?

Log in

No account? Create an account

Previous Entry | Next Entry


Уважаемый Дмитрий Анатольевич!

Мы, представители экспертного сообщества в области информационной безопасности, обращаем Ваше внимание на невыполнение вашего поручения №5, опубликованного 2 июня 2011 года на сайте kremlin.ru ( http://kremlin.ru/assignments/11427 ), а именно:

5. Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных.
Ответственные: Щёголев И.О., Бортников А.В., Нургалиев Р.Г.

Срок – 1 августа 2011 г.

Обладая определенным опытом работы в области защиты информации и в частности защиты персональных данных, а также являясь экспертами различных рабочих групп, занимающихся вопросами гармонизации российского законодательства в области персональных данных, мы заявляем, что вследствие принятия 5 июля 2011 года в третьем чтении Государственной Думой законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект) все существовавшие серьезные обременения для операторов не только сохранились, но и приумножились.

Частью 1 статьи 20 Конвенции Совета Европы “О защите физических лиц при автоматизированной обработке персональных данных”, подписанной от имени РФ 07.11.2001 в г. Страссбург (далее - Конвенция) предусмотрена норма, согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона. Указанные в Законопроекте требования по защите данных носят обязательный характер, их состав жестко регламентирован и не зависит от предполагаемого ущерба субъекту. В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена. Другими словами, Законопроект не соответствует духу Конвенции.

Российским операторам персональных данных (почти всем юридическим лицам) Законопроект навязывает требования по защите данных, ранее содержавшиеся в подзаконных и ведомственных нормативных актах ФСТЭК и ФСБ, которые абсолютно не учитывают современные тенденции развития информационного общества. Слегка “подкорректированные” методы и способы защиты государственной тайны 20-летней давности стали обязательными для 7 миллионов операторов персональных данных. А среди них не только «богатые» банки или нефтяные компании, но и фермерские хозяйства, школы, поликлиники и даже индивидуальные предприниматели - все они обрабатывают персональные данные, как минимум, своих работников.

Как следствие, принятый Законопроект обязывает операторов персональных данных тратить ресурсы на выполнение морально устаревших требований и покупку несоответствующих современным реалиям технических средств защиты информации. По оценкам Парламентских слушаний 20 октября 2009 года (http://www.aksakov.ru/media/File/filelist/st08.doc), на реализацию этих, неэффективных в деле защиты прав субъектов персональных данных, мероприятий, всеми хозяйствующими субъектами должна быть единовременно потрачена сумма около 6% ВВП РФ. Учитывая объемы затрат, операторы с очень большой вероятностью переложат указанные расходы на субъектов - потребителей своих услуг, что неизбежно приведет к эскалации инфляционных процессов.

Особо отмечаем, что большие обременения могут весьма существенным образом сказаться на развитие ИТ-инноваций в РФ, поскольку инвестиционный бюджет ИТ-стартапов весьма ограничен. Учитывая объемы затрат, наиболее востребованный экономикой инновационный вид бизнеса в РФ будет заведомо обречен на провал.

Эти и другие факторы создают предпосылки для вывода существующих и создаваемых информационных систем за пределы России в страны Евросоюза, где требования к защите персональных данных учитывают современные тенденции и обеспечивают баланс интересов оператора и субъекта. Такие действия, по понятным причинам, могут нанести значительный ущерб безопасности России, и не способствуют соблюдению прав субъектов персональных данных, являющихся гражданами РФ.

Просим Вас, принимая во внимание изложенные доводы, отклонить законопроект в существующем виде, и направить его на общественные слушания и соответствующую доработку с привлечением экспертного сообщества в области информационной безопасности и, в частности, защиты персональных данных.



06.07.2011                                              
Письмо направлено через http://letters.kremlin.ru/

Comments

( 81 comments — Leave a comment )
toparenko
Jul. 6th, 2011 07:00 am (UTC)
Желающие подписать письмо сохраняйте текст в txt, doc, rtf формате (к сожалению в формате odt письма не принимаются) и направляйте через http://letters.kremlin.ru/ . После чего желательно разместить письмо в Вашем блоге или ином Вашем информационном ресурсе. Можете оставить отметку об отправке и размещении в данном блоге или в блогах Алексея Лукацкого (http://lukatsky.blogspot.com/ ), Евгения Царева (http://www.tsarev.biz/ ), Александра Бондаренко ( http://secinsight.blogspot.com/ ), Алексея Волкова (http://anvolkov.blogspot.com/ )
(no subject) - toparenko - Jul. 6th, 2011 10:19 am (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 01:27 pm (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 02:13 pm (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 07:16 pm (UTC) - Expand
(no subject) - toparenko - Jul. 7th, 2011 05:20 am (UTC) - Expand
(no subject) - toparenko - Jul. 7th, 2011 08:06 am (UTC) - Expand
(no subject) - toparenko - Jul. 7th, 2011 09:08 am (UTC) - Expand
(no subject) - toparenko - Jul. 7th, 2011 12:44 pm (UTC) - Expand
(no subject) - toparenko - Jul. 7th, 2011 02:15 pm (UTC) - Expand
(no subject) - toparenko - Jul. 8th, 2011 08:30 pm (UTC) - Expand
(no subject) - toparenko - Jul. 9th, 2011 07:28 pm (UTC) - Expand
(no subject) - toparenko - Jul. 10th, 2011 09:27 am (UTC) - Expand
(no subject) - toparenko - Jul. 12th, 2011 07:21 am (UTC) - Expand
(no subject) - toparenko - Jul. 14th, 2011 12:58 pm (UTC) - Expand
crazy_reader
Jul. 6th, 2011 07:36 am (UTC)
//В тоже время, ответственность операторов за утечки Законопроектом не предусмотрена.

Как бы не появилась на этом законопроекте резолюция Медведева.
"Предусмотреть ответственность операторов и после этого принять"
toparenko
Jul. 6th, 2011 07:48 am (UTC)
Пока предусмотрена лишь продажа индульгенций в виде закупки сертифицированных средств, которые абсолютно не работают по инсайдерским рискам (а это основной канал утечек).
gringo_gringo
Jul. 6th, 2011 08:25 am (UTC)
А вот просто вопрос:
"операторы с очень большой вероятностью переложат указанные расходы на субъектов - потребителей своих услуг" - вот это откуда?

Кто из тех, кто привел свои системы в соответствие, так поступил? Просто интересно...

ИМХО, не очень правильно, делать выводы о том как оно будет...
Алексей Волков
Jul. 6th, 2011 08:30 am (UTC)
Примеров по стране - масса. Вот, в частности: http://anvolkov.blogspot.com/2010/10/blog-post_25.html
gringo_gringo
Jul. 6th, 2011 02:00 pm (UTC)
От единичного идиота никто не застрахован... ВЫ же знаете что у нас кроме дорог есть ещё одна беда..
(no subject) - Алексей Волков - Jul. 6th, 2011 02:58 pm (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 06:08 pm (UTC) - Expand
toparenko
Jul. 6th, 2011 08:51 am (UTC)
>Кто из тех, кто привел свои системы в соответствие, так поступил? Просто интересно...

Все расходы не гос организаций идут из прибыли => единственный способ покрыть издержки будет повышение оплаты услуг. Или Вы видите иной способ покрыть издержки?
(no subject) - gringo_gringo - Jul. 6th, 2011 10:15 am (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 10:20 am (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 10:25 am (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 10:37 am (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 10:40 am (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 11:52 am (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 11:55 am (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 12:02 pm (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 12:03 pm (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 12:19 pm (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 12:26 pm (UTC) - Expand
gringo_gringo
Jul. 6th, 2011 08:31 am (UTC)
" согласно которой оператор персональных данных самостоятельно принимает решение о составе защитных мер, исходя из предполагаемого ущерба субъекту от их неправомерного использования. В случае утечки, ответственность ложится на оператора по всей строгости закона." (с)

Я очень люблю свою страну- только я на 100% уверен что у нас это действовать не будет.
toparenko
Jul. 6th, 2011 08:53 am (UTC)
В первоначальных предложениях регуляторов было возмещение ущерба субъекту оператором до 5 млн. руб.

А потом все вылилось в продажу индульгенций и никого не волнующий ущерб субъекта...
(no subject) - gringo_gringo - Jul. 6th, 2011 10:14 am (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 10:21 am (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 10:26 am (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 10:33 am (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 10:38 am (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 11:50 am (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 11:54 am (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 11:59 am (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 12:03 pm (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 12:13 pm (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 12:15 pm (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 12:22 pm (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 12:27 pm (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 12:30 pm (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 12:31 pm (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 01:20 pm (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 12:28 pm (UTC) - Expand
Алексей Волков
Jul. 6th, 2011 10:02 am (UTC)
"Не будет работать потому что не будет никогда" - это неконструктивно. Так должно быть. А если под гражданской позицией понимать исключительно "позу раком" - то тогда нечего и бухтеть...
(no subject) - gringo_gringo - Jul. 6th, 2011 10:13 am (UTC) - Expand
(no subject) - Алексей Волков - Jul. 6th, 2011 10:18 am (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 10:20 am (UTC) - Expand
(no subject) - Алексей Волков - Jul. 6th, 2011 10:23 am (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 01:59 pm (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 02:16 pm (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 06:09 pm (UTC) - Expand
(no subject) - toparenko - Jul. 6th, 2011 06:24 pm (UTC) - Expand
(no subject) - gringo_gringo - Jul. 7th, 2011 04:14 am (UTC) - Expand
(no subject) - toparenko - Jul. 7th, 2011 04:58 am (UTC) - Expand
(no subject) - Алексей Волков - Jul. 6th, 2011 02:56 pm (UTC) - Expand
(no subject) - gringo_gringo - Jul. 6th, 2011 06:07 pm (UTC) - Expand
(Anonymous)
Jul. 8th, 2011 06:37 am (UTC)
Открытое письмо подписантам Открытого письма Президе
«Что делали с паникерами во время войны? – Расстреливали!»
Из выступления Д. А. Медведева на заседании 06.07.2011 по вопросу об исполнении поручений Президента Российской Федерации

Уважаемые господа подписанты Открытого письма Президенту российской федерации Д. А. Медведеву!
Зачем вы вводите людей в заблуждение и развиваете у них фобию относительно принятого Государственной Думой 05.07.11 г. в третьем чтении законопроекта № 282499-5 "О внесении изменений в Федеральный закон "О персональных данных"? Зачем вы отнимаете время у Президента РФ?
Передергивая факты, вы искажаете смысл закона и преследуете, на мой взгляд, узкокорпоративные интересы, которые можно выразить простой фразой: «Мы не хотим тратиться на защиту персональных данных и поэтому закон для нас вреден!».
Читать далее на http://www.elvis.ru/news.shtml
toparenko
Jul. 10th, 2011 04:24 pm (UTC)
Re: Открытое письмо подписантам Открытого письма Прези
harajuku_blue_b
Jul. 14th, 2011 11:48 pm (UTC)
заглянула к вам по ссылке отсюда
http://pedsovet.org/forum/index.php?showtopic=5411&st=100

а вопрос опять простой. ЭЖ.
тамошние рассуждения все сводятся к "а пусть все родители подпишут согласие на обработку, и нет проблем: избавляемся от бумажной документации"
Так вот, я -НЕ подпишу. (Никакого отношения к религии это не имеет, если что).
И дальше что? Заставить не получится. Выбросите таких детей из школы? Посмотрим.

Собираетесь "упростить требования", чтоб мое (не)согласие можно было обойти, чтоб вам попроще жилось?
Тогда не надо заикаться Конвенции: что хотим, то и городим.

toparenko
Jul. 15th, 2011 06:55 am (UTC)
>Так вот, я -НЕ подпишу

И правильно, что не подпишите ;)
Тот вариант согласия, что "рекомендуется" Минобрнауки не указывает все цели обработки на которые дается согласие и позволяет черезчур многое.
Для цели обучения ребенка в образовательном учреждении и оценки усвоения им образовательной программы согласие не требуется т.к. цель и состав обрабатываемых персональных данных определены законом об образовании.
Я бы еще мог согласится, что потребуется согласие на организацию экскурсий или отправку в ление лагеря, но здесь по каждой цели должны быть определены:
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва
При том все это должно быть закрытым конкретным перечнем

Я бы еще порекомендовал написать заявления в территориальный Роскомнадзор и прокуратуру.

Посмотрите в этом же сообществе по тэгу "согласие на все" - http://personal-data.livejournal.com/tag/%D1%81%D0%BE%D0%B3%D0%BB%D0%B0%D1%81%D0%B8%D0%B5%20%D0%BD%D0%B0%20%D0%B2%D1%81%D0%B5

>Собираетесь "упростить требования", чтоб мое (не)согласие можно было обойти, чтоб вам попроще жилось?

Не упростить, а изменить подход:
- сейчас: есть ряд требований по защите обязательных к испонению всеми. Но нет ответственности за нанесение ущерба субъекту, только ответственность за невыполнение этих требований. Другими словами оператор обязан купить и поставить определенный набор техсредств, и если он это выполнеил, то никого не волнует ушла ли информацияя на сторону или нет
- мы предлагаем: установить жесткую ответственность за нарушения прав субъекта и карать за это. А уж как и чем будет защищать оператор не имеет значения.
"согласие на все" - (Anonymous) - Jul. 15th, 2011 07:36 am (UTC) - Expand
(no subject) - harajuku_blue_b - Jul. 15th, 2011 07:40 am (UTC) - Expand
(no subject) - toparenko - Jul. 15th, 2011 08:15 am (UTC) - Expand
(no subject) - harajuku_blue_b - Jul. 15th, 2011 08:33 pm (UTC) - Expand
(no subject) - toparenko - Jul. 16th, 2011 01:00 pm (UTC) - Expand
(no subject) - harajuku_blue_b - Jul. 22nd, 2011 12:30 pm (UTC) - Expand
(no subject) - toparenko - Jul. 22nd, 2011 12:39 pm (UTC) - Expand
(no subject) - harajuku_blue_b - Jul. 22nd, 2011 01:05 pm (UTC) - Expand
(no subject) - toparenko - Jul. 22nd, 2011 01:33 pm (UTC) - Expand
(no subject) - harajuku_blue_b - Jul. 22nd, 2011 01:36 pm (UTC) - Expand
( 81 comments — Leave a comment )

Profile

personal_data
Персональные данные. Правоприменение

Latest Month

May 2019
S M T W T F S
   1234
567891011
12131415161718
19202122232425
262728293031 

Tags

Powered by LiveJournal.com
Designed by Lilia Ahner