Планируются изменения в ФЗ-152

ns8jb1_omkjrsc4blywntt8awvi.jpeg
На сайте regulation.gov.ru появились и уже прошли 25 июня 2018 г. окончания публичного обсуждения два интересных проекта:

  • Проект Федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в государственных информационных системах)»
  • Проект Федерального закона «О внесении изменений в статью 13.11 Кодекса Российской Федерации об административных правонарушениях»


Интересного в этих проектах то, что они собираются внести изменения в ФЗ-152 «О персональных данных» и в «КоАП», что уже наводит на мысли.

Итак, не будем ничего выдумывать, а просто процитируем:

»1. Часть 5 статьи 6 дополнить следующими абзацами:
«Оператор, поручивший обработку персональных данных другому лицу, несет ответственность за осуществление надлежащего контроля за действиями другого лица в соответствии с законодательством Российской Федерации.
Порядок осуществления оператором контроля за действиями лица, осуществляющего обработку персональных данных по его поручению, устанавливается оператором самостоятельно.»

Т.е., если вы являетесь оператором ПД и при этом поручаете обработку ПД кому-то еще, то вы так же должны осуществлять некий надлежащий контроль за тем лицом, которому поручили обработку ПД. Здесь конечно не совсем ясно, а кто позволит копаться вам у себя в тех же бумагах? Лезть к информационным системам?

Другой вопрос, к абзацу ниже, порядок-то контроля никто не разрабатывал, его должен установить оператор самостоятельно! При этом, порядок должен быть «надлежащим», а это кто должен оценивать?

Поставим вопрос в другой плоскости — людские ресурсы, которые потребуются для такого контроля. Т.е. человек, пришедший например за 1С, к SaaS-провайдеру, ну, чтоб быстрее/проще/дешевле там, должен теперь завести у себя в штате человека, который разработает «Порядок осуществления оператором контроля за действиями лица…», а потом и реализовать его? С другой стороны тоже весело к SaaS-провайдеру обратится сразу тысяча его клиентов, которые захотят реализовать каждый свое право «надлежащего контроля», сколько дополнительных ресурсов нужно будет выделить на это?

Вобщем, одни загадки. Мы же помним еще и про «КоАП», в который так же вносятся изменения? Пожалуй процитируем практически весь текст:

Статью 13.11 Кодекса Российской Федерации об административных правонарушениях (Собрание законодательства Российской Федерации, 2002, № 1, ст. 1; 2007, № 26, ст. 3089; 2017, № 7, ст. 1032) дополнить частями 8 и 9 следующего содержания:

»8. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности осуществления надлежащего контроля за действиями лица, осуществляющего обработку персональных данных по поручению оператора, –
влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от десяти тысяч до тридцати тысяч рублей.

9. Нарушение лицом, осуществляющим обработку персональных данных по поручению оператора, требований законодательства Российской Федерации в области персональных данных –
влечет наложение административного штрафа на оператора, поручившего этому лицу обработку персональных данных: на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от пяти тысяч до пятнадцати тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.»


Как говорится, привет операторам! — до 30 тысяч штрафа.
Обработчикам — сумма та же.

Надежда умирает последней, да и разводить панику пока рано, может и сведется все к диалогу оператора и обработчика:

— Соблюдаешь?
— Да!
— Надлежащий контроль закончен.

Тем, кому интересно ознакомиться с полными текстами данных проектов могу найти их по ссылкам:


По ссылке вы можете скачать наш White Paper о Федеральном Законе №152.
Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать процесс приведения ИС персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Это помогает удовлетворить потребности широкого круга читателей.

© Habrahabr.ru