уполномоченного в области противодействия техническим разведкам и технической
защиты информации, об отказе в согласовании проектов решений, указанных в части 6
настоящей статьи, должно быть мотивированным.
Комментарий:
Довольно странно, что проекты
нужно согласовывать с федеральным органом исполнительной власти, уполномоченным
в области обеспечения безопасности, который не имеет практически никакого
отношения к проблеме выявления угроз персональным данным, и не нужно
согласовывать с уполномоченным органом по защите прав субъектов персональных
данных.
8. Контроль
и надзор за выполнением организационных и технических мер по обеспечению
безопасности персональных данных, установленных в соответствии с настоящей статьей,
при обработке персональных данных в государственных информационных системах
персональных данных осуществляются федеральным органом исполнительной власти,
уполномоченным в области обеспечения безопасности, и федеральным органом
исполнительной власти, уполномоченным в области противодействия техническим
разведкам и технической защиты информации, в пределах их полномочий и без права
ознакомления с персональными данными, обрабатываемыми в информационных системах
персональных данных.
9.
Федеральный орган исполнительной власти, уполномоченный в области обеспечения
безопасности, и федеральный орган исполнительной власти, уполномоченный в
области противодействия техническим разведкам и технической защиты информации,
решением Правительства Российской Федерации с учетом значимости и содержания
обрабатываемых персональных данных могут быть наделены полномочиями по контролю
за выполнением организационных и технических мер по обеспечению безопасности
персональных данных, установленных в соответствии с настоящей статьей, при их
обработке в информационных системах персональных данных, эксплуатируемых при
осуществлении определенных видов деятельности и не являющихся государственными
информационными системами персональных данных, без права ознакомления с
персональными данными, обрабатываемыми в информационных системах персональных
данных.
10.
Использование и хранение биометрических персональных данных вне информационных
систем персональных данных могут осуществляться только на таких материальных
носителях информации и с применением такой технологии ее хранения, которые
обеспечивают защиту этих данных от неправомерного или случайного доступа к ним,
их уничтожения, изменения, блокирования, копирования, предоставления,
распространения.
11. Для целей настоящей статьи под угрозами
безопасности персональных данных понимается совокупность условий и факторов,
создающих опасность несанкционированного, в том числе случайного, доступа к
персональным данным, результатом
которого могут стать уничтожение, изменение, блокирование, копирование,
предоставление, распространение персональных данных, а также иные неправомерные
действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных
данных понимается комплексный показатель,
характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз
безопасности персональных данных при их обработке в информационных системах
персональных данных.
Комментарий:
1) У статьи не может быть
цели!
2) Для данной статьи – так,
для другой иначе?
3) В очередной раз:
безопасности никто не угрожает. Угрожают объекту (субъекту).
4) Понимать под угрозой
безопасности условия и факторы, создающие опасность, значит полностью
пренебрегать (или не знать) правилами формирования определений.
5) Результат – это то, что
получается в завершение какой-нибудь деятельности! Доступ – это то, с чего
деятельность начинается! Как можно бороться с тем, результаты чего еще не
известны? Нужно быть Богом, чтобы узнать к каким результатам может привести
даже не единичное действие, а целая их последовательность. Кроме того, в
подавляющем большинстве случаев несанкционированный доступ не приводит к
негативным последствиям, а санкционированный, зачастую, приводит. Но бороться
почему-то нужно именно с несанкционированным доступом, а не с искажением,
некорректным уничтожением, несанкционированным изменением статуса
информационного ресурса и т.д.
6) «Под уровнем защищенности
… понимается … показатель, характеризующий требования» - с точки зрения логики
абсолютная глупость!
7) Угрозы нельзя
нейтрализовать! Нейтрализовать (сделать нейтральным) можно только объект.
Угроза – специфическое состояние объект-объектных связей и отношений, обещание
(возможность) причинить объекту защиты вред.
8) Почему нейтрализации подлежат
не все, а только «определенные» угрозы. Какие? Кто это определяет?
Статья 20.
Обязанности оператора при обращении к
нему субъекта персональных данных либо при получении запроса субъекта
персональных данных или его представителя, а также уполномоченного органа по
защите прав субъектов персональных данных
Комментарий:
Еще
раз: обязанности либо есть, либо их нет. Они не могут возникать «при обращении»
к кому-либо и исчезать «при необращении».
1. Оператор
обязан сообщить в порядке, предусмотренном статьей 14 настоящего Федерального закона,
субъекту персональных данных или его представителю информацию о наличии
персональных данных, относящихся к соответствующему
субъекту персональных данных, а также предоставить возможность ознакомления с
этими персональными данными при обращении субъекта персональных данных или его
представителя либо в течение тридцати дней с даты получения запроса субъекта
персональных данных или его представителя.
2. В случае
отказа в предоставлении информации о наличии персональных данных о
соответствующем субъекте персональных данных или персональных данных субъекту
персональных данных или его представителю при их обращении либо при получении
запроса субъекта персональных данных или его представителя оператор обязан дать
в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14
настоящего Федерального закона или иного федерального закона, являющееся
основанием для такого отказа, в срок, не превышающий тридцати дней со дня
обращения субъекта персональных данных или его представителя либо с даты
получения запроса субъекта персональных данных или его представителя.
3. Оператор
обязан предоставить безвозмездно субъекту персональных данных или его
представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В
срок, не превышающий семи рабочих дней со дня предоставления субъектом
персональных данных или его представителем сведений, подтверждающих, что
персональные данные являются неполными, неточными или неактуальными, оператор
обязан внести в них необходимые изменения.
В срок, не превышающий семи рабочих дней со дня представления субъектом
персональных данных или его представителем сведений, подтверждающих, что такие
персональные данные являются незаконно полученными или не являются необходимыми
для заявленной цели обработки, оператор обязан уничтожить такие персональные
данные. Оператор обязан уведомить субъекта персональных данных или его
представителя о внесенных изменениях и предпринятых
мерах и принять разумные меры для
уведомления третьих лиц, которым персональные данные этого субъекта были
переданы.
Комментарий:
1) В ч.1 настоящей статьи –
«соответствующему субъекту», в ч.3 этой же статьи – «этому субъекту». Почему? В
чём разница? О каких субъектах идет речь?
2) Откуда оператор узнает,
какие изменения необходимо внести, и где он должен получить для этого данные?
3) Чьим разумом следует
пользоваться при определении «разумных мер»? Если «здравым», то вообще делать
ничего не нужно, если таким, как у разработчиков этого закона, то никакие меры
не будут достаточными.
4) С точки зрения стиля
изложения, типичная ситуация: «… и предпринятых мерах и принять разумные
меры…». Кроме того «предпринятых» - это «пред-принятых», т.е. «предварительно
принятых». О каких предпринятых мерах можно здесь говорить? А вот о «принятых»,
вполне.
5) В целом
требования данной статьи абсолютно размыты, заведомо невыполнимы и потому
исключительно коррупциогенны.
4. Оператор
обязан сообщить в уполномоченный орган по защите прав субъектов персональных
данных по запросу этого органа необходимую информацию в течение тридцати дней с
даты получения такого запроса.
Статья 21. Обязанности
оператора по устранению нарушений законодательства,
допущенных при обработке персональных данных, по уточнению, блокированию и
уничтожению персональных данных
Комментарий:
То же, что и к статье 20.
1. В случае
выявления неправомерной обработки
персональных данных при обращении субъекта персональных данных или его
представителя либо по запросу субъекта персональных данных или его
представителя либо уполномоченного органа по защите прав субъектов персональных
данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к
этому субъекту персональных данных, или обеспечить их блокирование (если
обработка персональных данных осуществляется другим лицом, действующим по
поручению оператора) с момента такого обращения или получения указанного
запроса на период проверки. В случае
выявления неточных персональных данных при
обращении субъекта персональных данных или его представителя либо по их
запросу или по запросу уполномоченного органа по защите прав субъектов
персональных данных оператор обязан осуществить блокирование персональных
данных, относящихся к этому субъекту персональных данных, или обеспечить их
блокирование (если обработка персональных данных осуществляется другим лицом,
действующим по поручению оператора) с момента такого обращения или получения
указанного запроса на период проверки, если блокирование персональных данных не
нарушает права и законные интересы субъекта персональных данных или третьих
лиц.
Комментарий:
1) Понятия «неправомерная
обработка» и «неправомерно обрабатываемые персональные данные» не тождественны.
Произведена банальная подмена понятий!
2) «В случае выявления … обработки … при
обращении субъекта …» - очень похоже на галиматью.
2.
В случае подтверждения факта неточности
персональных данных оператор на основании сведений, представленных субъектом
персональных данных или его представителем либо уполномоченным органом по
защите прав субъектов персональных данных, или иных необходимых документов
обязан уточнить персональные данные либо обеспечить их уточнение (если
обработка персональных данных осуществляется другим лицом, действующим по
поручению оператора) в течение семи рабочих дней со дня представления таких
сведений и снять блокирование персональных данных.
Комментарий:
Факт (от лат. factum — сделанное, совершившееся) —
синоним понятий «истина», «событие», «результат» (Философия: Энциклопедический
словарь. — М.: Гардарики. Под редакцией А.А. Ивина. 2004.). Подстановка любого
из синонимов приводит к абсурду. Это и понятно, ведь
"подтверждение факта неточности" - стилистическая ошибка, видимо
вызванная желанием вставить красивое словцо.
3.
В случае выявления неправомерной обработки персональных данных, осуществляемой
оператором или лицом, действующим по поручению оператора, оператор в срок, не
превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную
обработку персональных данных или обеспечить прекращение неправомерной
обработки персональных данных лицом, действующим по поручению оператора. В
случае, если обеспечить правомерность обработки персональных данных невозможно,
оператор в срок, не превышающий десяти рабочих дней с даты выявления
неправомерной обработки персональных данных, обязан уничтожить такие
персональные данные или обеспечить их уничтожение. Об устранении допущенных
нарушений или об уничтожении персональных данных оператор обязан уведомить
субъекта персональных данных или его представителя, а в случае, если обращение
субъекта персональных данных или его представителя либо запрос уполномоченного
органа по защите прав субъектов персональных данных были направлены
уполномоченным органом по защите прав субъектов персональных данных, также
указанный орган.
4. В случае
достижения цели обработки персональных данных оператор обязан прекратить
обработку персональных данных или обеспечить ее прекращение (если обработка
персональных данных осуществляется другим лицом, действующим по поручению
оператора) и уничтожить персональные данные или обеспечить их уничтожение (если
обработка персональных данных осуществляется другим лицом, действующим по
поручению оператора) в срок, не превышающий тридцати дней с даты достижения
цели обработки персональных данных, если иное не предусмотрено договором,
стороной которого, выгодоприобретателем или поручителем по которому является
субъект персональных данных, иным соглашением между оператором и субъектом персональных
данных либо если оператор не вправе осуществлять обработку персональных данных
без согласия субъекта персональных данных на основаниях, предусмотренных
настоящим Федеральным законом или другими федеральными законами.
5. В случае
отзыва субъектом персональных данных согласия на обработку его персональных
данных оператор обязан прекратить их обработку или обеспечить прекращение такой
обработки (если обработка персональных данных осуществляется другим лицом,
действующим по поручению оператора) и в случае, если сохранение персональных
данных более не требуется для целей обработки персональных данных, уничтожить
персональные данные или обеспечить их уничтожение (если обработка персональных
данных осуществляется другим лицом, действующим по поручению оператора) в срок,
не превышающий тридцати дней с даты поступления указанного отзыва, если иное не
предусмотрено договором, стороной которого, выгодоприобретателем или
поручителем по которому является субъект персональных данных, иным соглашением
между оператором и субъектом персональных данных либо если оператор не вправе
осуществлять обработку персональных данных без согласия субъекта персональных
данных на основаниях, предусмотренных настоящим Федеральным законом или другими
федеральными законами.
6. В случае
отсутствия возможности уничтожения персональных данных в течение срока,
указанного в частях 3 - 5 настоящей статьи, оператор
осуществляет блокирование таких персональных данных или обеспечивает их
блокирование (если обработка персональных данных осуществляется другим лицом,
действующим по поручению оператора) и обеспечивает уничтожение персональных
данных в срок не более чем шесть месяцев, если иной срок не установлен
федеральными законами.
Статья 22.
Уведомление об обработке персональных данных
1. Оператор
до начала обработки персональных данных обязан уведомить
уполномоченный орган по защите прав субъектов персональных данных о своем
намерении осуществлять обработку персональных данных, за исключением случаев,
предусмотренных частью
2 настоящей статьи.
2. Оператор
вправе осуществлять без уведомления
уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым
законодательством;
2)
полученных оператором в связи с заключением договора, стороной которого
является субъект персональных данных, если персональные данные не
распространяются, а также не предоставляются третьим лицам без согласия
субъекта персональных данных и используются оператором исключительно для
исполнения указанного договора и
заключения договоров с субъектом персональных данных;
Комментарий:
1) Опять «… осуществлять …
обработку … обрабатываемых …».
2) Слово «указанного»
используется (должно использоваться) в том случае, если приведены реквизиты
конкретного договора. Здесь было бы уместнее применить слово «заключённого».
3)
относящихся к членам (участникам) общественного объединения или религиозной
организации и обрабатываемых соответствующими общественным объединением или
религиозной организацией, действующими в соответствии с законодательством
Российской Федерации, для достижения законных
целей, предусмотренных их учредительными
документами, при условии, что персональные данные не будут распространяться
или раскрываться третьим лицам без согласия в письменной форме субъектов
персональных данных;
Комментарий:
Из данного текста следует, что в
учредительных документах могут быть предусмотрены и незаконные цели! В то же
время, если учредительные документы зарегистрированы Регистрационной палатой,
любые цели, указанные в них, – законны.
4)
сделанных субъектом персональных данных общедоступными;
5)
включающих в себя только фамилии, имена и отчества субъектов персональных
данных;
6)
необходимых в целях однократного пропуска субъекта персональных данных на
территорию, на которой находится оператор, или в иных аналогичных целях;
7)
включенных в информационные системы персональных данных, имеющие в соответствии
с федеральными законами статус государственных автоматизированных
информационных систем, а также в государственные информационные системы
персональных данных, созданные в целях защиты безопасности государства и
общественного порядка;
8) обрабатываемых без использования средств
автоматизации в соответствии с федеральными законами или иными нормативными
правовыми актами Российской Федерации, устанавливающими
требования к обеспечению безопасности персональных данных при их обработке и к
соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях,
предусмотренных законодательством
Российской Федерации о транспортной безопасности, в целях обеспечения
устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и
государства в сфере транспортного комплекса от актов незаконного вмешательства.
Комментарии:
1) Пункты 1, 8, 9 ч.2
настоящей статьи не согласованы. Так, если читать, как положено по правилам
русского языка, получим абракадабру: «Оператор вправе осуществлять без
уведомления уполномоченного органа по защите прав субъектов персональных данных
обработку персональных данных, обрабатываемых в соответствии с трудовым законодательством»,
т.е. «обработку … обрабатываемых»?!
2) Странно, что отдельно
выделен только один вид безопасности – транспортная безопасность – и даже не
упоминаются такие виды безопасности как, например, военная, в интересах
обеспечения которой ведется воинский учет и бронирование; экономическая, в
интересах обеспечения которой собираются декларации о доходах чиновников, и
многие другие.
2) Настоящий закон призван
защищать права и свободы человека (ст.2). Федеральный закон «О транспортной безопасности» – интересы, и не
человека, а личности, общества и государства. И не все, а только в сфере
транспортного комплекса. Т.е. законы не коррелированны между собой.
3) Из текста статьи следует,
что оператор вправе не уведомлять
уполномоченный орган по защите прав субъектов персональных данных «в случаях,
предусмотренных законодательством
Российской Федерации о транспортной безопасности, в целях обеспечения
устойчивого и безопасного функционирования транспортного комплекса, защиты
интересов личности, общества и государства в сфере транспортного комплекса от
актов незаконного вмешательства». Т.е., если обработка персональных данных
предусмотрена законодательством
Российской Федерации о транспортной безопасности, в любых других целях, кроме
обеспечения устойчивого и безопасного функционирования транспортного комплекса,
защиты интересов личности, общества и государства в сфере транспортного
комплекса от актов незаконного вмешательства, то уведомлять необходимо.
3. Уведомление,
предусмотренное частью
1 настоящей статьи, направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.
Уведомление должно содержать следующие сведения:
Комментарий: Слова «виде» и
«форме» переставлены местами. Документ на бумажном носителе – форма,
электронный – вид.
1)
наименование (фамилия, имя, отчество), адрес оператора;
2) цель
обработки персональных данных;
3) категории персональных данных;
Комментарий: Еще раз: какие
категории персональных данных существуют и кто их категорировал?
4) категории субъектов, персональные данные
которых обрабатываются;
Комментарий: Какие категории
субъектов персональных данных существуют и кто их категорировал?
5)
правовое основание обработки персональных данных;
6)
перечень действий с персональными данными, общее описание используемых
оператором способов обработки персональных данных;
7)
описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том
числе сведения о наличии шифровальных (криптографических) средств и
наименования этих средств;
Комментарий:
Подобная информация раскрывает
технологию защиты и снижает тем самым её эффективность.
7.1)
фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за
организацию обработки персональных данных, и номера их контактных телефонов,
почтовые адреса и адреса электронной почты;
8) дата
начала обработки персональных данных;
9) срок
или условие прекращения обработки персональных данных;
10)
сведения о наличии или об отсутствии трансграничной передачи персональных
данных в процессе их обработки;
11) сведения об обеспечении безопасности
персональных данных в соответствии с требованиями к защите персональных данных,
установленными Правительством Российской Федерации.
Комментарий: «Сведения об
обеспечении» - очень расплывчатая формулировка. Совершенно не понятно, что
следует понимать под этим термином.
4. Уполномоченный орган
по защите прав субъектов персональных данных в течение тридцати дней с даты
поступления уведомления об обработке персональных данных вносит сведения,
указанные в части
3 настоящей статьи, а также сведения о дате направления
указанного уведомления в реестр операторов. Сведения, содержащиеся в реестре
операторов, за исключением сведений о средствах обеспечения безопасности
персональных данных при их обработке, являются общедоступными.
5. На
оператора не могут возлагаться расходы в
связи с рассмотрением уведомления об обработке персональных данных уполномоченным
органом по защите прав субъектов персональных данных, а также в связи с
внесением сведений в реестр операторов.
Комментарий: «Расходы в связи» -
оборот обыденной речи (скорее, даже прочно вошедший в таковую канцеляризм).
6. В случае
предоставления неполных или недостоверных
сведений, указанных в части 3 настоящей статьи, уполномоченный орган по защите
прав субъектов персональных данных вправе требовать от оператора уточнения
предоставленных сведений до их внесения в реестр операторов.
Комментарий:
Интересно, как уполномоченный
орган может установить, что получил недостоверные сведения?
7. В случае
изменения сведений, указанных в части
3 настоящей статьи, а также в случае прекращения обработки
персональных данных оператор обязан уведомить об этом уполномоченный орган по
защите прав субъектов персональных данных в течение десяти рабочих дней с даты
возникновения таких изменений или с даты прекращения обработки персональных
данных.
Статья 22.1. Лица,
ответственные за организацию обработки персональных данных в организациях
1.
Оператор, являющийся юридическим лицом, назначает лицо, ответственное за
организацию обработки персональных данных.
2. Лицо,
ответственное за организацию обработки персональных данных, получает указания
непосредственно от исполнительного органа
организации, являющейся оператором, и подотчетно ему.
Комментарий:
Любое должностное лицо получает
указания от своего начальника, но никак не от «органа организации».
3. Оператор
обязан предоставлять лицу, ответственному за организацию обработки персональных
данных, сведения, указанные в части 3 статьи 22 настоящего Федерального
закона.
4. Лицо,
ответственное за организацию обработки персональных данных, в частности, обязано:
1)
осуществлять внутренний контроль за
соблюдением оператором и его
работниками законодательства Российской Федерации о персональных данных, в том
числе требований к защите персональных данных;
Комментарий:
1) Какой контроль может
осуществить сотрудник оператора за действиями оператора? Это, примерно, то же,
что обязать печень контролировать поведение человека!
2)
доводить до сведения работников оператора положения законодательства Российской
Федерации о персональных данных, локальных актов по вопросам обработки
персональных данных, требований к защите персональных данных;
3)
организовывать прием и обработку обращений и запросов субъектов персональных
данных или их представителей и (или) осуществлять контроль за приемом и
обработкой таких обращений и запросов.
Глава 5. Контроль и надзор за обработкой
персональных данных. Ответственность за нарушение требований настоящего
Федерального закона
Статья 23.
Уполномоченный орган по защите прав субъектов персональных данных
1.
Уполномоченным органом по защите прав субъектов персональных данных, на который
возлагается обеспечение контроля и
надзора за соответствием обработки персональных данных требованиям настоящего Федерального закона, является федеральный орган исполнительной власти,
осуществляющий функции по контролю и надзору в сфере информационных технологий
и связи.
Комментарий:
Каким требованиям может
соответствовать обработка? И как это вообще: «соответствие обработки
требованиям»? Требованиям может соответствовать или не соответствовать порядок
обработки, технология обработки, алгоритм обработки и т.д. и т.п. Но сама «обработка»
….
2.
Уполномоченный орган по защите прав субъектов персональных данных рассматривает
обращения субъекта персональных данных о соответствии содержания персональных
данных и способов их обработки целям их обработки и принимает соответствующее
решение.
3.
Уполномоченный орган по защите прав субъектов персональных данных имеет право:
1)
запрашивать у физических или юридических лиц информацию, необходимую для
реализации своих полномочий, и безвозмездно получать такую информацию;
2)
осуществлять проверку сведений, содержащихся в уведомлении об обработке
персональных данных, или привлекать для осуществления такой проверки иные
государственные органы в пределах их полномочий;
3)
требовать от оператора уточнения, блокирования или уничтожения недостоверных или
полученных незаконным путем персональных данных;
4)
принимать в установленном законодательством Российской Федерации порядке меры
по приостановлению или прекращению обработки персональных данных,
осуществляемой с нарушением требований настоящего Федерального закона;
5)
обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных
данных, в том числе в защиту прав неопределенного круга лиц, и представлять
интересы субъектов персональных данных в суде;
5.1)
направлять в федеральный орган исполнительной власти, уполномоченный в области
обеспечения безопасности, и федеральный орган исполнительной власти,
уполномоченный в области противодействия техническим разведкам и технической
защиты информации, применительно к сфере их деятельности, сведения, указанные в
пункте 7 части 3 статьи 22
настоящего Федерального закона;
6)
направлять заявление в орган, осуществляющий лицензирование деятельности
оператора, для рассмотрения вопроса о принятии мер по приостановлению действия
или аннулированию соответствующей лицензии в установленном законодательством
Российской Федерации порядке, если условием лицензии на осуществление такой
деятельности является запрет на передачу персональных данных третьим лицам без
согласия в письменной форме субъекта персональных данных;
7)
направлять в органы прокуратуры, другие правоохранительные органы материалы для
решения вопроса о возбуждении уголовных дел по признакам преступлений,
связанных с нарушением прав субъектов персональных данных, в соответствии с
подведомственностью;
8) вносить
в Правительство Российской Федерации предложения о совершенствовании
нормативного правового регулирования защиты прав субъектов персональных данных;
9)
привлекать к административной ответственности лиц, виновных в нарушении
настоящего Федерального закона.
4. В
отношении персональных данных, ставших известными уполномоченному органу по
защите прав субъектов персональных данных в ходе осуществления им своей
деятельности, должна обеспечиваться конфиденциальность персональных данных.
5.
Уполномоченный орган по защите прав субъектов персональных данных обязан:
1)
организовывать в соответствии с требованиями настоящего Федерального закона и
других федеральных законов защиту прав субъектов персональных данных;
2)
рассматривать жалобы и обращения граждан или юридических лиц по вопросам,
связанным с обработкой персональных данных, а также принимать в пределах своих
полномочий решения по результатам рассмотрения указанных жалоб и обращений;
3) вести
реестр операторов;
4)
осуществлять меры, направленные на совершенствование защиты прав субъектов
персональных данных;
5)
принимать в установленном законодательством Российской Федерации порядке по
представлению федерального органа исполнительной власти, уполномоченного в
области обеспечения безопасности, или федерального органа исполнительной
власти, уполномоченного в области противодействия техническим разведкам и
технической защиты информации, меры по приостановлению или прекращению
обработки персональных данных;
6)
информировать государственные органы, а также субъектов персональных данных по
их обращениям или запросам о положении дел в области защиты прав субъектов
персональных данных;
7)
выполнять иные предусмотренные законодательством Российской Федерации
обязанности.
5.1.
Уполномоченный орган по защите прав субъектов персональных данных осуществляет
сотрудничество с органами, уполномоченными по защите прав субъектов
персональных данных в иностранных государствах, в частности международный обмен
информацией о защите прав субъектов персональных данных, утверждает перечень
иностранных государств, обеспечивающих адекватную защиту прав субъектов
персональных данных.
6. Решения
уполномоченного органа по защите прав субъектов персональных данных могут быть
обжалованы в судебном порядке.
7.
Уполномоченный орган по защите прав субъектов персональных данных ежегодно
направляет отчет о своей деятельности Президенту Российской Федерации, в
Правительство Российской Федерации и Федеральное Собрание Российской Федерации.
Указанный отчет подлежит опубликованию в средствах массовой информации.
8.
Финансирование уполномоченного органа по защите прав субъектов персональных
данных осуществляется за счет средств федерального бюджета.
9. При
уполномоченном органе по защите прав субъектов персональных данных создается на
общественных началах консультативный совет, порядок формирования
и порядок
деятельности которого определяются уполномоченным органом по защите прав
субъектов персональных данных.
Статья 24.
Ответственность за нарушение требований настоящего Федерального закона
1. Лица,
виновные в нарушении требований настоящего Федерального закона, несут
предусмотренную законодательством Российской Федерации ответственность.
2. Моральный вред, причиненный субъекту
персональных данных вследствие нарушения
его прав, нарушения правил обработки персональных данных, установленных
настоящим Федеральным законом, а также требований к защите персональных данных,
установленных в соответствии с настоящим Федеральным законом, подлежит
возмещению в соответствии с законодательством Российской Федерации.
Возмещение морального вреда осуществляется независимо от возмещения
имущественного вреда и понесенных субъектом персональных данных убытков.
Комментарий:
Не всякий моральный вред имеет
отношение к этому закону. Равно как и наоборот. Если выбросить из первого
предложения «нарушения его прав», а во втором заменить «морального» на
«такого», то текст уже можно читать, как связный и вполне логичный.
Глава 6.
Заключительные положения
Статья 25.
Заключительные положения
1.
Настоящий Федеральный закон вступает в силу по истечении ста восьмидесяти дней
после дня его официального
опубликования.
2. После
дня вступления в силу настоящего Федерального закона обработка персональных
данных, включенных в информационные системы персональных данных до дня его
вступления в силу, осуществляется в соответствии с настоящим Федеральным
законом.
2.1.
Операторы, которые осуществляли обработку персональных данных до 1 июля
2011 года, обязаны представить в уполномоченный орган по защите прав
субъектов персональных данных сведения, указанные в пунктах 5, 7.1,
10 и 11 части 3 статьи 22
настоящего Федерального закона, не позднее 1 января 2013 года.
3. Утратила силу
с 1 июля 2011 г.
4.
Операторы, которые осуществляют обработку персональных данных до дня вступления
в силу настоящего Федерального закона и продолжают осуществлять такую обработку
после дня его вступления в силу, обязаны направить в уполномоченный орган по
защите прав субъектов персональных данных, за исключением случаев,
предусмотренных частью
2 статьи 22 настоящего
Федерального закона, уведомление, предусмотренное частью 3 статьи 22
настоящего Федерального закона, не позднее 1 января 2008 года.
Заключение
Произвести полный и подробный анализ данного закона с позиции здравого смысла, методологии научной и
законотворческой деятельности не представляется возможным в силу невероятно
большого количества логических, стилистических и, порой, грамматических ошибок,
наличествующих в нем. Тем не менее даже выявленных ошибок более чем
достаточно для того, чтобы сделать следующие выводы. Настоящий закон:
- антигуманный, т.к. его целью провозглашается не защита человека, а защита его прав и свобод, реально же он не только не защищает ни права, ни свободы, но и ограничивает их;
- антиконституционный, т.к. устанавливает нормы, противоречащие Конституции Российской Федерации;
- антигосударственный, поскольку:
а) выстраивает межведомственные препоны;
б) защищает неплательщиков налогов, недобросовестных заемщиков и прочих нарушителей законов и откровенных преступников;
в) обязывает «операторов» принимать совершенно ненужные, но очень дорогостоящие меры по защите никому не нужной информации, и выкидывать таким образом баснословные деньги «на ветер», а не вкладывать их в развитие;
- коррупциогенный, т.к. витиеватый квазинаучный стиль изложения не позволяет однозначно трактовать ни определения терминов, используемых в законе, ни нормы самого закона, создавая таким образом недобросовестным чиновникам базу для их вольного толкования и правоприменения;
- методологически несостоятельный, т.к. игнорирует логику и методологию научной деятельности, в т.ч. в области защиты информации и полностью противоречит здравому смыслу;
- методически неверный: предлагаемые законом методы неэффективны и крайне затратны;
- стилистически не соответствует требованиям, предъявляемым к правовым актам: стиль изложения отличается алогичностью, текст – неточностью определений, размытостью формулировок, многозначностью их возможных трактовок, отсутствием логических связей между названиями статей и их содержанием, наличием сложных словесных конструкций, затрудняющих восприятие, а порой делающих его просто невозможным.
[1] http://ru.wikipedia.org/wiki/%CC%E5%F0%E0 (08.09.2011).
[2] См., например, Философский энциклопедический словарь.- М.:
Советская энциклопедия, 1989 г.
[3] Энциклопедия юриста. –
Режим доступа: http://dic.academic.ru/dic.nsf/enc_law/864 (12.09.2011).
[4] Энциклопедический словарь
«Конституционное право России». – Режим доступа: http://slovari.yandex.ru
(09.09.2011).
--------------------------------------------------------------------------------------------------------------------------
Библиографическая ссылка: Атаманов Г. А. Комментарий к федеральному закону № 152-ФЗ "О персональных данных" // Защита информации. INSIDE. 2012. № 3. С. 18-27.
--------------------------------------------------------------------------------------------------------------------------
Библиографическая ссылка: Атаманов Г. А. Комментарий к федеральному закону № 152-ФЗ "О персональных данных" // Защита информации. INSIDE. 2012. № 3. С. 18-27.
Комментариев нет:
Отправить комментарий