1. ФЕДЕРАЛЬНОЕ СОБРАНИЕ РОССИЙСКОЙ ФЕДЕРАЦИИ
ГОСУДАРСТВЕННАЯ ДУМА
Комитет по информационной политике,
информационным технологиям и связи
ЗАКЛЮЧЕНИЕ
«19» ноября 2009 г. № __
проект
на проект федерального закона № 262191-5
«О внесении изменения в статью 25 Федерального закона «О персональных данных»
(в части продления срока, в течении которого ранее созданные информационные системы
персональных данных подлежат приведению в соответствие с Федеральным законом
«О персональных данных»), внесенного депутатом Государственной Думы
А.А. Морозовым.
ФЗ «О персональных данных» (далее - Закон) был принят 27 июля 2006 года и
вступил в силу 26 января 2007 года.
Информационные же системы персональных данных (далее по тексту - ИСПД),
созданные до дня вступления в силу Закона, в соответствии со статьей 25, должны быть
приведены в соответствие с требованиями Закона до 1 января 2010 года.
Данным законопроектом предлагается перенесение этого срока на более позднюю
дату, на 1 января 2012 года.
В Пояснительной записке к законопроекту, а также в результате анализа хода
выполнения требований Закона и анализа готовности ИСПД, проведенных в ходе
Парламентских слушаний «Актуальные вопросы развития и применения законодательства
о защите прав граждан при обработке персональных данных», прошедших в
Государственной Думе 20 октября 2009 года, отмечалась не готовность выполнения
требований Закона в полном объеме к моменту его полного вступления в силу как
организациями, осуществляющими сбор и обработку персональных данных, так и
отдельными государственными структурами.
С одной стороны неготовность можно связать с несколько затянувшимся
принятием пакета подзаконных нормативных правовых актов, требуемых для реализации
Закона, который был принят лишь почти два года спустя после принятия Закона, в
феврале-мае 2008 года, а также с частой сменой органа исполнительной власти, за
которым Законом закрепляются функции уполномоченного органа по защите прав
субъектов персональных данных.
С другой стороны неготовность связана и с рядом иных причин, на которые
обращается внимание как в Пояснительной записке к законопроекту, так и в

2. Рекомендациях, принятых по результатам упомянутых Парламентских слушаний.
В частности, отмечается, что требования по защите ИСПД, установленные
Федеральной службой по техническому и экспортному контролю (ФСТЭК),
распространяются не только на собственно ИСПД, но и на весь интегрированный
информационный комплекс в состав которого входит и ИСПД. И обеспечение
установленных требований к ИСПД возможно только при модернизации всего комплекса,
что требует значительных финансовых вложений. Обеспечение же требований Закона
предполагается осуществлять организациям, эксплуатирующим ИСПД, за свой
собственный счет и многим из них это сделать весьма затруднительно, тем более в
настоящий период экономического кризиса: у большинства операторов, осуществляющих
обработку персональных данных, нет для этого достаточных материальных и трудовых
ресурсов. Особенно это касается, как отмечается в Рекомендациях упомянутых
Парламентских слушаний, бюджетных организаций в сфере образования, медицинского
обслуживания, жилищно-коммунального комплекса. Затраты на реализацию Закона из
средств федерального бюджета не предусматривались, не заложены они и в бюджеты
следующего года, особенно в муниципальные бюджеты. Затрудняет модернизацию ИСПД
и то обстоятельство, что на российском рынке слабо представлены сертифицированные
ФСТЭК технические продукты, которые необходимы для обеспечения требуемой защиты
ИСПД.
Как отмечается, требуют уточнения такие положения Закона, например, как сроки
хранения и уничтожения персональных данных, перечня случаев, когда согласие субъекта
на обработку его персональных данных не требуется, прав субъекта на получение
сведений об операторе и обязанностей оператора сообщать субъекту об обработке
персональных данных, полученных от третьих лиц; требуется коррекция, а может быть и
исключение требования по обязательному использованию для всех операторов средств
криптозащиты для обеспечения безопасности обработки персональных данных.
Представляется также целесообразным предоставить право операторам
негосударственных и муниципальных ИСПД самостоятельно определять методы и
средства обеспечения безопасности персональных данных при их автоматизированной
обработке с учетом методических рекомендаций государственных регуляторов, при
соответствующей коррекции полномочий, закрепленных Законом за регуляторами.
Представляется излишним и распространение на всех операторов требования по
осуществлению обработки персональных данных только на оборудовании, прошедшем
специальную сертификацию и аттестацию.
Также представляется необходимым уточнение и иных положений Закона,
высказанных в ходе его обсуждения экспертным сообществом, а также иных, смежных

3. вопросов, таких, например, как целесообразность получения лицензии на техническую
защиту информации ограниченного доступа, не составляющей государственную тайну,
при обработке такой информации для собственных нужд, уточнение понятия
«конфиденциальности» и ряд других.
Такие изменения могли бы с одной стороны уменьшить финансовую нагрузку на
операторов по исполнению требований Закона, а с другой стороны - сохранить
необходимый уровень государственного регулирования деятельностью операторов, и
уровень обеспечения защиты прав и свобод человека и гражданина при обработке его
персональных данных со стороны государства.
Таким образом уже на стадии подготовки к реализации положений Закона
выявилась необходимость коррекции отдельных его положений. Исходя из изложенного
постановка вопроса о переносе сроков, установленных частью 3 статьи 25, представляется
вполне оправданной. В тоже время было бы целесообразным или одновременно с
переносом сроков, или посредством внесения отдельного законопроекта в самое
ближайшее время, внесение и иных, сущностных изменений в Закон.
В этой связи представляется уместным и одновременное завершение работ по
подготовке ко второму чтению законопроекта № 217355-4 «О внесении изменений в
некоторые законодательные акты Российской Федерации в связи с принятием
Федерального закона «О ратификации Конвенции Совета Европы о защите физических
лиц при автоматизированной обработке персональных данных» и Федерального закона
«О персональных данных», внесенного Правительством РФ еще в сентябре 2005 года и
уже принятого Государственной Думой в первом чтении.
Такие совместные действия могли бы обеспечить формирование требуемого
нормативного правового пространства на уровне норм федеральных законов.
Перенесение сроков с одновременной коррекцией отдельных положений Закона и
иных федеральных законов, дало бы возможность подготовиться государственным
органам и операторам к реализации положений Закона к новому сроку в максимально
полном объеме.
Председатель
Комитета В.Я. Комиссаров
Исп. Артищев А. И.,
тел. 692-97-14