К сожалению даже сейчас, когда есть прецеденты проверок Роскомнадзором очень крупных операторов, по прежнему бытует мнение, что проверки может делать только ФСТЭК и ФСБ (Слышал это от многих и искренне удивлялся). Более того, все как-то сосредоточились именно на соблюдении требований "четверокнижия". Их часто обсуждали, не хочу повторяться… А вот про Россвязькомнадзор, пардон, уже Роскомнадзор (четвертое название за полтора года), писали мало. Поэтому, предлагаю посмотреть на этого регулятора внимательнее.
Согласно ФЗ №152 РКН является уполномоченным органом по защите прав субъектов ПДн, значит если нам звонят из банка, и предлагают банковские услуги, а письменного согласия мы на это не давали, то жалуемся сюда. Глобально, РКН проделал, к этому моменту, следующую работу:
1) 1) создал и ведет реестр операторов ПДн,
2) 12) создал новое направление контролирующей деятельности,
3) 3) инициировал несколько судебных разбирательств
4) 4) и уже в 2009 году проводит плановые проверки по методике, разработанной в конце 2008 года.
В феврале месяце произошло очень знаковое событие - был подписан приказ Россвязькомнадзора №42, внесший изменения в приказ №08. Документ достаточно важный, но для сообщества ИБ прошел незаметно. Попробуем его рассмотреть.
Буквально несколько месяцев назад консультанты рекомендовали не писать "лишнего" в уведомлении об обработке ПДн, в частности в поле "Описание мер, которые оператор обязуется осуществлять при обработке…", например, класс системы, наименование криптографических средств и т.д. Что говорит 42-й приказ? Теперь при заполнении уведомления нужно все это писать. Следствием таких изменений является "попадание" под дополнительный надзор согласно ст. 23 ФЗ №152 "О персональных данных", в части:
"Уполномоченный орган по защите прав субъектов персональных данных имеет право:
2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;
9) привлекать к административной ответственности лиц, виновных в нарушении настоящего Федерального закона."
Налицо расширение полномочий РКН в проведении проверок, и более того, в возможностях привлечения к административной ответственности в обход суда и прокуратуры. Учитывая текущую актуальность Слуха №1, вопрос о целях таких изменений оставляю открытым.
в 28.4 КоАП РФ не сказано, что дела об АП по статьям 13.27, 13.28, 13.29 возбуждаются прокурором, если Слух №1 подтвердится, то РКН сможет самостоятельно составлять протокола и применять административное взыскание. А на сегодняшний день, да, по 13.11 дело возбуждает только прокурор.
ОтветитьУдалитьВ КоАП действительно нет таких статей, но с высоких трибун звучали слова о грядущих изменениях (см. Слух №1)
ОтветитьУдалить