На сайте regulation.gov.ru появились и уже прошли 25 июня 2018 г. окончания публичного обсуждения два интересных проекта:

  • Проект Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в государственных информационных системах)»
  • Проект Федерального закона «О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях»

Интересного в этих проектах то, что они собираются внести изменения в ФЗ-152 «О персональных данных» и в «КоАП», что уже наводит на мысли.

Итак, не будем ничего выдумывать, а просто процитируем:
«1. Часть 5 статьи 6 дополнить следующими абзацами:
«Оператор, поручивший обработку персональных данных другому лицу, несет ответственность за осуществление надлежащего контроля за действиями другого лица в соответствии с законодательством Российской Федерации.
Порядок осуществления оператором контроля за действиями лица, осуществляющего обработку персональных данных по его поручению, устанавливается оператором самостоятельно.»
Т.е., если вы являетесь оператором ПД и при этом поручаете обработку ПД кому-то еще, то вы так же должны осуществлять некий надлежащий контроль за тем лицом, которому поручили обработку ПД. Здесь конечно не совсем ясно, а кто позволит копаться вам у себя в тех же бумагах? Лезть к информационным системам?

Другой вопрос, к абзацу ниже, порядок-то контроля никто не разрабатывал, его должен установить оператор самостоятельно! При этом, порядок должен быть «надлежащим», а это кто должен оценивать?

Поставим вопрос в другой плоскости – людские ресурсы, которые потребуются для такого контроля. Т.е. человек, пришедший например за 1С, к SaaS-провайдеру, ну, чтоб быстрее/проще/дешевле там, должен теперь завести у себя в штате человека, который разработает «Порядок осуществления оператором контроля за действиями лица…», а потом и реализовать его? С другой стороны тоже весело к SaaS-провайдеру обратится сразу тысяча его клиентов, которые захотят реализовать каждый свое право «надлежащего контроля», сколько дополнительных ресурсов нужно будет выделить на это?

Вобщем, одни загадки. Мы же помним еще и про «КоАП», в который так же вносятся изменения? Пожалуй процитируем практически весь текст:
Статью 13.11 Кодекса Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, № 1, ст. 1; 2007, № 26, ст. 3089; 2017, № 7, ст. 1032) дополнить частями 8 и 9 следующего содержания:

«8. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности осуществления надлежащего контроля за действиями лица, осуществляющего обработку персональных данных по поручению оператора, –
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц – от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей – от пяти тысяч до десяти тысяч рублей; на юридических лиц – от десяти тысяч до тридцати тысяч рублей.

9. Нарушение лицом, осуществляющим обработку персональных данных по поручению оператора, требований законодательства Российской Федерации в области персональных данных –
влечет наложение административного штрафа на оператора, поручившего этому лицу обработку персональных данных: на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц – от пяти тысяч до пятнадцати тысяч рублей; на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от пятнадцати тысяч до тридцати тысяч рублей.»

Как говорится, привет операторам! – до 30 тысяч штрафа.
Обработчикам – сумма та же.

Надежда умирает последней, да и разводить панику пока рано, может и сведется все к диалогу оператора и обработчика:

— Соблюдаешь?
— Да!
— Надлежащий контроль закончен.


Тем, кому интересно ознакомиться с полными текстами данных проектов могу найти их по ссылкам:


По ссылке вы можете скачать наш White Paper о Федеральном Законе №152.
Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать процесс приведения ИС персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Это помогает удовлетворить потребности широкого круга читателей.

Комментарии (47)


  1. VolCh
    24.07.2018 09:33

    В целом вполне логичные изменения. При нынешних нормах легко, по-моему, оператору отдать на аутсорс обработку и не нести ответственность, если аутсорсер нарушает нормы. И аутсорсер может не нести — он не оператор.

    А уж как конкретно оператор будет контролировать — дело договорных отношений и экономической целесообразности. Кто-то удовольствуется «защищаешь?» раз в год, а кто-то раз в месяц будет проводить свой аудит.
    Кстати, хороший шанс продвинуть услуги аудита, по-моему.


    1. Alozar
      24.07.2018 10:26

      Нынешняя редакция статьи уже содержала норму, что вы отвечаете за персональные данные, а тот кому вы поручили обработку, отвечает перед вами.
      Сейчас же получается ситуация, что вас могут штрафануть, т.к. вы плохо проконтролировали, что кто-то переписал персональные данные на листочек и унёс.


      1. VolCh
        24.07.2018 10:39

        Вот именно, что перед нами. А перед законом только оператор. В теории можно схемы создавать при которых оператор простая прокладка, которая никогда претензий не выставит обработчику. А свои возможности нести гражданскую и административную отвественность ограничены уставным капиталом в 10000 рублей.


      1. ttmt
        24.07.2018 10:47

        А разве это не логично?


        1. Alozar
          24.07.2018 10:59

          Логично, что «надлежащесть» должны определить вы, а потом проверяющий может сказать, что это недостаточно надлежаще, хотя конкретных правил нет?


          1. VolCh
            24.07.2018 12:20

            Конкретные правила же есть: требования закона к оператору. Что требуется от оператора, то оператор должен проверять у обработчика.


            1. Alozar
              24.07.2018 12:53

              Тогда вопросов нет в этом плане


              1. VolCh
                24.07.2018 13:21

                Вернее если контроль будет таким же, то вряд ли кто сможет назвать его ненадлежащим.


                1. Alozar
                  24.07.2018 13:25

                  В теории всё так, вопрос как это будет работать на практике.
                  Но зная как у нас любят ставить нарушения, мне кажется, что гонять за контроль ПД будут по поводу и без.


                  1. VolCh
                    24.07.2018 13:40

                    Тут вопрос скорее в том, сколько захочет обработчик денег, чтобы оператор мог проводить такие же аудиты как РКН и согласится ли оператор столько платить. А если не согласится, вот тут и начнётся самое интересное.


        1. Alozar
          24.07.2018 12:11

          На всякий случай объясню более конкретно. По-моему мнению сама по себе идея здравая, но проблема в формулировках, которые не объясняют вообще ничего.
          Что такое надлежащий контроль? Каким образом его осуществлять? Кто будет решать, контроль является надлежащим или нет?
          Если бы в тексте было написано, что под надлежащим контролем подразумевается первое, второе, третье, что оператор для этого может запрашивать необходимые для контроля документы, логи и т.п., а другое лицо обязано это предоставить, вопросов бы не было.
          Сейчас же получается формулировка «докажи нам, что ты хороший, а мы подумаем»


    1. AbstractGaze
      24.07.2018 14:47

      оператору отдать на аутсорс обработку и не нести ответственность

      С чего вы взяли что не несете теперь ответственность? Вы ее как оператор данных несли, так и продолжаете нести дальше.
      Имхо просто раньше люди думали что если ПДн попадают в третий сервис, то контролировать уже не надо, а теперь явно «для тех кто в танке» прописывают — вы несете ответственность за то что передали ПДн на оутсорс или третим лицам. Как вы будете это осуществлять — ваши личные проблемы.

      Простой пример. Я недавно хотел подключить услугу для корпоративных клиентов у mail.ru. Например почту. Почитал соглашение о конфиденциальности, где увидел пункт, о том что все данные попадающие в их сервис — доступны mail.ru. Это значит что если я по почте буду пересылать какие либо ПДн в рабочем режиме, то это будут мои личные проблемы, в том что я предоставил эти данные третьим лицам без соглашения владельца этих ПДн.
      Я должен владельцев ПДн которые предоставили мне свои ПДн попросить подписать соглашение, о том что я буду эти данные передавать mail.ru для осуществления «обработки».

      Только если раньше mail.ru мог слить эти данные и я бы не явно отвечал перед владельцем ПДн, то теперь будет написано что я обязан контролировать mail.ru чтобы он обрабатывал ПДн надлежащим образом. Но ему эти ПДн не нужны, он не заявлял что собирается их обрабатывать, а значит «накормить» mail.ru своими ПДн и требовать от них чего либо как минимум глупо. Но по закону я обязан это делать теперь.

      Как я понял, по сути я не имею права использовать ПДн в подобных сервисах, так как не могу осуществить надлежащий контроль, потому что подобные сервисы не обязаны подстраиваться под меня.

      Возможно я сильно заблуждаюсь, если так, надюсь кто то более компетентный про комментирует и поправит.


      1. Alozar
        24.07.2018 15:10

        Только если раньше mail.ru мог слить эти данные и я бы не явно отвечал перед владельцем ПДн

        Вы явно отвечаете перед владельцами ПД, а мейл.ру отвечает перед вами за их сохранность. Это написано в тоже статье, в которую хотят добавить пункт про контроль.
        Тут ситуация подобная ответственности компании за действия своих сотрудников, когда мне плевать, кто конкретный сорвал выполнение договора, т.к. я заключал его не с фирмой в целом, а определённым сотрудником.


        1. Alozar
          24.07.2018 16:15

          то есть наоборот, не с конкретным сотрудником, а с фирмой в целом


        1. AbstractGaze
          25.07.2018 06:35

          А причем тут сохранность, ведь есть не только сохранность. Чтение (считывание) mail.ru загруженных мной ПДн на их сервисы уже является фактом обработки информации. А значит я должен контролировать как обрабатываются эти ПДн третьей стороной. Как я могу это контролировать, когда сервис предоставляется «как есть»? Да никак. Поэтому у меня и возник вопрос о целесообразности использования подобных сервисов со стороны инфобеза, а не только ПДн.
          Так же мне еще не понятно почему подобные сервисы называются «корпоративными» при том что они явно нарушают инфобезопасность этих самых «корпораций». Ведь контроля никакого в принципе нет.


  1. Serge78rus
    24.07.2018 09:40

    В статьях КОАП о штрафах, помимо юридических и должностных лиц, фигурируют и простые граждане. Интересно, к кому это относится?


    1. scifinder
      24.07.2018 09:46

      Ну, а вдруг Вы предоставляете услуги доступа в Интернет посредством Wi-Fi-роутера соседке бабе Любе?


      1. tretyakovpe
        24.07.2018 10:07

        по договору? а лицензия на предоставление услуг связи есть?


    1. VolCh
      24.07.2018 10:10

      Никто не запрещает вам, как физлицу, создать личный сайти и сделать на нём форму обратной связи, например. И это уже может быть ПДн.


      1. NAS
        24.07.2018 10:28

        Но Физлицо же не оператор пд.


        1. VolCh
          24.07.2018 10:35

          оператор — государственный орган, муниципальный орган, юридическое или физическое лицо,


          1. Serge78rus
            24.07.2018 11:09

            Ну ладно, это касается части 8 из выдержки в статье, а как быть с частью 9, которая касается лица, осуществляющего обработку ПД по поручению оператора? Неужто оператор может это поручить некоему гражданину, даже не являющимся ни должностным, ни юридическим лицом?


            1. VolCh
              24.07.2018 12:24

              > Оператор вправе поручить обработку персональных данных другому лицу

              Ограничений на то какое должно быть лицо я не нашёл. И это логично — если оператор может быть физ лицом, то и поручить обработк уон может физлицу.


            1. aslusare
              24.07.2018 19:45

              ИП, например, согласно законодательству, является физлицом.


              1. Serge78rus
                24.07.2018 20:15

                Но в перечне размеров штрафов просто граждане и индивидуальные предприниматели упомянуты отдельно:

                на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц – от пяти тысяч до пятнадцати тысяч рублей; на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от пятнадцати тысяч до тридцати тысяч рублей.


                1. aslusare
                  25.07.2018 10:33

                  Да, поскольку обладают различными наборами прав и обязанностей, как, кстати, и должностные лица. Но все они, тем не менее, являются физическими лицами.


            1. vikarti
              25.07.2018 17:12

              Например есть программист, работающий по договору авторского заказа (НЕ трудовому и НЕ с ИП) с конторой X, а контора X — заключила с Y договор о разработка ПО.
              У программиста есть доступ к персональным данным сотрудников Y (ФИО + номер телефона + e-mail + должность это ж персональные данные)?
              Как я понимаю, по новому закону — программист тоже отвечает если что утекло.


              1. Serge78rus
                26.07.2018 09:36

                А сам факт того, что X передал доверенные ему Y данные некоему стороннему человеку (программисту), разве не подпадает под понятие утечки? Разрабатывать ПО вполне можно на тестовых наборах данных, а уж потом, сотрудники X пусть производят тестирование и запуск на реальных данных, если Y их ему доверил.


                1. VolCh
                  26.07.2018 21:33

                  Считать это утечкой или зависит от того санкционировал ли Y передачу. Пускай хотя бы на уровне невозражения.


  1. exception13x
    24.07.2018 09:44
    +1

    Позволю процитировать себе одну книжку:

    — Вы действительно считаете, что мы хотим, чтобы эти законы выполнялись? —
    продолжил доктор Феррис. — Мы хотим, чтобы их нарушали. Вам следует уяснить, что
    перед вами не команда бойскаутов, и тогда вы поймете, что наш век — не век красивых
    жестов. Сейчас время силы и власти. Вы вели осторожную игру, но мы знаем настоящий
    трюк, и вам надо научиться ему. Невозможно управлять невинными людьми.
    Единственная власть, которую имеет любое правительство, — это право применения
    жестоких мер по отношению к уголовникам. Что ж, когда уголовников не хватает, их
    создают. Столько вещей объявляется криминальными, что становится невозможно жить,
    не нарушая законов. Кому нужно государство с законопослушными гражданами? Что оно
    кому-нибудь даст? Но достаточно издать законы, которые невозможно выполнять, претворять в жизнь, объективно трактовать, — и вы создаете государство нарушителей
    законов и наживаетесь на вине. Вот какая система, мистер Реардэн, вот какая игра, и если
    вы ее поняли, с вами будет намного легче иметь дело.


    1. for611bing
      24.07.2018 10:30

      Слишком уж часто с ужасом эту книжку вспоминаю в последнее время


    1. Sabubu
      24.07.2018 15:01

      Цитата не в тему. Мы уже жили без правил обработки ПД, и что получилось? Компании бесконтрольно накапливали, собирали, продавали ПД. Каждое второе приложение для смартфона высасывает из него все, что там есть, на сервер.

      Если придется выбирать между «недобдеть» и «перебдеть», то я за последнее. Так как бизнес перешагнет любые моральные рамки ради лишних 5% прибыли. Раз у них нет своих моральных рамок, придется ставить юридические.

      Если вам так не нравятся законы, придуманные, чтобы их нарушали, вы можете поехать в любой регион, где законов нет — в какой-нибудь неподконтрольный властям регион, и наслаждаться отсутствием правительств, налогов и «глупых» законов по охране ПД.


      1. exception13x
        24.07.2018 15:45
        +1

        Законы с размытыми понятиями — это рай для коррупционеров, так как можно трактовать их в свою пользу. Пример возможных разночтений есть в конце статьи, если Вы ее читали, конечно.

        А дешевые манипуляции вида «если не нравятся плохие законы, живите совсем без них» оставьте Киселеву и троллям на пикабу. На образованных людей людей они буду т иметь скорее обратный эффект.

        Так что цитата очень в тему, просто она не такая оптимистичная, как Вам хотелось бы.


      1. Alozar
        24.07.2018 16:24

        Я вам могу рассказать, что происходит у управляющих компаний (которые не ЖКХ, а управление активами) из-за размытых формулировок в законах и нормах.
        По закону УК должна уведомлять клиента об особенностях инвестиционных продуктов, только способы и стандарты толком не определены. В результате не смотря на договор в котором реально всё написано, регулярно возникают словестные и денежные претензии от ЦБ в стиле:
        1. Почему вы не сообщили, что это не банковский депозит?
        2. Почему вы не сообщили, что доходность не гарантирована?
        3. Почему вы не сообщили, что в этом варианте управления нет возможности вывести деньги досрочно без потерь?
        4. Почему вы не сообщили то?
        5. Почему вы не сообщили это?
        Результатом этого является десяток бумаг, которые должен подписать человек, смысл которых в уведомлении (то есть повторении написанного в договоре) о том, о сём.

        Может стоить в начале определить чёткие и однозначные критерии вместо размытых формулировок, а только потом требовать?


        1. vikarti
          25.07.2018 17:19

          В ДАННОМ случае (именно с УК) — я только за, что меня как клиента, что попросят подписать этот десяток бумаг (либо пусть важные пункты выделяют в договоре или прямо и честно рассказывают при заключении договора).

          А вот куки — это блин перебор. Но — это для меня (понимающего зачем они нужны, как можно их чистить, как можно анонимно ходить...)

          Вот может имеет смысл делать 'курс молодого инвестора'/'пользователя компьютера с кратким объяснением что там зачем' и один раз указывать реквизиты пройденного курса и чтобы больше тебя не доставали вопросами в рамках курса? Эх, мечты.


          1. Alozar
            25.07.2018 17:29

            В ДАННОМ случае (именно с УК) — я только за, что меня как клиента, что попросят подписать этот десяток бумаг (либо пусть важные пункты выделяют в договоре или прямо и честно рассказывают при заключении договора).

            Я не о том, что это куча бумаг это плохо. Я о том, что нет чёткого критерия, определяющего надлежащее донесение информации до клиента. В результате этого на каждый чих приходится добавлять новую бумажку, т.к. центробанк каждый раз использует позицию: «А вдруг к вам придёт непонимающая бабушка?».
            Я боюсь, что с этими изменениями в законе о персональных данных, аналогичная ситуация, когда позиция проверяющих будет: «Вы не стоите за спиной у другого лица, значит контроль ненадлежащий! Держите штраф, платить в кассу!»


      1. sumanai
        24.07.2018 20:26

        Цитата не в тему. Мы уже жили без правил обработки ПД, и что получилось? Компании бесконтрольно накапливали, собирали, продавали ПД. Каждое второе приложение для смартфона высасывает из него все, что там есть, на сервер.

        Ага. А что изменилось с этим ворохом законов, кроме галочек «Я согласен с передачей всех прав на всё на свете» и всплывающих окон «Сайт использует куки, яваскрипты, HTML, CSS и TCP»?


    1. JobberNet
      25.07.2018 07:38

      Вы случайно, не в этой «замечательной» компании работаете?
      image
      Аутсорсящей обработку ПД.


      1. exception13x
        25.07.2018 09:33

        Неслучайно, нет.


  1. RainBowAM
    24.07.2018 10:30

    В целом вполне логичные изменения. При нынешних нормах легко, по-моему, оператору отдать на аутсорс обработку и не нести ответственность, если аутсорсер нарушает нормы. И аутсорсер может не нести — он не оператор.

    Вот согласен с такой формулировкой. Рано или поздно, деловая репутация и отсутствие косяков должна была выйти из тени. Хочется, что бы было выгодно радеть над надлежащим использованием и защитой, а не как сейчас.


  1. OnelaW
    24.07.2018 12:02

    Идея здравая, но реализация…


  1. Protos
    24.07.2018 14:32

    Я как физлицо поручаю ВКонтакте обработку своих ПДн, меня теперь могут наказать за то, что я не осуществляю контроль?


    1. losse_narmo
      24.07.2018 14:53

      Если вы делаете это как оператор ПД, а не как просто пользователь, то да


      1. Protos
        24.07.2018 14:59

        А что так просто я не являюсь оператором исходя из определения термина в законе?


        1. VolCh
          24.07.2018 17:45
          +1

          Нет. Вы субъектом являетесь. И даже добавляя друзей в личных целях, оператором не становитесь.


    1. AbstractGaze
      25.07.2018 20:56

      Вы не поручаете, вы соглашаетесь. Вы в принципе не можете кому то поручить обработку персональных данных в одностороннем порядке.


  1. KoToSveen
    25.07.2018 05:41

    Сдаётся мне, при передаче ПД на оутсорс, увеличивается вероятность утечки этих самых ПД. А при введении ответственности у оператора может возникнет больше желания обрабатывать ПД самостоятельно.