30 июня 2011 г.

Писк души

Душа хотела крикнуть, но не смогла. На нее упало снятое с операторов персональных данных новой редакцией ФЗ-152 обременение и придавило напрочь, так что напоследок ей удалось только пискнуть. Видимо, не донесли снятое, и уронили прямо на нее, бедную. Вряд ли теперь стоит называть выносимую на второе чтение, судя по повестке, завтра, 1 июля, редакцию закона «поправками Резника», как все привыкли говорить за последний год. Теперь это не его поправки. То, к чему призывал Владислав Матусович в пояснительной записке и предлагаемых изменениях, снесено могучим ураганом новых редакций статей 18 прим, 19 и 22.
Противоречащих друг другу, местами – здравому смыслу, полностью – той цели, ради которой затевались изменения. Духу закона – тоже: они предполагают передачу уполномоченному органу (а судя по содержанию уведомления – и другим регуляторам тоже) персональных данных лиц, ответственных за безопасность, без всякого на то их согласия, но в случаях, прямо предусмотренных ФЗ-152 в новой редакции.
В повестку пленарного заседания на завтра законопроект попал. Докладывает не В.М.Резник, а В.Н.Плигин, который и настаивал на внесении законопроекта в данном виде. Неужели все-таки вынесут? Неужели все-таки примут? Во втором чтении? Сразу и в третьем? Неужели проигнорируют поручение Президента?
Ждать недолго. Душа истомилась. И даже больше не пищит. Пар вышел вместе с воздухом после обрушения обременений.
Кстати, завтра же во втором чтении принимается законопроект о внесении изменений в законодательство в связи с принятием ФЗ-294 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Текст, принятый в первом чтении, делал законным основанием для проведения внеплановых проверок заявления, жалобы, обращения и пр. субъектов персональных данных, органов власти и СМИ, причем без предварительного уведомления операторов, что предполагало внесение изменений в ФЗ-152. Если ничего не изменится, никаких законных оснований для внеплановых проверок соблюдения законодательства в области персональных данных, по-прежнему, не будет.
Чудны дела твои, Дума…

28 июня 2011 г.

Как рождаются сенсации

Накануне 1 июля - срока окончания работ по приведению порядка обработки персданных в соответствие с ФЗ-152 «О персональных данных» позитивные изменения коснулись и борьбы с незаконным распространением баз данных, которые все эти годы спокойно продавались где угодно, а теперь стали объектом пристального внимания спецслужб.
В ходе изъятия баз они активно осваивают возможности PR, предоставляемые интернетом, а наши журналисты, как обычно, делают из любого мало-мальски интересного информационного повода «настоящую» сенсацию.
Итак, сенсация. Сегодня, 28 июня, в 10:43 портал Газета.ru огорошил страшным сообщением: «В Москве изъяты более 15 тысяч баз данных, содержащих гостайну». Для тех, кто хоть немного знаком с особенностями охраны государственной тайны, – это новость, сшибающая с ног. Джулиан Ассанж и его Wikileaks стоят рядом и плачут кровавыми слезами зависти к торгашам с радиорынков. 15 тысяч баз с государственной тайной! Такого в России и СССР не было никогда.
Учитывая невероятность новости, срочно занялся декомпозицией событий.
Газета.ru ссылается на Interfax. Отнюдь не на первой странице этого новостного ресурса нахожу заголовок поскромнее: «Базы данных, содержащих гостайну и сведения о гражданах, изъяты в ходе спецоперации в Москве». Со ссылкой на пресс-службу ГУ МВД России по Москве, Interfax сообщает, что подразделениями московской полиции совместно с УСБ ФСБ России при силовой поддержке ОМОН проведена операция в торговых комплексах "Митинский радиорынок", "Царицыно" и "Савеловский", где изъято 2,5 тысячи электронных носителей с 15 тысячами баз данных, в которых содержалась персонифицированная информация о гражданах, а также сведения, составляющие государственную тайну.
Т.е. не 15 тыс. баз с гостайной, а всего 15 тыс. баз, среди которых есть и гостайна.
В новостной ленте сайта ГУВД Москвы www.petrovka-38.org об этом событии не нашел ни слова. Зато на сайте ФСБ еще 25 июня опубликован пресс-релиз «В Москве пресечена противоправная деятельность лиц, занимающихся распространением электронных носителей с информационными базами данных», в котором сообщается, что «по совокупности сведений, содержащихся на изъятых электронных носителях, выявляется не только персонифицированная информация о конкретном гражданине, но и данные о его семье, адресе проживания, личном автотранспорте, телефонах, местах работы и другие данные, разглашение которых потенциально несет угрозу не только личной безопасности граждан Российской Федерации, но и безопасности государства в целом. В связи с необходимостью устранения предпосылок к совершению противоправной деятельности, как продавцами указанной продукции, так и администрацией торговых комплексов, попустительствующей реализации баз данных на своей территории, мероприятия будут проводиться на всей территории Российской Федерации». И, что очень важно, проводится работа по локализации негативных последствий, связанных с реализацией подобных баз данных. Хотелось бы надеяться, что локализация приведет к выявлению каналов утечки.
Кстати, обо всей операции очень подробно рассказал и показал фото безымянный участник – сотрудник ОМОН.
Ну, и в заключение, что же отнесли авторы Газеты.ru (а до них никто этой информации не раскрывал) к государственной тайне. Читаем: «Сведения из Единого государственного реестра юридических лиц, идентификационные данные государственных структур». Ну, что такое идентификационные данные государственных структур и как они соотносятся с гостайной – оставим на совести журналистов. А вот про ЕГРЮЛ очень четко прописано в Федеральном законе ФЗ-129 «О государственной регистрации юридических лиц и индивидуальных предпринимателей». В части 1 ст.6 абсолютно четко написано: «Содержащиеся в государственных реестрах сведения и документы являются открытыми и общедоступными, за исключением сведений, доступ к которым ограничен в соответствии с абзацем вторым настоящего пункта». А во втором абзаце речь идет о реквизитах паспорта.
Вот такую нашли журналисты государственную тайну – открытую и общедоступную.
И такие у нас сенсации. 

27 июня 2011 г.

Неужели все-таки услышали?!

Первое совпадение всегда воспринимаешь как случайность. 13 июня запостил недоумение по поводу наличия независимо друг от друга существующих проекта В.М.Резника и поручения Президента о разработке нового варианта «О персональных данных», неопределенности ситуации и возможных вариантах развития событий. Ровно на следующий день Дума стремительно выложила законопроект ко второму чтению с рекомендацией принять его 17 июня сразу и в целом. Но о пикантности ситуации задумались, похоже, не только в Думе. И 17 июня законопроект не только не слушали, но решили его не слушать на весенней сессии вообще (если кто-нибудь из депутатов не найдет повод для внеочередного рассмотрения).
Совпадение, наверное.
Затем 16 июня посомневался насчет эффективности принимаемых мер по борьбе с продажей баз данных о гражданах. И вот уже 25 июня СМИ  сообщили о том, что на пресечение незаконной торговли нашими персданными поднялись не только МВД, Роскомнадзор и Прокуратура, но и ФСБ, причем об авторских правах госчиновников, которые меня очень удивили, никто уже не вспоминает, а борьбу планируется развернуть не только на четырех московских рынках, но и по территории всей страны.
Опять совпадение - греет. Может, все-таки будем говорить? «Ищите, да обрящете, стучите и отверзется вам». Не я это сказал.

24 июня 2011 г.

Поставщик ИСПДн о защите персональных данных и ФЗ-152: в каком мире он живет?

Похоже, тема параллельных миров в нашей замечательной стране для меня становится то ли трендом, то ли проклятием. Случайно наткнулся в Интернете на статью «Банки не созрели для соцсетей». Заинтересовался очередными откровениями очередного успешного менеджера – уж очень тема увлекательная.
Мария Бар-Бирюкова, директор направления Microsoft Dynamics CRM компании «КОРУС Консалтинг», делится с нами на сайте banki.ru своим видением сращивания систем дистанционного банковского обслуживания (ДБО) и социальных сетей. Такое впечатление, что активное обсуждения ФЗ-152 и проблем безопасности социальных сетей проходило в каком-то другом, недоступном ей мире.
После четырех с лишним лет действия Федерального закона «О персональных данных» от Марии мы сможем узнать:
·          что у нас есть закон о защите персональных данных. Мария, нет такого закона! Ну, загляните в «Консультант» или «Гарант», уж если даете интервью!  
·          что он вступает в силу 1 июля 2011 года. Мария, он действует вот уже 4 года и 5 месяцев! 1 июля истекает срок приведения информационных систем персональных данных (ИСПДн) в соответствие с законом. Если Вы не знаете,  система управления взаимоотношениями с клиентами (CRM) – это и есть ИСПДн в самом что ни на есть чистом виде. И в соответствии с «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 г. №781), «работы по обеспечению безопасности персональных данных при их обработке в информационных системах являются неотъемлемой частью работ по созданию информационных систем». То есть, строго говоря, именно на этапе внедрения CRM и должны приниматься меры по защите персональных данных;
·          что «этот закон также является препятствием для получения сведений без согласия человека». Вообще-то препятствием является Конституция РФ, в соответствии со ст.24 которой сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются;
·          что люди не всегда хотят, чтобы о них знали слишком много, особенно о том, что считают самым сокровенным, — о деньгах. Без этих откровений мы все наивно полагали, что люди всегда хотят, чтобы об их деньгах знали все. Совет Марии банкам «заботиться о максимальном удобстве, качестве, быстроте обслуживания клиента и безопасности его данных» выглядит ну просто открытием;
·          что «социальные сети – это прекрасный источник новой информации о клиентах, но при этом надо помнить, что информация из социальных сетей не всегда может быть достоверна, а ее некорректное использование приведет к нарушению закона о защите персональных данных, а также двух статей Уголовного кодекса (137-й и 272-й), не говоря уже о том, что репутация будет подмоченной». Очень интересно, как при получении информации из открытого источника (социальная сеть), выложенной самим субъектом персональных данных, деяние может быть квалифицировано как «незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия» (ст.137 УК) или, что еще более интересно, как «неправомерный доступ к охраняемой законом компьютерной информации» (ст.272 УК).
Вывод из всего этого просто потрясает своей глубиной: «Многие специалисты считают, что проблема «прайвеси» в Сети постепенно исчезнет, так как сохранением личных данных в неприкосновенности в основном озабочено старшее поколение пользователей, выросшее «до Интернета», а современная молодежь спокойно относится к интернет-прозрачности». То есть наступит коммунизм в самом что ни на есть классическом понимании: все станет общим. Деньги – тоже.
Хорошо бы поставщику ИТ-решений для бизнеса почитать законы и разобраться в вопросе, каким образом извлечение прибыли как основная цель деятельности его клиентов согласуется со «спокойным отношением» к Интернет-прозрачности их банковских счетов.

21 июня 2011 г.

Особенности обработки персональных данных при организации образовательного процесса

Тема образования партнерам нашего агентства всегда была как-то особенно близка. Несколько реализованных образовательных проектов и 10 лет непрерывного подъема известного учебного центра - у одного партнера, участие в Учебно-методическом объединении вузов РФ по образованию в области информационной безопасности, «подшефный» вуз – у другого. Из песни слова не выкинешь. Да и не хочется.
Поэтому приглашение выступить на eLearnExpo было воспринято почти как мобилизационная повестка. В выступлении были рассмотрены особенности обработки персональных данных обучаемых и требования к их защите в зависимости от исполнителя, места и формы обучения работников, основные проблемы, возникающие при организации этого процесса, документы Рособразования по обработке персональных данных. Было уделено внимание разным вариантам организации обучения – собственными силами, с привлечением сторонних организаций, дистанционно.
Как обычно, на таких мероприятиях, где люди, далекие от проблем информационной безопасности, неожиданно для себя втягиваются в тему, главный вопрос – презентацию дадите? Выставка и конференция достаточно давно закончились, а просьбы относительно презентации продолжают поступать. Для всех, кому интересно – презентация, подготовленная в Консалтинговом агентстве «Емельянников, Попова и партнеры» по проблемам обработки персональных данных при организации корпоративного, дистанционного (и не только) обучения для кадровиков, корпоративных университетов, юристов, специалистов по безопасности, ИТ-специалистов – словом, для тех, кому это нужно или интересно.
Те, кто хочет послушать поподробнее и живьем, может посетить 28 июня вебинар «Выполнение требований закона «О персональных данных» в образовательных учреждениях Российской Федерации», организованный компанией «Код безопасности» (регистрация предварительная).

19 июня 2011 г.

Детектив «ФЗ-152» становится многосерийным

17 июня, несмотря на рекомендации Думы, законопроект В.М. Резника, предлагающий радикальные изменения ФЗ-152 «О персональных данных» и значительную либерализацию  порядка обработки персональных данных, на заседание Думы вынесен не был. Если честно, что-то подсказывало, что так и будет, поэтому в недавнем посте и предлагал считать цыплят по осени. Осень не наступила.  И, похоже, раньше календарного срока и не наступит.
Того же 17 июня постановлением Государственной Думы № 5477-5 ГД был утвержден «Календарь рассмотрения вопросов Государственной Думой с 28 июня по 8  июля 2011 года», т.е. до конца весенней сессии. Второго чтения не предусмотрено и там.
Так что ждать придется осенней сессии, если, конечно, опять не произойдет чего-то экстраординарного.
Для справки. Хроника событий.
12 ноября 2009 в Думе зарегистрирован законопроект «О внесении изменений в Федеральный закон «О персональных данных», который, по оценке его автора В.М. Резника, данной в пояснительной записке, реализует подход к регулированию правоотношений в области персональных данных, рекомендованный в ходе Парламентских слушаний «Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных», прошедших 20.10.2009. На слушаниях и в принятом по их итогам документе предлагалось ну очень много всего разного, часть из предложений стали основой проекта. В паспорте к законопроекту появляется странная запись о том,  что заключения Правительства РФ на законопроект не требуется.
8 апреля 2010, до рассмотрения проекта на первом чтении, тем не менее появляется не заключение, но официальный отзыв Правительства Российской Федерации. Документ весьма интересный. Поддержка законопроекта Правительством обуславливается необходимостью учета при подготовке проекта ко второму чтения сформулированных в отзыве замечаний. Среди них – категорическое неприятие предложений по ограничению полномочий Правительства в части установления требований к обеспечению безопасности персональных данных (ч.2 ст.19 ФЗ-152). Между тем – это одно из главных и принципиальных нововведений законопроекта.
5 мая 2010, после нескольких переносов, законопроект был все-таки принят в первом чтении. Как обычно, предлагалось в течение 30 дней представить поправки к законопроекту.
Через 1 год, 1 месяц и 9 дней, 14 июня 2011, когда весенняя сессия близилась к закату, вдруг появилось предложение профильного комитета уже 17 июня принять законопроект во втором чтении и одновременно в целом, что тоже весьма характерно для заключительных заседаний Думы,  когда проектов остается очень много, а времени очень мало.
Спешка несколько странная, но не более того. И, казалось, впереди – хеппи-энд, победа либерализма и торжество «правильных идей».
Но вот, что очень важно – этому предшествовало подписание 2 июня 2011 Президентом РФ перечня поручений по итогам встречи с представителями интернет-сообщества, среди которых – уже широко обсуждавшееся, об ускорении приведение законодательства России в соответствие с требованиями Конвенции Совета Европы и устранение необоснованных обременений для операторов персональных данных.
Вот только актуальность этого поручения после принятия законопроекта Резника оценить было бы очень сложно.
Похоже, что так показалось не только мне.
Как было упомянуто выше, 17 июня законопроект на пленарку вынесен не был. Это же заседание приняло план работы до конца весенней сессии, куда законопроект тоже не попал. Есть, правда, возможность внеочередного рассмотрения.
Видимо, все-таки придется дождаться, пока Минкомсвязи-МВД-ФСБ выполнят поручение Президента, и сравнить редакции. Пленарные заседания Думы в рамках осенней сессии начнутся 5 сентября.
Кстати, в упомянутом перечне поручений Президента есть еще одно, за номером шесть, также касающееся персональных данных, но почему-то практически не обсуждаемое: «МИДу России передать депозитарию ратификационную грамоту о присоединении Российской Федерации к Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Срок – один месяц со дня вступления в силу федерального закона о внесении изменений в законодательные акты Российской Федерации, направленных на приведение их в соответствие с международными обязательствами Российской Федерации в сфере защиты персональных данных».
Для справки. Со дня принятия этого закона в первом чтении 21 июня скоро минует ровно … 5 лет и 7 месяцев. Срок предоставления поправок ко второму чтению дважды переносился – в 2007 и 2009. Учитывая, что принятие нового закона в любом варианте неизбежно потребует изменений законодательства, исполнения поручения № 6 придется, видимо, ждать. Как долго?
Детектив под названием «ФЗ-152», который так увлеченно читают вот уже четыре с лишним года, становится увлекательным сериалом. И в нем появляется политическая линия сюжета.

16 июня 2011 г.

Как прекратить торговлю персональными данными

В преддверии 17 июня началось активное обсуждение подготовленного ко второму чтению законопроекта Резника. Поскольку в опубликованном тексте уже ничего изменить нельзя, обсуждать его, как мне кажется, есть смысл уже после принятия. Поэтому сегодня – о другом.
С 9 июня по Интернету кочует перепечатываемая различными СМИ и новостными сайтами информация о рейде ГУВД Москвы и Роскомнадзора в ходе которого на «Горбушкином дворе» изъято 40 дисков «предположительно с базой зонального информационного центра ГУВД Москвы», которыми пыталось торговать неустановленное лицо.
Как сообщает уполномоченный орган по защите прав субъектов персональных данных, «по результатам проведенных мероприятий ГУВД по г. Москве в отношении владельцев торгового павильона возбуждено и направлено в суд дело об административном правонарушении по ст. 7.12 КоАП (нарушение авторских и смежных прав, изобретательских и патентных прав)». Текст во всех источниках практически идентичен, лишь «Ведомости» 14 июня дали свой комментарий к данному событию с привлечением юристов и представителей антипиратских организаций. 
В той же информации на сайте Роскомнадзора сообщается, что в ходе предыдущего рейда было изъято 180 дисков с «тематическими подборками» «Прописка», «Резюме 2009», «ГАИ + Полисы КАСКО и ОСАГО», «В Контакте», «Федеральная таможенная служба», «МОСКОМЗЕМ», «Перелёты авиарейсов Сирена», «Федеральный розыск», «Пенсионный фонд», «Роспотребнадзор» и др. Между тем, подобные новости рождают целый ряд вопросов, которые издания, распространяющие новость, почему-то не задают.
Первый вопрос, простой и очевидный – причем здесь ст.7.12 КоАП, авторские и смежные права? Если база установлена лишь «предположительно», чьи конкретно авторские права нарушены? И даже если ее создатель известен – разве у лиц, внесших в нее записи об адресах граждан и их судимостях, возникают авторские права? Или нарушено авторское право ГУВД Москвы? Его ЗИЦ? Чего только не узнаешь…
Второй вопрос тоже достаточно очевидный. Логично было бы предположить, что контрольные и надзорные органы примут меры к установлению источников утечки персональных данных, виновных в этом лиц, оценке разумности и достаточности принимаемых мер защиты и всего прочего. Тем более, что проведенные проверки привели к существенному повышению активности прокурорского надзора («Прокуратура г. Москвы сообщила Роскомнадзору об инициировании сбора от районных прокуроров информации, касающейся состояния законности и прокурорского надзора в сфере исполнения законодательства о персональных данных» - из той же публикации Роскомнадзора). Но об этом – ни слова. Прокуратура тоже собирается заниматься деятельностью только Царицынского, Савеловского, Митинского рынков и ТК «Горбушкин двор». А вовсе не полицией, из которой утекли сведения о судимостях (ЗИЦ), регистрации автомобилей (ГАИ) и лицах, находящихся в розыске («Федеральный розыск»). Или, например, ФМС (подборка «Прописка»).
Т.е. лечить в который раз предлагается не болезнь, а симптомы.
Между тем, закон и Постановление Правительства № 781-2007 г. обязывают надзорные органы заниматься именно болезнью. Так, ст.19 ФЗ-152 требует от ФСБ и ФСТЭК проверки обязательных требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а ст.23 предписывает Роскомнадзору принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона. Логично было бы предположить, что в госорганах, откуда данные утекли, их обработка не соответствует обязательным требованиям и осуществляется с нарушением закона. 
А Постановление Правительства № 781-2007 г. требует от операторов проведения разбирательств и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, которые могут привести к нарушению их конфиденциальности, разрабатывать и принимать меры по предотвращению возможных опасных последствий подобных нарушений.
Может, именно в эту сторону надо направить энергию контролирующих и надзирающих? И тогда торговать на рынках будет нечем.

13 июня 2011 г.

Все смешалось в доме Облонских

Рунет подозрительно молчит. А между тем, на ниве персданных появились какие-то новые и неожиданные всходы.
После загадочного заявления о наличии у Минкомсвязи собственного варианта ФЗ-152 «О персональных данных» и безуспешных поисков его следов в Думе повторное внесение законопроекта  «через Президента» потеряло всякий смысл. Если чего-то нет, его надо создать! Быстро, как никогда, появляется поручение Президента от 2 июня «Ускорить приведение законодательства Российской Федерации в соответствие с требованиями Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных», предусмотрев устранение необоснованных обременений для операторов персональных данных».
Выбор исполнителей этого поручения как-то озадачил. Относительно непосредственного руководителя главного защитника прав субъектов г-на Ситникова, министра всея связи и коммуникаций Щеголева и руководителя уполномоченного органа в области безопасности Бортникова особых вопросов нет – их ведомствам (или находящимся в их глубине структурам) законам нарезаны определенные обязанности, права и полномочия. А вот как в этой компании модернизаторов закона оказалось МВД и его руководитель – большой вопрос. Что это? Радикальная смена парадигмы? Новое течение? А что, собственно, должно по этому поводу предложить МВД, функции которого в реализации прав субъектов равны нулю? Активизировать применение ст.137 УК, карающей за незаконный сбор сведений о частной жизни граждан? Или установить новый порядок  проверки персданных южных гастарбайтеров при входе в московское метро? Ну, прост-таки революция!
Вызывает также вопросы требование о приведении нашего законодательства в соответствие с Конвенцией Совета Европы. Весь пафос ФЗ-152 был как раз в том, что мы ее ратифицировали и приняли локальный закон, обеспечивающий правоприменение Конвенции в России. Ан нет?
Масло в огонь подливает заверение общественности со стороны помощника Президента г-на А. Дворковича о том, что больше переносов сроков приведения ИСПДн в соответствие закону (уж какому есть) не будет, если верить Twitter.
Так что вырисовывается новый сценарий. Законопроект Резника – под сукно (или в долгий ящик), срочное создание нового проекта правительства с участием трех указанных выше структур (возможно, не только их), отсутствие отсрочек. При этом, несмотря на явное признание несовершенства закона и наличие обременений для операторов, на второе полугодие проверки защиты персданных в ИСПДн по линии ФСТЭК запланированы и в сводном плане Генпрокуратуры есть. И органы ФСБ тоже предусмотрели проверки «выполнения оператором персональных данных требований по обеспечению безопасности информации с применением шифровальных (криптографических) средств», например, в Управлении Роскомнадзора по Хабаровскому краю. А вот про административные регламенты проверок ФСБ и ФСТЭК пока не слышно.
Сложная закручивается интрига.

10 июня 2011 г.

Сбербанк разрабатывает банкоматы со встроенным детектором лжи

Прочел про новые банкоматы со встроенными детекторами лжи. Ужаснулся. Проверил календарь. Не 1-е апреля. Огорчился. А теперь, по сути, и к слову для планирующих использовать «банкоматы с детекторами лжи».

Принятие решения, порождающего юридические последствия для субъекта персональных данных на основании исключительно автоматизированной их обработки, запрещено ФЗ-152 «О персональных данных», если гражданин не дал письменное согласие на принятие такого решения. Хорошо бы новому банкомату и письменное согласие у субъекта запрашивать.

5 июня 2011 г.

Персональные данные: технари наконец-то передают эстафетную палочку юристам

Встречи с  представителями российских банков на семинаре «Сложные проблемы применения законодательства о персональных данных в кредитно-финансовых учреждениях» подтверждают вывод, сделанный ранее и ставший причиной создания этого семинара – проблема соответствия российскому законодательству о персональных данных медленно, но уверенно выводится из ведения специалистов по информационной безопасности и уходит к профессиональным юристам. Т.е. то, что выглядело наиболее логичным с момента принятия закона, со значительным опозданием, но все-таки происходит.
Отбросив явно завышенные требования регуляторов к технической защите в их первых нормативно-методических документах, можно спокойно констатировать, что ничего принципиально нового с точки зрения механизмов защиты информации от операторов никто и не требует. Камнем преткновения остается обязательность сертификации СЗИ, особенно на отсутствие недекларируемых возможностей (НДВ). Но Постановление Правительства № 330-2010, фактически единственный нормативно-правовой акт, где прямо говорится об обязательной сертификации, так и не стало доступным, и большинство операторов махнули на него рукой – невидимый объект не существует. А сертификация на отсутствие НДВ с легкой руки Банка России, движение которой оставило яркий след в СТО БР ИББС, обходится просто и элегантно – по формальным признакам ИСПДн относится к специальным, и тогда вопрос об отнесении ее к конкретному классу является предметом бесконечной дискуссии, поскольку регуляторы ничего внятного по этому поводу так и не сказали. Любое экспертное мнение имеет право на жизнь, но это все-таки не более чем мнение одного конкретного человека.
Все остальное решается более или менее просто, продуктов на рынке достаточно, есть известные «дыры» в требованиях типа проблем безопасности в виртуальной среде или при терминальном доступе, но они существуют и без персональных данных, и решать их так или иначе придется все равно.
С правовыми проблемами гораздо хуже. Они оставались в тени, несмотря на периодические вопли технарей, а сейчас стали выдвигаться на первый план, во многом – благодаря активности Роскомнадзора и его территориальных управлений.
Надо ли получать согласие пациента районной больницы на обработку его персональных данных? Если да, то кому? В каких отношениях с точки зрения ФЗ-152 находится средняя школа, ее ученики и их родители? Должен ли банк иметь подтверждаемое согласие на обработку персональных данных плательщика и получателя при отплате товаров и услуг без открытия банковского счета?  Надо ли и можно ли уведомлять выгодоприобретателя по вкладу об обработке его персональных данных банком, если на это нет согласия вкладчика? Является ли медсестра, вносящая под диктовку врача сведения в историю болезни, «лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну»?
Вопросы, первоначально обрушившиеся на совершенно не готовых к ним специалистов по информационной безопасности, наконец-то стали обсуждаться юристами. В последнее время на моих семинарах в среднем был только один технарь из 20 участников-юристов или кадровиков. И очень здорово, что совместными усилиями с правоведами мы выяснили, что персональные данные клиентов банка ни в коем случае нельзя уничтожать в течение трех суток после прекращения договора о предоставлении банковских услуг, поскольку сроки исковой давности требуют их хранения в течение трех лет. Налоговый кодекс, если банк выполнял функции налогового агента, предусматривает четыре года хранения, а закон о противодействии отмыванию незаконно полученных доходов (115-ФЗ) предусматривает, что копии документов, необходимых для идентификации личности клиента банка, подлежат хранению не менее пяти лет со дня прекращения банком отношений с ним. Причем преждевременное уничтожение этих сведений может стать основанием для привлечения к административной и даже уголовной ответственности.
Мы выстроили схему ухода под законодательство об архивном деле для реализации принципа «Знай своего клиента» без нарушений ФЗ «О персональных данных» и придумали рецепты лечения многих других болезней или их симптомов, спровоцированных непроработанностью 152-ФЗ. Без острых, нелицеприятных вопросов правоведов это было бы невозможным. Есть описанные проблемы, есть формализованные пути их решения, объем которых с каждым новым семинаром растет.
Наступает время, когда пироги будет печь пирожник, а сапоги тачать сапожник. Ну, а те, кто успел освоить и то и другое, активно в процессах поучаствуют.