На сайте regulation.gov.ru появились и уже прошли 25 июня 2018 г. окончания публичного обсуждения два интересных проекта:
- Проект Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в государственных информационных системах)»
- Проект Федерального закона «О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях»
Интересного в этих проектах то, что они собираются внести изменения в ФЗ-152 «О персональных данных» и в «КоАП», что уже наводит на мысли.
Итак, не будем ничего выдумывать, а просто процитируем:
«1. Часть 5 статьи 6 дополнить следующими абзацами:Т.е., если вы являетесь оператором ПД и при этом поручаете обработку ПД кому-то еще, то вы так же должны осуществлять некий надлежащий контроль за тем лицом, которому поручили обработку ПД. Здесь конечно не совсем ясно, а кто позволит копаться вам у себя в тех же бумагах? Лезть к информационным системам?
«Оператор, поручивший обработку персональных данных другому лицу, несет ответственность за осуществление надлежащего контроля за действиями другого лица в соответствии с законодательством Российской Федерации.
Порядок осуществления оператором контроля за действиями лица, осуществляющего обработку персональных данных по его поручению, устанавливается оператором самостоятельно.»
Другой вопрос, к абзацу ниже, порядок-то контроля никто не разрабатывал, его должен установить оператор самостоятельно! При этом, порядок должен быть «надлежащим», а это кто должен оценивать?
Поставим вопрос в другой плоскости – людские ресурсы, которые потребуются для такого контроля. Т.е. человек, пришедший например за 1С, к SaaS-провайдеру, ну, чтоб быстрее/проще/дешевле там, должен теперь завести у себя в штате человека, который разработает «Порядок осуществления оператором контроля за действиями лица…», а потом и реализовать его? С другой стороны тоже весело к SaaS-провайдеру обратится сразу тысяча его клиентов, которые захотят реализовать каждый свое право «надлежащего контроля», сколько дополнительных ресурсов нужно будет выделить на это?
Вобщем, одни загадки. Мы же помним еще и про «КоАП», в который так же вносятся изменения? Пожалуй процитируем практически весь текст:
Статью 13.11 Кодекса Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, № 1, ст. 1; 2007, № 26, ст. 3089; 2017, № 7, ст. 1032) дополнить частями 8 и 9 следующего содержания:
«8. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности осуществления надлежащего контроля за действиями лица, осуществляющего обработку персональных данных по поручению оператора, –
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц – от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей – от пяти тысяч до десяти тысяч рублей; на юридических лиц – от десяти тысяч до тридцати тысяч рублей.
9. Нарушение лицом, осуществляющим обработку персональных данных по поручению оператора, требований законодательства Российской Федерации в области персональных данных –
влечет наложение административного штрафа на оператора, поручившего этому лицу обработку персональных данных: на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц – от пяти тысяч до пятнадцати тысяч рублей; на индивидуальных предпринимателей – от десяти тысяч до двадцати тысяч рублей; на юридических лиц – от пятнадцати тысяч до тридцати тысяч рублей.»
Как говорится, привет операторам! – до 30 тысяч штрафа.
Обработчикам – сумма та же.
Надежда умирает последней, да и разводить панику пока рано, может и сведется все к диалогу оператора и обработчика:
— Соблюдаешь?
— Да!
— Надлежащий контроль закончен.
Тем, кому интересно ознакомиться с полными текстами данных проектов могу найти их по ссылкам:
- О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в государственных информационных системах)
- О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях
По ссылке вы можете скачать наш White Paper о Федеральном Законе №152.
Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать процесс приведения ИС персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Это помогает удовлетворить потребности широкого круга читателей.