11 января 2017 г.

Два законопроекта о самом главном в персональных данных: о контроле и надзоре и о штрафах

11 января Госдума во втором чтении приняла два долгожданных законопроекта: «О внесении изменений в главу 5 Федерального закона «О персональных данных» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (в части уточнения порядка осуществления государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных) и «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (в части уточнения положений, устанавливающих ответственность за нарушение законодательства о персональных данных).
Тексты законопроектов по сравнению с рассмотренными в первом чтении претерпели по объему незначительные, но весьма важные, даже принципиальные изменения.
В соответствии с первым из рассматриваемых законопроектов, уполномоченным органом по защите прав субъектов персональных данных теперь будет не федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи, т.е. Роскомнадзор, а федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных. Это вовсе не означает передачи этих функций от Роскомнадзора другому органу, но такая конструкция закона делает это вполне допустимым.
Что же это за орган контроля и надзора? Закон на этот вопрос не отвечает, но зато прямо и недвусмысленно возлагает на Правительство РФ обязанность установить порядок организации и проведения проверок операторов, являющихся юридическими лицами и индивидуальными предпринимателями, а также порядок организации и осуществления государственного контроля и надзора за обработкой персональных данных иными операторами.
Последствия и смысл разделения контрольных функций на две части: (1) организации и проведения проверок операторов, являющихся юридическими лицами и индивидуальными предпринимателями и (2) организации и осуществления государственного контроля и надзора за обработкой персональных данных иными операторами пока не ясны, но как обычно, это неспроста.
Обратите внимание, что за 10 лет действия закона в нем впервые в качестве субъекта правоотношений появляется индивидуальный предприниматель. До принятия нового закона регулировались отношения с юридическими и физическими лицами, но не с ИП.
Незаметно, но радикально изменилась область контроля и надзора. Если ранее это было соответствие «обработки персональных данных требованиям настоящего Федерального закона», т.е. 152-ФЗ «О персональных данных», то теперь – соответствие «обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных». Чувствуете разницу? Законодательству в целом, а не конкретному закону.
Это должно положить конец ведущимся давно спорам о правомерности проверки Роскомнадзором, например, требований статей 86 и 88 Трудового кодекса, но вступает в коллизию с нормой Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»: недопустимостью проведения в отношении одного юридического лица или одного индивидуального предпринимателя несколькими органами государственного контроля (надзора) проверок исполнения одних и тех же обязательных требований. Но мы же помним, что с 1 сентября 2015 года 294-ФЗ не применяется при осуществлении контроля и надзора за обработкой персональных данных. Кстати, эта норма тоже уточнена законопроектом и дополнена словом «государственного».
Правда, в новой части 1.1 статьи 23 152-ФЗ далее указывается, что уполномоченный орган «обеспечивает, организует и осуществляет государственный контроль и надзор за соответствием содержания обработки персональных данных и способов их обработки требованиям настоящего Федерального закона и принятых в соответствии с ним нормативных правовых актов (государственный контроль и надзор за обработкой персональных данных)». Как это должно соотноситься с соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных, совершенно непонятно.
К сожалению, как это часто бывает, тексты законов с каждой новой поправкой становятся не прозрачнее и понятнее, а запутаннее и сложнее.
Из новой редакции статьи 13.11 КоАП РФ, получающей новое название «Нарушение законодательства Российской Федерации в области персональных данных», ко второму чтению исчезла часть 3, предусматривавшая самое суровое наказание, штраф до 300 тысяч рублей для юрлиц, за «обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также персональных данных о судимости в случаях, не предусмотренных законодательством Российской Федерации о персональных данных». Теперь такого самостоятельного состава административных правонарушений нет совсем. Почему – для меня загадка, но, наверное, законодатели что-то знают неизвестное остальным.
Сравнивать тесты статьи 13.11, подготовленные к первому и второму чтению, смысла не вижу, а то, что принято во втором чтении – коротко в таблице ниже.
№ части статьи
Состав административного правонарушения
Штраф для юрлиц
1
Обработка персональных данных в случаях, не предусмотренных законодательством РФ, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи
30 - 50 тысяч рублей
2
Обработка персональных данных без согласия в письменной форме субъекта персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных
15 - 70 тысяч рублей
3
Невыполнение оператором предусмотренной законодательством РФ обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, и сведениям о реализуемых требованиях к защите персональных данных
15 - 30 тысяч рублей
4
Невыполнение оператором предусмотренной законодательством РФ обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных
20 - 40 тысяч рублей
5
Невыполнение оператором в сроки, установленные законодательством РФ, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки
25 - 45 тысяч рублей
6
Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния
25 - 50 тысяч рублей
7
Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФ обязанности по обезличиванию персональных данных, либо несоблюдение установленных требований или методов по обезличиванию персональных данных
3 - 6 тысяч рублей – только для должностных лиц
В целом все вполне ожидаемо после первого чтения, кроме упомянутого выше исключения ответственности за неправомерную обработку спецкатегорий и, наоборот, сохранение ответственности для чиновников за невыполнение требований по обезличиванию – на мой взгляд, совершенно не рабочий состав.
Из особенностей – наличие негативных последствий для субъекта как основание для привлечения к ответственности нарушителя предусмотрено только частью 6 статьи, в остальных случаях их наступление значения не имеет.
Новая конструкция статьи 13.11 с семью составами правонарушений может привести к принципиальному изменению надзорной практики. Теперь, если у оператора будет выявлено 50 нарушений, каждое из них может быть квалифицировано отдельно, по каждому – составлен протокол и наложен штраф, суммарно весьма внушительный и фактически неограниченный. Наличие в действующей статье одной общей нормы: «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» таких действий не предусматривает.  
И ожидаемое – статья 13.11 переходит в ведение Роскомнадзора, включая возбуждение административных дел по составам правонарушений, предусмотренным этой статьей, и соответственно, исключение этой статьи из полномочий прокуратуры.
Законопроектами предполагается, что изменения, касающиеся контроля и надзора, вступят в силу 1 марта 2017 года, изменения в КоАП РФ – 1 июля.  
Учитывая, что в третьем чтении принципиальных изменений в законопроект внесено не может быть, готовимся. Я думаю, третье чтение пройдет в ближайшее время.

28 декабря 2016 г.

С новым 2017 годом!

Уважаемые друзья, коллеги, заказчики, партнеры!

С наступающим Новым годом! Пусть на смену сложному високосному с его проблемами, драмами и потерями придет простой 2017! Удачи, сил, здоровья, позитива и поддержки. Мы с вами - Консалтинговое агентство "Емельянников, Попова и партнеры"

23 ноября 2016 г.

Новый закон о коллекторах. Часть 2. Про проблемы

Продолжаем разбираться с коллекторским или антиколлекторским законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности…» (начало см. здесь и здесь).
Бо́льшая часть положений нового закона должна заработать 1 января 2017 года. Но что-то мне подсказывает, что этого скорее всего не произойдет, и перед новым годом Думе придется срочно вносить в закон поправки по срокам.
Что подсказывает? Самая главная подсказка – это отсутствие сегодня, 23 ноября, чуть более чем за месяц до вступления закона в силу, федерального органа исполнительной власти, уполномоченного Правительством Российской Федерации осуществлять ведение государственного реестра коллекторов, контроль (надзор) за деятельностью коллекторов, включенных в государственный реестр.
Проект постановления Правительства был разработан еще в июле и предполагал, что соответствующие функции будут возложены на Федеральную службу служебных приставов в связи с тем, что «цели осуществления деятельности по возврату просроченной задолженности корреспондируют с целями исполнительного производства», как сказано в пояснительной записке. Однако документ до сих пор не принят, судя по всему – из-за расхождения мнений Правительства и Службы относительно размера финансирования, необходимого для исполнения новой функции. В пояснительной записке к законопроекту, как обычно в последнее время, было указано, что его исполнение не требует дополнительного финансирования, а ФССП считает, что для реализации новых полномочий ей необходимо примерно 650 млн рублей, из них более 150 – на развитие ИТ-инфраструктуры, необходимой для ведения реестра коллекторов.
На реестр коллекторов завязаны многие нормы закона, но есть и другие проблемы, пути решения которых не очевидны. Вместе с нашими заказчиками – банками и профессиональными взыскателями, мы в агентстве ищем и находим пути их решения. Вот некоторые из возможных проблем.
1.       Что делать банкам, которые до конца годы планировали заключить новые договоры агентирования и цессии, если реестра коллекторов еще нет? И что им делать, если после принятия решения о порядке ведения реестра коллекторы, с которыми заключены договоры, в реестр не попадут?
2.       Аналогичный вопрос возникнет и в ситуации, когда по каким-то причинам коллекторское агентство будет исключено из реестра.
3.       Статья 17 нового закона возлагает на профессионального взыскателя обязанность фиксировать в доказываемой форме все контакты с должником:
  • вести аудиозапись всех случаев непосредственного взаимодействия, предупреждать должника и иных лиц о такой записи в начале взаимодействия, а также обеспечивать хранение на электронных носителях аудиозаписей до истечения 3 лет с момента осуществления записи;
  • обеспечивать запись всех текстовых, голосовых и иных сообщений, передаваемых при осуществлении взаимодействия, направленного на возврат просроченной задолженности, по сетям электросвязи, в том числе подвижной радиотелефонной связи, и их хранение до истечения 3 лет со дня их осуществления;
  • обеспечивать хранение всех бумажных документов, составленных и полученных им в ходе осуществления деятельности по возврату просроченной задолженности, в бумажном и электронном виде до истечения 3 лет со дня их отправления или получения.

При этом статьи 4 и 7 весьма жестко ограничивают как способы взаимодействия, так и их количество. Например, допускается не более одной личной встречи с должником в неделю, а телефонных звонков – не более двух, да еще в строго определенное время (в рабочие дни с 8 до 22 часов, в нерабочие с 9 до 20).
В связи с этим возникает вопрос: а что это за средства фиксации контактов и отправлений, выдвигаются ли к ним какие-либо требования, если да – какие и кем? Как доказать, что зафиксированы все контакты и что делать, если должник настаивает, что их было значительно больше, но часть их них коллекторы не зафиксировали?
И, наконец, что делать, если должник решит разыграть следующий сценарий с целью привлечь коллектора к ответственности: купит пяток симок у вокзала, оформленных неизвестно на кого, попросит знакомых звонить по телефону и писать смс от имени коллекторов, и с этим пойдет в надзор жаловаться? 
Вопрос не праздный. С 1 января существенно изменяется статья 14.57 КоАП, предусматривающая наказание для коллекторов за нарушение требований закона № 230-ФЗ в виде штрафа до 500 тысяч рублей или административной приостановке деятельности на срок до 90 суток. 
4.       Еще одна проблема. Что делать банкам, если привлеченное по агентской схеме коллекторское агентство прекращает свое существование? Действует оно от имени, по поручению и за счет банка, т.е. в терминах части 3 статьи 6 закона «О персональных данных» является лицом, осуществляющим обработку персональных данных по поручению оператора-банка. Ответственность перед субъектом персональных данных за действия коллекторов в этом случае несет банк, как определено частью 5 той же статьи. И вот субъект обращается с жалобой или иском к банку по поводу действий коллекторов. Коллекторов уже нет, нет и записей контактов и отправлений должнику. Как банку доказывать свою добросовестность?
Есть другие вопросы и проблемы, которые надо решить заранее, до вступления в силу закона, такие, как действия банка и коллектора при отказе должника от взаимодействия, ограничения на количество привлекаемых взыскателей, оповещение должника о привлечении коллекторов к взысканию и цессии и др. Закон при детальном рассмотрении оказался еще более сложным и непроработанным, чем казалось при его первом прочтении и изучении.
Но мы с нашими клиентами работаем и следим за практикой и изменениями.

11 ноября 2016 г.

О Больших пользовательских данных и блокировке LinkedIn – без эмоций

На прошедшей неделе произошли два очень важных события: 8 ноября прошла 7-я международная конференция «Защита персональных данных», которая традиционно патронируется Роскомнадзором, а 10 ноября Мосгорсуд отказал в удовлетворении апелляционной жалобы LinkedIn на решение Таганского районного суда о блокировке ресурса на территории Российской Федерации, принятое по иску Роскомнадзора в защиту неопределенного круга лиц-субъектов персональных данных.
Прежде, чем говорить о значении этих событий и последствиях того, что на них было озвучено, хотел бы отметить, что и в этом году пленарное заседание конференции «Защита персональных данных», на котором выступали представители госорганов, оказалось гораздо интереснее остальных двух его панелей, больше походивших на уютную домашнюю дискуссию очень хороших людей, согласных со всеми предыдущими выступающими, и рассказывающих об очень милых ситуациях, разрешенных или решаемых в их странах силами уполномоченных органов по защите прав субъектов персональных данных. На мой взгляд, это очень нетипичная ситуация для российских конференций, когда зачитывание формальных приветствий высоких должностных лиц и выражение спонсорами благодарности поучаствовать в мероприятии за их же деньги съедает полтора-два часа рабочего времени конференций.    
А теперь по делу. Не хочу и не буду рассуждать на тему, хорошо или плохо, правильно или неправильно, законно или нет то, что мы услышали в эти два дня. В этом никакого смысла нет. Просто обозначу ту систему координат для сферы обработки персональных данных, в которой нам всем, как работающим в России, так и в России не присутствующим, но желающим работать с россиянами, предстоит жить в ближайшее время (как долго? до изменения системы координат – читай законодательство и следи за правоприменением) и тот набор констант, который определяет эту систему координат.
1.       Государство в лице своих уполномоченных органов и специально созданных под эту проблему институтов заявило, что под контроль надо поставить не только персональные данные всех живущих в России (данные, с помощью которых можно непосредственно идентифицировать, то есть установить личность), но и данные, которые сами по себе, без дополнительной информации, не могут быть соотнесены с конкретным субъектом (то есть обезличены – сведения об активности анонимного пользователя в сети, IP- и МАС- адреса, файлы-куки, особенности поведения в интернете, сведения о геолокации и т.п.), но путем сопоставления полученных из различных источников сведений позволяют их обладателю личность установить (Игорь Ашманов утверждал, что достаточно четырех разнородных источников).
2.       Эти сведения, названные коллективным разумом участников Большими пользовательскими данными, должны быть поставлены под контроль государства или уполномоченного им лица (оператора больших данных), для чего нужно принятие новых или корректировка уже принятых законов, поскольку существующих для реализации этих планов мало.
3.       Гражданин России не имеет права на распоряжение своими персональными данными. Он безответственен и неразумен, не читает грабительских и рабских пользовательских соглашений, не понимает своей выгоды и нарушения своих прав, поэтому его персональные данные – достояние государства, нефть новой экономики (Игорь Ашманов оценил их в 20 американских долларов за единицу реализуемого товара), и государство или уполномоченное им лицо будет этими данными распоряжаться – собирать, систематизировать, использовать и т.д. – см. пункт 2. Маленькая ремарка. Можно предположить, что, если бы россияне узнали, где за их сведения об активности в интернете можно получить 20 USD, очередь к покупателю выстроилась бы побольше очереди за бесплатными бумажными пакетами мировых брендов. И московская непогода, снегопады и ледяные дожди их бы не остановили. Но этот адрес нам пока не известен, так как в выступлении не был раскрыт.
4.       Исходя из изложенного в пункт 3, две ветви российской власти – исполнительная, в лице Роскомнадзора, и судебная, в лице районных и вышестоящих судов общей юрисдикции, будут и впредь блокировать доступ к ресурсам, где есть персональные данные россиян, и которые не перенесены на территорию Россию в соответствии с горячо и активно обсуждавшимися поправками, внесенными 242-ФЗ в статью 18 закона «О персональных данных». Исследовать вопрос, чьи конкретно права нарушены, в чем заключается нарушение, как использование сведений о посещении интернет-ресурса нарушает право на неприкосновенность частной жизни, и в чем оно заключалось, в ходе судебных разбирательств вовсе не обязательно. Достаточно того, что на такой позиции стоит уполномоченный законом орган по защите прав субъектов персональных данных. То, что субъект посещал ресурс свободно, по собственной воле и в собственном интересе (часть 1 статьи 9 закона «О персональных данных»), значения не имеет – субъект неразумен по определению – см. пункт 3.
5.       Такие походы государства и уполномоченных им лиц имеют определенную поддержку бизнеса, надеющегося получить свою долю пирога. Это, примерно, как с ЦОДами для размещения баз персональных данных россиян, импортозамещением и т.п. Кому война, а кому мать родна, что русскому здорово, то немцу смерть, ну и т.д.
6.       По всем этим поводам массовых протестов и одиночных пикетов не будет. Все ограничится соплями, слезами и виртуальными прощальными обнимашками в закрываемых соцсетях. В отличие от торрентов, искать способы обхода блокировок массово тоже не будут. Вся прелесть их использования для тотального общения после блокировки будет сведена на нет. Мне, например, ресурс, где сейчас хостится мой блог, Facebook или Twitter, после блокировки доступа с территории России будут абсолютно неинтересны. Как и я владельцам этих ресурсов.
7.        Жить по-старому иностранным компаниям в России точно не получится. Как и тем, кто хочет работать с россиянами (продавать что-то, распространять рекламу и т.п.). Тем более, что выступавшая на конференции Наталья Касперская сказала, что закон о территориальности исполняется плохо (ей, наверное, видней. Роскомнадзор недавно говорил совсем другое). Надо все-таки будет привести обработку персональных данных в соответствие российскому законодательству, разработать предусмотренные законом документы и принять предусмотренные им же меры обеспечения безопасности персональных данных, перенести первичные базы персональных данных (да-да, я знаю про отсутствие этого понятия в законах, но оно тем не менее есть), в которые собираются и в которых актуализируются персональные данные россиян, на территорию России. В заблокированной соцсети LinkedIn, похоже, после решения Мосгорсуда это быстро поняли: «Мы по-прежнему заинтересованы во встрече с Роскомнадзором, чтобы обсудить их запрос локализации данных».
8.       К защите прав субъектов все описанное выше никакого отношения не имеет. От слова «совсем». После выполнения описанного в пункте 7 все персональные данные можно вполне законно сливать передавать в информационные системы за рубежом, в том числе, и для продажи их по 20 долларов за штуку. Особенно подробно про это написано на сайте уполномоченного органа по выработке государственной политики в сфере персональных данных здесь  http://www.minsvyaz.ru/ru/personaldata/ и на сайте-общественной инициативы здесь http://pd-info.ru/, где особо подчеркивается «роль Роскомнадзора в данном проекте – как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями».
Вот так, примерно, все это видится.
Жаль, что за решением таких глобальных проблем на международной конференции «Защита персональных данных» не нашли отражения такие животрепещущие вопросы, волнующие, по нашим наблюдениям, очень многих операторов персональных данных, как использование веб-форм для сбора персональных данных и обеспечение при таком использовании соответствия закону, размещение информационных систем в облаках и коммерческих ЦОДах, необходимость на это согласия субъектов, способы его законного получения, обеспечение защиты данных, обрабатываемых в ЦОДах и облаках и распределение полномочий провайдера и оператора, использование международными и иностранными компаниями баз персональных данных материнских компаний за рубежом, в том числе тех, куда российские пользователи сами вносят свои данные, и многие другие.
Но, видимо, сейчас время для других вопросов – глобальных и стратегических.

17 октября 2016 г.

Новый закон о коллекторах. Часть 1, введение в проблемы

Провел два семинара по новому закону, регламентирующему коллекторскую деятельность – от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности…», о котором уже писал (о законе - здесь).
Готовясь ко второму мероприятию долго смеялся. Как раз накануне, 13 октября, на CyberCrimeCon/2016 был представлен отчет Group-IB, в котором была обнародована страшная цифра: общий объем хищений в российских банках в 2015 году от целевых кибератак составил 5,37 млрд рублей и вырос по отношению к прошлому периоду на 44%. Ужас-ужас.   В то же время в параллельном мире без кибератак 5 миллионов россиян бросили исполнять свои обязанности по кредитам и займам всех видов (потребительские, ипотека, авто и прочие), и заемщики, которые не платят уже более 90 дней по своим обязательствам, просрочили 780 млрд рублей из 1,3 трлн рублей общей задолженности россиян по кредитам. Что такое «не платят 90 дней и более»? Эти деньги перешли в категорию «неработающая ссуда» (NPL, Non-performing loan), то есть это те задолженности, по которым банк вряд ли увидит свои деньги. Сравните: 5,37 и 780. Это два порядка и еще полтора раза. И почувствуйте разницу.
Ситуация только усугубляется. На картинке – данные одного из крупнейших коллекторских агентств «Секвойя кредит консолидейшн» о структуре продаваемых банками долгов, опубликованные в прошлом году в «Ведомостях», перспектива возврата большинства которых безнадежна. Общий объем продаваемого портфеля такой «безнадеги» на начало 2016 года – примерно 440 млрд рублей. Дисконт при продаже – 99-99,5% номинала. Выводы делайте сами.
Есть и еще один неприятный сюрприз для всех нас. В тот же день, когда был подписан закон № 230-ФЗ, был принят и еще один закон, № 360-ФЗ, внесший изменения, в том числе, в «Основы законодательства Российской Федерации о нотариате». Теперь вместо бланкетной нормы статьи 90 «Перечень документов, по которым взыскание задолженности производится в бесспорном порядке на основании исполнительных надписей, устанавливается Правительством Российской Федерации, если иное не предусмотрено настоящими Основами для совершения исполнительных надписей по отдельным видам обязательств», появился конкретный перечень, в который попали нотариально удостоверенные сделки, устанавливающие денежные обязательства или обязательства по передаче имущества и (внимание!) кредитные договоры при наличии в них или дополнительных соглашениях к ним условия о возможности взыскания задолженности по исполнительной надписи нотариуса.
Перевожу. Если в кредитном договоре такое условие есть (а нормальные банки срочно начнут их теперь включать и склонять к заключениям доп. соглашений), а обязательства должником не исполняются, банку достаточно пойти к нотариусу, получить исполнительную надпись и с ней двигать к судебным приставам. Никакого судебного решения не нужно. Приставы обязаны начать исполнительное производство, то есть найти где-то в другом банке и списать в пользу кредитора долги заемщика или арестовать его имущество для обеспечения возврата долга.
Почему это плохо для всех нас? Я уже не раз писал и выступал на тему плохих кредитов, полученных по копии паспорта в результате сговора банковских агентов со злоумышленниками (например, здесь). Теперь ситуация становится более безнадежной.
Не надо судов. Человек, отдавший паспорт на ксерокопирование или сканирование при посещении бизнес-центра или заселении в гостиницу, узнает, что с него списали неизвестный ему долг с процентами и штрафами. По-видимому, первым делом он обращается в свой банк, в котором произошло списание, и узнает, что это сделано судебными приставами по исполнительному листу. Далее он обращается к судебным приставам, которые ему сообщают о задолженности по кредиту в неизвестном ему банке, подтвержденной исполнительной надписью нотариуса, в соответствии с которой списание денег происходит в бесспорном порядке. А затем – квест, в результате которого надо добиться признания договора кредитования поддельным и каким-то способом вернуть деньги, уже переведенные их получателем – банком-псевдокредитором на какой-то другой счет.
Еще раз вынужден написать: без принятия закона, содержащего закрытый перечень случаев допустимого копирования основного документа, удостоверяющего личность, и введения очень жестких санкций не только за его нарушение, но и за попытку нарушения (например, истребование паспорта для копирования без достаточных оснований, попытку получить в залог, как у нас часто любят делать на конференциях при выдаче прибора для приема синхроперевода и т.п.) проблему не решить. Она только разрастается.
Про сам новый закон и порождаемые им проблемы – в следующем посте. Большие тексты сегодня не в почете.

10 октября 2016 г.

14 октября: Как общаться с должником и не нарушить закон

А знаете ли вы, что:
·         Общая задолженность россиян банкам на конец 2015 года - 11 трлн рублей.
·         Количество должников – 40 млн человек.
·         В состоянии обслуживать свои долги — только 8 млн человек.
·         Просроченная задолженность по кредитам – 1,3 трлн рублей.
·         Не выполняют свои долговые обязательства – более 5 млн человек.
·         25% закредитованных заемщиков обслуживают сразу два займа, 18% — три и более.
·         Заёмщики, которые не платят банкам более 90 дней, просрочили 780 млрд из 1,3 трлн рублей.
·         В срок не обслуживается каждый пятый кредит, а каждый десятый - безнадёжен.
Статистика пугающая и выглядит еще более мрачной на фоне «расстрельных троек» банков, лишенных лицензий, которые появляются практически каждую неделю.
С долгами надо что-то делать. Но не бросать коктейли Молотова в детские кроватки и не писать о кредиторах на стенах подъездов.
Наконец-то принят Федеральный закон от 03.07.2016 № 230-ФЗ, регламентирующий коллекторскую деятельность, о котором я уже писал.
Закон – не самый простой для понимания и восприятия. Поэтому мы вместе с Учебным центром «Информзащита» 14 октября и поможем разобраться в его хитросплетениях, причем совершенно безвозмездно, то есть бесплатно J. Но при условии обязательной предварительной регистрации на сайте Учебного центра.
О чем будем рассказывать? Вот о чем:
·         Общая ситуация с просроченной дебиторской задолженностью в России.
·         Взаимодействие кредитора и взыскателя долгов с должником.
·         Передача третьим лицам сведений о должнике и согласие должника.
·         Обязанности лиц, взыскивающих долги.
·         Отказ должника от взаимодействия с кредитором и взыскателем.
·         Обращение кредитора и взыскателя к третьим лицам для взыскания задолженности и условия такого обращения.
·         Требования к коллекторам и их обязанности.
·         Ответственность за несоблюдение требований закона при взыскании задолженности.
Кому это может быть интересно? Безусловно, банкам и коллекторским агентствам (теперь они называются лицами, осуществляющими деятельность по возврату просроченной задолженности в качестве основного вида деятельности и должны быть включены в специальный реестр). Но не только им. Поскольку закон принят в целях защиты прав и законных интересов физических лиц и устанавливает правовые основы деятельности по возврату просроченной задолженности физических лиц, возникшей из денежных обязательств, то им должны руководствоваться операторы связи, предприятия ЖКХ и иные организации, взыскивающие дебиторскую задолженность с населения.
Так что милости просим на регистрацию и вебинар. Он уже совсем скоро.

5 октября 2016 г.

Информационная безопасность в трудовом договоре

1 января 2017 года вступают в силу изменения Трудового кодекса, касающиеся регулирования трудовых отношений в микропредприятиях. Суть их в том, что на микропредприятии трудовой договор может полностью или частично заменить локальные нормативные акты, содержащие нормы трудового права, такие, как правила внутреннего трудового распорядка, положение об оплате труда, положение о премировании, график сменности и прочие.
Для реализации этой новой нормы закона Правительство приняло Постановление от 27.08.2016 № 858, устанавливающее типовую форму трудового договора, заключаемого между работником и работодателем-микропредприятием.
Поскольку это первая известная мне типовая форма трудового договора, установленная нормативно, показалось интересным разобраться, а что же правительство думает о необходимости отражения в нем вопросов регулирования отношений, связанных с информационной безопасностью, в частности, с персональными данными, коммерческой тайной и секретами производства.
В ходе проектов нашего агентства периодически возникают дискуссии с юристами и кадровиками заказчиков относительно необходимости включения в трудовой договор положений об обработке персональных данных, иногда – исключительных прав на создаваемые работником результаты интеллектуальной деятельности. С коммерческой тайной все ясно, вопросов нет. Императивная норма пункта 4 части 1 статьи 10 Федерального закона «О коммерческой тайне» однозначно требует, чтобы отношения с работниками по использованию информации, составляющей коммерческую тайну, регулировались трудовыми договорами, и спорить тут не о чем.
Хотя законом «О персональных данных» и ТК РФ это и не требуется, целесообразно про персональные данные в трудовом договоре писать, поскольку статья 9 ТК РФ предусматривает, что регулирование трудовых отношений может осуществляться путем заключения, изменения, дополнения работниками и работодателями коллективных договоров, соглашений, трудовых договоров, а глава 14 ТК РФ прописывает требования к этим отношениям в части обработки персональных данных.
На мой взгляд, принятая форма типового договора подтверждает мою правоту. В ней персональные данные упоминаются трижды:
·       работнику предоставлено право на защиту своих персональных данных в соответствии с требованиями законодательства РФ;
·       работодателю вменено в обязанность осуществлять обработку и обеспечивать защиту персональных данных работника в соответствии с законодательством РФ;
·       работник в трудовом договоре дает свое согласие на обработку работодателем его персональных данных, необходимых для трудовых отношений.
А вот к содержанию этих норм трудового договора у меня большие вопросы. Начну с конца. Работодателю вовсе не нужно согласие работника на обработку персональных данных, необходимых для трудовых отношений, поскольку такая обработка необходима: (а) для достижения целей, предусмотренных законом (Трудовым кодексом, в частности) и для осуществления и выполнения возложенных законодательством РФ на работодателя как оператора функций, полномочий и обязанностей (пункт 2 части 1 ст.6 152-ФЗ); (б) для исполнения трудового договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Кроме того, статья 88 Трудового кодекса вводит обязанность получить согласие работника в письменной форме на передачу его персональных данных третьим лицам, в том числе в коммерческих целях. С такой необходимостью сталкивается каждая организация при направлении работников в командировки, на обучение, при приобретении для них проездных документов и бронировании гостиниц и т.п. Согласие в типовом договоре не заменяет согласия в письменной форме, поскольку не содержит обязательных сведений, предусмотренных частью 4 статьи 10 закона «О персональных данных».
Непонятно, зачем указывать в трудовом договоре обязанность работодателя обеспечивать обработку и обеспечивать защиту персональных данных работника в соответствии с законодательством РФ, так как она уже вменена ему в обязанность законодательством.
А вот про создание работнику условий, обеспечивающих конфиденциальность обрабатываемых персональных данных, что может сделать только работодатель, в типовом договоре ничего нет. Как и про периодичность ознакомления работника с обрабатываемыми данными о нем, право работника требовать их уточнения, если они неактуальны, или уничтожения, если они не соответствуют целям, установленным статьей 86 Трудового кодекса и про иные очень важные вопросы взаимных обязательств.
Ни слова нет и про коммерческую тайну и секреты производства, права работодателя и работника на результаты интеллектуальной деятельности, полученные в ходе трудовой деятельности.
Зато типовой договор предусматривает осуществление работы путем обмена электронными документами с использованием усиленной квалифицированной электронной цифровой подписи или без нее. Разработчики документа, видимо, не знали, что термин «электронная цифровая подпись» не используется с момента вступления в силу Федерального закона 63-ФЗ. Не очень понятно, почему допускается дистанционная работа без использования электронной подписи, в то время как статья 312.1 Трудового кодекса предписывает взаимодействие дистанционного работника и работодателя путем обмена электронными документами с использованием усиленной квалифицированной электронной подписи.
Это положение еще раз возвращает нас к коллизии Трудового кодекса, пункт 6 статьи 86 которого запрещает работодателю при принятии решений, затрагивающих интересы работника, основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения, а статья 312.2 предусматривает заключение трудового договора о дистанционной работе путем обмена электронными документами, для чего документы, предусмотренные статьей 65 Трудового кодекса, могут быть предъявлены работодателю лицом, поступающим на дистанционную работу, в форме электронного документа.
Типовой договор предусматривает отсутствие у работника трудовой книжки и допускает, что сведения о дистанционной работе в трудовую книжку могут не вноситься.
В целом документ показался, безусловно, полезным, однако вопросов он оставляет много. Начало типовым договорам положено, что уже хорошо…

22 августа 2016 г.

Про резервное копирование, обязательность требований и сертификацию

Информация для тех, кто ценит надежность
При обеспечении информационной безопасности проблемы целостности и доступности информации возникают гораздо чаще, чем проблемы обеспечения ее конфиденциальности. Связано это с тем, что конфиденциальность не требуется в отношении большого количества информационных ресурсов, в том числе созданных для неограниченного доступа, раскрытия и опубликования информации, в рекламных целях и т.д. Для таких информационных систем критичными являются именно целостность и доступность информации, реализуемые в рамках процессов обеспечения непрерывности и катастрофоустойчивости бизнеса. Наиболее важным компонентом этих процессов являются системы резервного копирования и восстановления информации.
Написал большую статью про проблемы резервного копирования, требования законодательства, касающиеся этого процесса, необходимость сертификации таких средств https://go.veeam.com/wp-necessity-fstec-certified-data-backup-ru.html.
В статье анализируется, какие угрозы нейтрализует системная организация резервного копирования, каким образом осуществляется государственное регулирование резервного копирования и восстановления информации, для каких видов деятельности требования к резервному копированию выдвинуты в законах и иных нормативных правовых актах, когда и почему средствам резервного копирования нужен сертификат ФСТЭК России, решает ли проблемы выполнения нормативных требований использование программ резервного копирования, включенных в единый реестр отечественного программного обеспечения.

10 августа 2016 г.

Как Минздрав своим приказом Семейный кодекс подправил

Если помните, 21 апреля этого года Президент России, по итогам специальной программы «Прямая линия с Владимиром Путиным», дал ряд поручений, среди которых было и поручение Минздраву России обеспечить методическое сопровождение субъектов РФ при «организации при возможности посещений родственниками пациентов, находящихся на лечении в отделениях анестезиологии-реанимации медицинских организаций».
Граждане, которые не могли пробиться через врачебно-медсестринские кордоны к своему тяжело больному родственнику, другу или учителю, попавшим в реанимацию, просили как-то пересмотреть запретительный подход и дать возможность поддержать близкого человека, а иногда и находиться с ним в последние часы его жизни.
И вот 30 мая Минздрав разослал письмо № 15-1/10/1-2853, в котором предложил неукоснительно руководствоваться приложенными к письму «Правилами посещения родственниками пациентов в отделениях реанимации и интенсивной терапии (реанимации)» и рекомендуемую форму памятки для посетителей, с которой они должны ознакомиться перед посещением своего родственника в отделении реанимации и интенсивной терапии (ОРИТ).
Поскольку речь идет о вопросе очень деликатном и, к сожалению, рано или поздно касающемся практически каждого, не могу не прокомментировать.
В этой самой памятке есть п.7, в соответствии с которым посетители, не являющиеся прямыми родственниками пациента, допускаются в ОРИТ только в сопровождении близкого родственника (отца, матери, жены, мужа, взрослых детей). Кроме того, пункт 6 Правил вообще запрещает посещать пациентов ОРИТ детям в возрасте до 14 лет.
Читая это, я в который раз подумал: «Почему я, простой блогер с небольшим количеством читателей, готовя пост, держу открытыми несколько страниц сети с текстом документов, о которых я рассказываю, и перепроверю каждую фразу, а чиновники, читающие и выпускающие в свет нормативные и методические указания, в том числе «разработанные внештатными специалистами Минздрава и специалистами федеральных государственных медицинских учреждений», не считают нужным читать законы?». И это при наличии в министерствах и ведомствах штатных юристов.
Уважаемые министерские! Российское законодательство ничего не знает про прямых, а также кривых родственников. Муж и жена – не родственники совсем. Понятие близких родственников совершенно конкретно определено статьей 14 Семейного кодекса РФ. Это родственники по прямой восходящей и нисходящей линии (родители, дети, дедушка, бабушка и внуки, полнородные и неполнородные (имеющие общих отца или мать) братья и сестры.
Второй вопрос. Кто дал вам право решать, кого пускать, а кого не пускать к больному? Может быть, у человека нет в живых перечисленных вами в Письме и памятке родственников и супругов, и они не могут сопровождать к больному братьев, сестер, дедушек или внуков, с которыми больной очень близок, и общения или прощания с которыми вы его лишаете даже не нормативным правовым актом, а каким-то письмом? Я уже не говорю про гражданских супругов, с которыми прожиты многие годы, близких друзей, которые могут быть последними родными душами одиноких, да и не только одиноких людей.
И, наконец, почему в ваших не замечательных документах ничего не говорится про волю и желание или нежелание больного видеть кого-то рядом со своей кроватью в реанимации в эти тяжелейшие минуты своей жизни? Может, разрешенный к посещению вашими правилами муж давно не живет с супругой и пришел выбить из нее завещание, воспользовавшись ее болезнью?  И убьет ее своим разговором в вашей больничке? Или, наоборот, пациент, находящийся в сознании, хочет видеть кого-то очень близкого, не попавшего в ваш разрешительный список, и совсем не в сопровождении близкого родственника?
Будьте людьми. Поставьте себя на место больных, их родственников, и не только близких, друзей, сослуживцев, адвокатов, душеприказчиков, может быть, вы по-новому взглянете на бюрократические правила и их оправданность, а также пользу для больного.
Не навреди!