Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Реестр нарушителей закона «О персональных данных»

На портале раскрытия информации о готовящихся нормативных актах опубликован проект Постановления Правительства РФ «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных». Сейчас проект находится на обсуждении, которое должно закончиться 23 мая.

Казалось бы, Постановление должно конкретизировать нормы закона № 152-ФЗ «О персональных данных», но на деле определяет, как именно будет реализоваться другой федеральный закон - № 242-ФЗ, требующий создание реестра нарушителей № 152-ФЗ и переноса персональных данных россиян на территорию РФ. В проекте указано, что Реестр должен содержать адреса сайтов, которые данное требование игнорируют, и что доступ к ним должен блокироваться российскими провайдерами. Фактически, это – ещё один «чёрный список».

Александр Барышников, руководитель направления департамента консалтинга и аудита компании «Информзащита», напоминает: «Операторы связи, оказывающие услуги доступа к Интернету, уже выполняют требования закона №149-ФЗ «Об информации, информационных технологиях и защите информации» по ограничению доступа к сведениям, распространяемым с нарушением закона. Как известно, такая информация обрабатывается с использованием единой автоматизированной информационной системы «Единый реестр доменных имен, указателей страниц сайтов в сети "Интернет" и сетевых адресов, позволяющих идентифицировать сайты в сети "Интернет", содержащие информацию, распространение которой в Российской Федерации запрещено» (далее – Единый реестр). Порядок работы с Реестром нарушителей прав субъектов персональных данных очень похож на порядок работы с Единым реестром, поэтому у операторов, оказывающих услуги доступа к Интернету, не должны вызвать каких-либо технических или организационных сложностей обсуждаемые требования Постановления».

В свою очередь, Елена Республиканская, эксперт продукта «Контур. Персональные данные» СКБ «Контур», заверяет: «В создаваемый Реестр нарушителей попадут компании, зарегистрированные на территории Российской Федерации, которые обрабатывают информацию в Интернете с нарушением законодательства о персональных данных. Важно, что компания может попасть в Реестр только на основании вступившего в законную силу судебного акта, а не решения Роскомнадзора. При устранении нарушений эти компании могут быть исключены из Реестра. Чаще всего обработка персональных данных сотрудников и клиентов осуществляется внутри предприятий, без размещения в Интернете, и такие компании в Реестр нарушителей не попадут. В группе риска оказываются Интернет-магазины, туристические агентства, гостиницы и другие предприятия, обрабатывающие персональные данные в Сети».

Как отмечает в своём блоге Алексей Лукацкий, бизнес-консультант Cisco по информационной безопасности, «не так страшен 242-ФЗ, как его малюют. Лишний раз подтверждается идея, высказанная на одном из совещаний на Старой площади, что бояться надо иностранным Интернет-компаниям, которые могут влиять на российское общественное мнение (таким как социальные сети и поисковые системы). В отношении остальных операторов ПДн применение этих норм представляется более чем непростым. А уж тем более это сложно при обработке во внутренних системах компаний, находящихся за пределами России, ПДн их сотрудников или клиентов. В Интернете такие данные обычно не публикуются и не обрабатываются, а следовательно, блокировать доступ не к чему и вносить в Реестр нечего».

Правда, Лукацкий тут же оговаривается: «На закрытых встречах замглавы РКН г-жа Приезжева утверждала, что закон распространяется и на тех, кто представительств в России не имеет, но имеет русскоязычные разделы на своих сайтах». Такой подход практиковался некоторыми американскими судьями, которые распространяли юрисдикцию США даже на те сайты, которые просто имели англоязычные разделы, поскольку доступ к ним, теоретически, могли получить и граждане США.

Евгений Чернышёв, руководитель Комитета по информационной политике партии «Правое дело», считает, что подготовка Постановления связана с передачей полномочий, связанных с контролем над Интернетом, коммерческому предприятию при Роскомнадзоре. «Требования Постановления относятся исключительно к оператору этого списка; также описывается, что нужно хранить в Реестре, – отмечает он. – Сейчас Реестр запрещённых сайтов находится в ведении Роскомнадзора, который не прочь избавиться от столь тяжкого бремени. Как сообщают независимые источники, практически решено, что вести Реестр запрещённых сайтов (а с большой долей вероятности – и Реестр нарушителей 152-ФЗ) будет ФГУП «Главный радиочастотный центр», дочерняя организация Роскомнадзора. Поскольку РКН, Госдума и даже Президент проконтролировать исполнение 152-ФЗ операторами или владельцами Интернет-сервисов не может, полагаю, что это – документ из серии "нужно больше золота", хотя прямо указано, что дополнительное финансирование не потребуется. В этом году, возможно, и не потребуется.»

По мнению Наны Куликовой, управляющего партнёра агентства «Русинтернетком», Реестр начнёт работать не сразу. «Как показывает практика, требования выполняться будут, но не всеми, не сразу и, возможно, не так, как нужно, – поясняет она. – Так всегда бывает. Сначала – медленно и с трудом, а потом – всё быстрее и привычнее. Для обеспечения более точного и оперативного выполнения конкретных требований стоит уделить внимание какому-либо показательному случаю, чтобы все понимали, почему, зачем и как. В этом плане можно воспользоваться опытом Запада. Такой метод покажется кому-то жестковатым, но, к сожалению, иначе новой инициативе не прижиться.»

А партнёр юридического бюро «Байбуз и партнёры» Вадим Байбуз поясняет: «Не знаю, готовы ли российские операторы выполнять требования данного Постановления, но, согласно ст. 315 УК Российской Федерации, неисполнение решения суда коммерческой организацией является уголовно наказуемым деянием, максимальное наказание за которое составляет два года лишения свободы. Поскольку включать нарушителей в Реестр предполагается на основе судебных решений, в случае неисполнения оператором такого судебного акта его должностные лица рискуют быть привлечёнными к уголовной ответственности».

Оцените материал:
Total votes: 198
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.