#АнтикоррупционнаяЭкспертиза #АКЭ #КНД #ПДн #ПД #PersonalData #Минкомсвязь частично ушло предложения нашего эксперта, отраженные в заключении по результатам независимой антикоррупционной экспертизы проекта постановления Правительства РФ «Об утверждении Положения о порядке осуществления федерального государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства РФ»
https://www.facebook.com/yefremov.a.a/posts/10213665886625515
https://www.facebook.com/yefremov.a.a/posts/10213665886625515
Facebook
Алексей Ефремов
#Минкомсвязь Минкомсвязь России частично ушло мои предложения, отраженные в заключении по результатам независимой антикоррупционной экспертизы проекта постановления Правительства РФ «Об утверждении...
#ЦифроваяЭкономика #DigitalEconomy #ЦифровойПрофиль #АКЭ
https://www.rspectr.com/articles/501/cifrovye-profili-plyusy-vnedreniya-i-riski-ispolzovaniya
В законопроекте (https://regulation.gov.ru/projects#npa=89871), в частности, говорится, что при обработке #ПД с использованием инфраструктуры #ЦП пользователь дает соответствующее согласие в форме электронного документа, подписанного простой или усиленной квалифицированной электронной подписью. Вместе с тем остается непонятным, как будут храниться такие данные и кто получит доступ к цифровому профилю.
Возможны ли риски использования информации из ЦП третьими лицами? Как это предотвратить при формировании инфраструктуры проекта? Такие вопросы #RSpectr задал экспертам рынка.
Комментарий Алексея Ефремова, ведущего научного сотрудника Центра технологий госуправления #РАНХиГС при Президенте РФ:
– Законопроект вызывает очень много замечаний с точки зрения обеспечения информационной безопасности (#ИБ) и защиты персональных данных ПД.
1. Нарушены базовые принципы и действующего федерального закона о ПД, и Конвенции Совета Европы 1981 года:
– о запрете объединения баз данных, цели обработки которых несовместимы между собой (концепция ЦП),
– об обязательности письменного согласия лица на принятие решений на основании исключительно автоматизированной обработки ПД (норма о 15-секундном обновлении сведений).
2. Законопроект никак не определяет цели присвоения идентификаторов, не конкретизирует цели обмена данными и их соответствие изначальным целям, для которых эти данные были собраны и обрабатываются госорганами.
3. Документ не называет круг субъектов, которые будут иметь доступ к данным, а также их возможности по обновлению данных. Нормы проекта закона в части запросов организаций на получение сведений о гражданах и юрлицах с использованием инфраструктуры ЦП содержат коррупциогенные факторы.
4. Законопроект не упоминает о том, кто будет оператором инфраструктуры ЦП, и не указывает, кто конкретно будет нести ответственность за достоверность и безопасность данных. При возможности 15-секундного обновления информации неопределенным кругом лиц общая норма об ответственности органов власти (которые несут ее как операторы своих ИС, а не предлагаемой инфраструктуры ЦП) не обеспечит реальной сохранности, достоверности и безопасности ПД.
Соответствующее заключение по независимой антикоррупционной экспертизе законопроекта А. Ефремов направил в #Минкомсвязь.
https://to36.minjust.ru/sites/default/files/efremov_aa_ake_zakl_minkomsvyazi_cifrovoy_profil.pdf
https://www.rspectr.com/articles/501/cifrovye-profili-plyusy-vnedreniya-i-riski-ispolzovaniya
В законопроекте (https://regulation.gov.ru/projects#npa=89871), в частности, говорится, что при обработке #ПД с использованием инфраструктуры #ЦП пользователь дает соответствующее согласие в форме электронного документа, подписанного простой или усиленной квалифицированной электронной подписью. Вместе с тем остается непонятным, как будут храниться такие данные и кто получит доступ к цифровому профилю.
Возможны ли риски использования информации из ЦП третьими лицами? Как это предотвратить при формировании инфраструктуры проекта? Такие вопросы #RSpectr задал экспертам рынка.
Комментарий Алексея Ефремова, ведущего научного сотрудника Центра технологий госуправления #РАНХиГС при Президенте РФ:
– Законопроект вызывает очень много замечаний с точки зрения обеспечения информационной безопасности (#ИБ) и защиты персональных данных ПД.
1. Нарушены базовые принципы и действующего федерального закона о ПД, и Конвенции Совета Европы 1981 года:
– о запрете объединения баз данных, цели обработки которых несовместимы между собой (концепция ЦП),
– об обязательности письменного согласия лица на принятие решений на основании исключительно автоматизированной обработки ПД (норма о 15-секундном обновлении сведений).
2. Законопроект никак не определяет цели присвоения идентификаторов, не конкретизирует цели обмена данными и их соответствие изначальным целям, для которых эти данные были собраны и обрабатываются госорганами.
3. Документ не называет круг субъектов, которые будут иметь доступ к данным, а также их возможности по обновлению данных. Нормы проекта закона в части запросов организаций на получение сведений о гражданах и юрлицах с использованием инфраструктуры ЦП содержат коррупциогенные факторы.
4. Законопроект не упоминает о том, кто будет оператором инфраструктуры ЦП, и не указывает, кто конкретно будет нести ответственность за достоверность и безопасность данных. При возможности 15-секундного обновления информации неопределенным кругом лиц общая норма об ответственности органов власти (которые несут ее как операторы своих ИС, а не предлагаемой инфраструктуры ЦП) не обеспечит реальной сохранности, достоверности и безопасности ПД.
Соответствующее заключение по независимой антикоррупционной экспертизе законопроекта А. Ефремов направил в #Минкомсвязь.
https://to36.minjust.ru/sites/default/files/efremov_aa_ake_zakl_minkomsvyazi_cifrovoy_profil.pdf
rspectr.com
Цифровые профили: плюсы внедрения и риски использования
Сможет ли инфраструктура умного безбумажного документооборота гарантировать безопасность персональной информации?