28 декабря 2011 г.

2012 год: пожелания


Уважаемые читатели блога, партнеры, клиенты, заказчики и просто хорошие люди, с которыми мы работаем и надеемся поработать!
С Новым 2012 годом всех Вас!
Удачи, новых свершений и новых успехов в Новом году!
Надежных партнеров, добросовестных поставщиков, компетентных и опытных консультантов, грамотных и интересных преподавателей!
Доброжелательных и объективных проверяющих, понимающих и вникающих контролирующих, мудрых помогающих!
Здоровья для реализации всех планов и задумок!
И отличного настроения!
Искренне Ваши «Емельянников, Попова и партнеры»

22 декабря 2011 г.

Блуждая между Трудовым кодексом и ФЗ-152: сведения о состоянии здоровья работника

Наши думцы вот уже шесть лет не могут привести законодательство о персональных данных к единому знаменателю. Приняв в первом чтении 25 ноября далекого уже 2005 года проект федерального закона № 217355-4 «О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и ФЗ «О персональных данных», дальше парламентарии сдвинуться так и не смогли. 24 февраля 2009 года проект был в очередной раз направлен Президенту РФ, в комитеты и комиссию Госдумы, Правительство РФ, Верховный Суд РФ с просьбой представить новую порцию поправок к 30 апреля 2009 года. Давно прошел и этот срок, а воз и ныне…
Между тем, по оценке Роскомнадзора, вопросы обработки персональных данных так или иначе затрагивают 75 международных договоров, подписанных Россией, 13 кодексов, более 100 законов и 250 актов Правительства. И далеко не все вопросы в них трактуются одинаково.
И пока все эти документы не гармонизированы, плутать в их лабиринте приходится самим, анализируя, сопоставляя и пытаясь и закон не нарушить, и жизнь не остановить.
В последнее время я писал о противоречиях законодательства о персональных данных и особенностях его применения, связанных с отнесением сведений к биометрическим данным, созданием общедоступных справочников и размещением баз данных на интернет-сайтах, специфике реализации требований в сбытовых компаниях, интернет-магазинах и образовательных учреждениях.
В сегодняшнем посте – одна из двух проблем, с которой сталкиваются все без исключения операторы персональных данных (читай – предприятия и организации) страны: обработка сведений о состоянии здоровья работника. Вторая, о возможности получения и использования персональных данных близких родственников работника, будет рассмотрена в следующий раз.
Обрабатывать сведения о состоянии здоровья своих работников любой работодатель просто вынужден – без листков нетрудоспособности ни в одном кадровом органе и бухгалтерии не обойтись, а многие еще и вынуждены проводить медицинское освидетельствование персонала перед допуском их к выполнению работы – водителей, пилотов и много кого еще. Есть еще вопросы, связанные с ограничением трудоспособности, инвалидностью и т.п.
Как известно, сведения о состоянии здоровья относятся к специальной категории персональных данных, и их обработка возможна или с согласия субъекта в письменной форме, или в случаях, прямо предусмотренных ФЗ-152. Таких случаев совсем немного, и применительно к деятельности кадрового органа и бухгалтерии предприятия, они сводятся всего к двум:
·      обработка персональных данных в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
·      обработка персональных данных в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
А что по этому поводу гласит трудовое законодательство? Трудовой кодекс запрещает запрашивать информацию о состоянии здоровья работника, за исключением сведений, относящихся к вопросу о возможности выполнения работником трудовой функции. Т.е., если стоит вопрос о выполнении трудовых обязанностей или возможности невыхода на работу, – запрашивать сведения можно.
Что ж, уже что-то.
Из сопоставления норм ФЗ-152 и ТК РФ делаем вывод: сведения о состоянии здоровья, относящиеся к возможности выполнения трудовой функции (инвалидность, временная нетрудоспособность, беременность, соответствие параметров здоровья допустимым при решении вопроса о допуске к работе) работодатель обрабатывает законно, и никаких специальных, тем более письменных, согласий работников на это не нужно.
А вот если работодатель организует, например, диспансеризацию, и хочет познакомиться с ее результатами, сделать это без согласия работников никак нельзя. Исключения могут быть допущены только для работников, обязанных иметь санитарные книжки, – персонала медицинских и детских учреждений, продавцов и т.п. или требующих обязательного медицинского освидетельствования или осмотра – водителей, летного и судового состава, работников железнодорожного транспорта и т.д.
В остальных случаях ответственность за незаконную обработку специальных категорий персональных данных будет нести как работодатель, так и медицинское учреждение, предоставившее эти сведения. Пример – привлечение по представлению прокуратуры к ответственности по ст.13.14 КоАП Горно-Алтайским городским судом главврача районной больницы, который передал на предприятие сведения о диагнозах его работниц после прохождения ими медосмотра.

12 декабря 2011 г.

Биометрические персональные данные: что это?

После выхода информационного письма № 5 Ассоциации российских банков, в подготовке которого принимал участие и я, в ИБ-блогах Рунета активно обсуждаются отдельные его положения, в частности, у Игоря Бурцева, у Алексея Волкова, у Алексея Лукацкого, у BSAT devteam, наверное, где-то еще.
Не имея возможности участвовать в обсуждении проблем в каждом из этих мест, хотел бы высказать свою точку зрения только по одному из рассматриваемых в письме вопросов – относительно отнесения фотографических изображений к биометрическим персональным данным.
В письме АРБ разъясняется, что «фотография или видеозапись, на которой запечатлен человек, могут считаться биометрическими данными (является носителем биометрических ПДн) только в том случае, если они представлены в электронном виде и получены с применением специальных технологий и технических средств, позволяющих выполнять определенные требования, предъявляемые к форматам записи изображения (например, в случае фотографии установленные ГОСТ Р ИСО\ МЭК 19794-5-2006)».
При глубочайшем уважении к экспертам, подготовившим это разъяснение, и чиновникам, создавшим почву для него, категорически не могу с ним согласиться. И вот почему.
Основанием для такого критерия отнесения к биометрии, как соответствие ГОСТу, в письме № 5 называется ответ Роскомнадзора на запрос ЗАО «Коммерцбанк» от 05.04.2010 № ПК-05728.
Обратите внимание на дату письма. Направлено оно до принятия ФЗ-261 25.07.2011, который в новой редакции ФЗ-152 уточнил понятие биометрических персональных данных, регулируемых данным законом. Последние слова – ключевые. Мы сейчас говорим именно о тех данных, обработка которых регулируется ФЗ-152. А на самом деле их может быть гораздо больше, и признаки отнесения к ним надо искать совсем в других законах – о геномной и дактилоскопической регистрации, об основах здравоохранения, о въезде-выезде и т.д. В законе о персональных данных установлено три важнейших критерия, при соответствии которым обработку этой категории данных надо строить именно по ФЗ-152.
Биометрические персональные данные, обработка которых регулируется ФЗ-152, это данные:
·         которые характеризуют физиологические и биологические особенности человека;
·         на основе которых можно установить его личность;
·         которые используются оператором для установления личности субъекта персональных данных.
Все. Точка. Ни про какие ГОСТы в законе нет и не может быть ни слова. По одной простой причине. В соответствии с ФЗ «О техническом регулировании», стандарт – это документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов эксплуатации, хранения,  выполнения работ или оказания услуг. Стандарт также может содержать правила отбора образцов, требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.
И здесь ключевое слово – добровольного. Это подтверждено и в ст.12 данного закона: «Стандартизация осуществляется в соответствии с принципами добровольного применения документов в области стандартизации». Поэтому относить или не относить те или иные вопросы к регулируемым федеральным законом на основании положений ГОСТа никак нельзя.
Далее. Национальные стандарты могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов. Вот будет техрегламент по биометрическим данным – все станет просто.
Поэтому нет никаких оснований не считать биометрическими персданными фото в системе контроля управления доступом (СКУД), которые так модно стало ставить в офисах и на предприятиях. И СКУД, где есть фамилии работников, – это ИСПДн со всеми вытекающими. И если ФИО нет – тоже, но класса К4, поскольку произведено обезличивание персональных данных, и в системе невозможно определить принадлежность персональных данных конкретному субъекту без использования дополнительной информации.
Скан паспорта – тоже носитель биометрических персональных данных, обрабатываемых вне ИСПДН, но находящийся в систематизированном собрании банка, например, и поскольку существует четкий алгоритм поиска этих данных, их хранение или любая другая обработка подпадают под действие ФЗ-152. И фото в личном деле тоже, даже если его сделал фотограф, никогда не слышавший про ГОСТ, ИСО и МЭК. По той же причине – характеризует физиологические особенности, используется для идентификации и находится в систематизированном собрании.
Собственно, если посмотреть акты и предписания надзорных органов, именно это в них и пишется.
Можно затеять длинный спор про пропуска с фото (используются для идентификации, но находятся вне систематизированных хранилищ/картотек, непосредственно у работника), но это отдельная песня.
Так что я не стал бы обольщаться и откладывать проблему с фото в долгий ящик, надеясь на то, что все проверяющие согласны с позицией уважаемого профессионального сообщества. Особенно если это происходит не в банке, а на заводе или в турфирме, где заступиться за оператора, кроме суда, некому.
Мне кажется, в данном случае проще выполнить закон.

8 декабря 2011 г.

Как уберечь персональные данные: рецепты для энергосбыта

Все по классику, по графу Льву Николаевичу. Все семьи счастливы одинаково, каждая несчастная семья несчастлива по-своему. Как только начинаешь углубляться в проблемы реализации законодательства о персональных данных (ПДн) в конкретной области деятельности, всплывает масса нюансов  и противоречий. Есть свои особенности и в области энергосбыта.
О том, какие проблемы возникают на пути реализации законодательства о персональных данных у энергосбытовых компаний и как их можно решить, о последовательных шагах на пути достижения соответствия требованиям законодательства, об особенностях, связанных с наличием оснований на обработку ПДн определенных категорий субъектов, об обеспечении конфиденциальности персданных в компаниях отрасли, о проектировании и построении системы их защиты, решении проблемы "зоопарка" применяемых средств защиты и их совместимости и пр. – в новой статье на портале CNews.
Полностью статья «Защита персональных данных в организациях ТЭК» опубликована компанией «Код безопасности» здесь.

1 декабря 2011 г.

Коммерческая тайна: кругом-МАРШ!

Складывается впечатление, что область использования института коммерческой тайны в последнее время неуклонно сокращается, причем происходит это на государственном уровне. При этом нельзя сказать, что государство стремится к тайнам частного бизнеса, ограничивая права владельцев информации на отнесение сведений к категории коммерческих секретов. Никакой очевидной логики увидеть не удается, а факт остается фактом.
Началось это еще 1 января 2008 г., когда вступили в силу Четвертая часть Гражданского кодекса и новая редакция ФЗ «О коммерческой тайне».
Одним росчерком пера законодателей были введены три тождества:
  • Информация, составляющая коммерческую тайну = ноу-хау
  • Информация, составляющая коммерческую тайну = секрет производства (оба равенства – в ФЗ «О коммерческой тайне)
  • Секрет производства = ноу-хау (в 4-й части Гражданского кодекса).
Сделано это было с присущей нашим законодателям элегантностью и, одновременно, иезуитством.
В ФЗ «О коммерческой тайне» (98-ФЗ) используются две конструкции: в ст.1 - «в отношении информации, составляющей секрет производства (ноу-хау)» и в ст.3 «информация, составляющая коммерческую тайну (секрет производства)».
В 4-й части ГК РФ два равенства сокращены до одного в ст.ст.1225 и 1465: «секрет производства (ноу-хау)».
Из этих пассажей всякому, изучавшему арифметику Магницкого, формальную или математическую логику (что-нибудь одно на выбор), ясно, что:
Информация, составляющая коммерческую тайну (ИКТ) = секрет производства = ноу-хау.
Причем всем трем понятиям (зачем три?) и в ГК РФ, и в 98-ФЗ дается одно и тоже определение: «сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны».
А теперь вопрос: может ли иметь коммерческую тайну организация, не ведущая производственную деятельность? С одной стороны, очевидно, что да: информация-то любая, в том числе организационного и экономического характера.
А с другой стороны секрет производства все-таки.
На всякий случай, дабы в суде не закопали, обладатели исключительных прав на секреты свои перечни ИКТ почистили.
Дальше – больше. Раньше вопросы о допуске аукционеров к ИКТ решались просто.
Например, из Постановления Федерального арбитражного суда Уральского округа от 07.09.2000 г. по делу № Ф09-1246/2000-ГК (иск ОАО «СаСКо-стокс» к ОАО «Уралсвязьинформ» о предоставлении копий документов бухгалтерского учета): «В предоставлении информации, составляющей коммерческую тайну, есть ограничения. Следовательно, АО вправе не допускать своих акционеров к документам, которые составляют коммерческую тайну». Просто и ясно.
Но уже в 2006 г. сразу два арбитражных суда обязали раскрыть данные бухгалтерского учета владельцам пакетов, состоящих более чем из 25% акций, исходя из неограниченности права акционеров на доступ к информации, предусмотренной п.1 ст.91 и п.1 ст.89 закона «Об акционерных обществах».
Дело с бухгалтерской отчетностью законодатели довели до логического конца.
22 ноября этого года Дума приняла, а 29 ноября Совет Федерации одобрил и направил на подпись Президенту новую редакцию ФЗ «О бухгалтерском учете». В новой редакции из ст.10 бесследно исчезла часть 4, гласившая, что «содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности является коммерческой тайной. Лица, получившие доступ к информации, содержащейся в регистрах бухгалтерского учета и во внутренней бухгалтерской отчетности, обязаны хранить коммерческую тайну». Более, в ч.11 ст.13 появился новый императив, перечеркивающий всю предшествующую практику: «В отношении бухгалтерской (финансовой) отчетности не может быть установлен режим коммерческой тайны». Опять – просто и ясно.
Я обещал рецепты.
Их по поводу изложенного два.
Первый. Тем, у кого установлен режим коммерческой тайны – пересматривайте перечни ИКТ. Наличие в перечне неохраноспособной информации может явиться основанием для оспаривания его в суде, а в случае принятия такого решения – основанием для признания неправомерности установленного режима КТ в целом со всеми вытекающими последствиями.
А второй – после продолжения темы.