31 марта 2014 г.

Коммерческая тайна: «слона-то я и не приметил»

Пишу сегодня. Завтра посчитают за первоапрельскую шутку. А дела-то нешуточные. Событие, о котором – ниже, вызвало вялые комментарии коллег, которые сводились к мысли «редакцию поменяли, а так все по-старому». А вот и нет.
12 марта президент подписал Федеральный закон № 35-Ф3 с привычным в последнее время по стилю названием «О внесении изменений в части Первую, Вторую и Четвертую Гражданского кодекса Российской Федерации и отдельные законодательные акты Российской Федерации». Закон вступает в силу в большей своей части с 1 октября этого года и касается весьма серьезных изменений, связанных с регулированием отношений в области интеллектуальной собственности. Из всех изменений (в Word’е у меня получилось 48 листов 9-м кеглем) давайте посмотрим только на то, что связано с коммерческой тайной и секретами производства.
Кто помнит, с 1 января 2008 года вступили в силу Четвертая часть ГК РФ и новая редакция 98-ФЗ «О коммерческой тайне». Два акта предлагали нам порешать школьную задачку про тождество. В ГК не было «информации, составляющей коммерческую тайну», но зато «секрет производства» был приравнен к «ноу-хау». В новой редакции закона о коммерческой тайне вообще не упоминался ноу-хау, но зато тождественны были понятия информации, составляющая коммерческую тайну и секрет производства. В обоих случаях вывод о тождественности делался, исходя из того, что один термин указывался в скобках вслед за другим: «секрет производства (ноу-хау)» – в п.12 ст.1225 ГК РФ, «информация, составляющая коммерческую тайну (секрет производства)» – в п.2 ст.3 98-ФЗ. Их этого мы, как казалось, обоснованно, делали вывод:
секрет производства = ноу-хау = информация, составляющая коммерческую тайну.
Определения этих терминов в законе и кодексе были идентичными, несмотря на размер, позволю себе процитировать: «сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны». При этом ст.1465 в Четвертой части ГК была единственной, где упоминался режим коммерческой тайны.
Опять-таки, исходя из этого, специалисты, во всяком случае, все те, с кем я этот вопрос обсуждал, исходили из того, что коммерческие секреты, как их не назови, можно было защищать, только установив в отношении них режим коммерческой тайны, включая нанесение на все материальные носители одиозного грифа. С этой позиции судами различной юрисдикции и инстанций рассматривались споры, связанные с коммерческим секретами, при этом путаница с терминологией не мешала единой позиции судов: нет режима КТ – нет защиты исключительного права обладателя информации.
А теперь – внимание! Следим за рукой. Из новой редакции 98-ФЗ исчезло упоминание о секрете производства. Больше его в законе нет. Часть 1 ст.1 предусматривает теперь возможность установления, изменения и прекращения режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. Бросаемся к тексту ст.1465 новой редакции ГК и читаем, что сведения являются секретом производства, если их обладатель принимает разумные меры для соблюдения их конфиденциальности, в том числе путем введения режима коммерческой тайны. После принятия новой редакции логичным стала утрата силы ст.2 98-ФЗ, и теперь Гражданский кодекс больше не регулирует отношения, связанные с коммерческой тайной.
И еще нюансик (дьявол в деталях!). В определении секрета производства в ГК исчезли слова «в том числе», а в определении информации, составляющей коммерческую тайну, в 98-ФЗ – остались.
Из этого делаю выводы, которые, пока не пришел к иному выводу, склонен рассматривать как весьма не утешительные.
Тождество разрушено. Секрет производства и ноу-хау – не обязательно информация, составляющая коммерческую тайну (ИКТ), но могут стать такими, если в отношении них ввести режим. Но их же можно защищать и иначе, без режима (т.е. без трудовых и гражданско-правовых договоров, учета получивших доступ, перечня ИКТ и не нанося гриф на носители), но обеспечивая конфиденциальность. Как – обладатель решает сам. Вопрос защиты возникающего при этом имущественного (исключительного) права решается судом без анализа выполнения режимных мер, но, как представляется, исходя из их разумности и достаточности. А вот в отношении ИКТ, не являющейся секретом производства или ноу-хау, исключительного права у обладателя вроде бы теперь не возникает, потому как к результатам интеллектуальной деятельности отнесены только секреты и ноу-хау. Однако в 98-ФЗ появилась новая статья 6.1, описывающая права обладателя ИКТ без использования термина «исключительное право», но по содержанию почти полностью совпадающие с исключительными, определенными ст. 1229 ГК. Почти – потому что для обладателя ИКТ в законе не предусмотрена возможность распоряжения исключительным правом, как в ГК, а есть только право « в порядке, не противоречащем законодательству.
Формально теперь нет возможности передавать ИКТ третьим лицам по лицензионным договорам (ст1469 ГК), договорам коммерческой концессии и отчуждения исключительного права на секрет производства (ст.1468 ГК). Да и право «использовать для собственных нужд» как-то настораживает.
И еще. ИКТ – не только «сведения любого характера (производственные, технические, экономические, организационные и другие) о результатах интеллектуальной деятельности в научно-технической сфере и о способах осуществления профессиональной деятельности» (так теперь в ГК), но и сведения любого характера еще о чем-то, а о чем – в законе не написано.
Появившаяся у работника обязанность возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей, как-то плохо согласуется с трудовым правом. Убытки, по ГК, - это в том числе и упущенная выгода, а по ТК она взысканию с работника не подлежит, возмещается только прямой действительный ущерб. Тем более, что новая норма в отношении руководителя прямо предусматривает, что взыскиваемые с него убытки определяются в соответствии с гражданским, а не трудовым законодательством.
В очередной раз задумываешься о целях таких изменений закона. И постичь не можешь. Только начала практика правоприменения налаживаться…
А пока, в ожидании этой самой новой практики, буду клиентам советовать относить всё к секретам производства и устанавливать в отношении этих секретов режим коммерческой тайны. От греха подальше…

20 марта 2014 г.

Законодательство о персональных данных: что нового

В недавнем посте я уже писал, как много изменений происходит в законодательстве и практике правоприменения в сфере персональных данных. На этой неделе в Учебном центре «Информзащита» я в очередной раз проводил курс «Защита персональных данных», которому скоро исполнится семь лет. И, как положено ответственному преподавателю, перед проведением занятий актуализировал материал в связи с происходящими изменениями. Различного рода изменений оказалось совсем немало. В этом посте – о некоторых из них.
Почти незаметно и как-то без особого обсуждения специалистами в интернете в законах «О персональных данных», «О прокуратуре Российской Федерации» и «Об основах охраны здоровья граждан в Российской Федерации» появились новые нормы, дающие представителям прокуратуры практически неограниченные права доступа к персональным данным, а заодно к любой другой информации, охраняемой законом.
Выглядит соответствующее изменение в законе о прокуратуре следующим образом «Органы прокуратуры в связи с осуществлением ими в соответствии с настоящим Федеральным законом прокурорского надзора вправе получать в установленных законодательством Российской Федерации случаях доступ к необходимой им для осуществления прокурорского надзора информации, доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных». Изменения в законе о персональных данных почему-то коснулись не оснований для обработки этой категории сведений, а только специальных категорий – дополнение внесено в часть 2 статьи 10 закона.
Аналогично, без согласия субъекта, прокурорам предоставлены права доступа к информации, составляющей врачебную тайну (в законе «Об основах охраны здоровья граждан в Российской Федерации». Таким образом, теперь любая российская организация, получив запрос прокуратуры со ссылкой в нем на проводимое надзорное мероприятие, обязано предоставить все данные о любом гражданине, включая сведения о состоянии его здоровья, политических и религиозных убеждениях, наличии судимости и другие (если они известны адресату запроса). А вот к сведениям, составляющим банковскую тайну, у работников прокуратуры пока такого простого доступа нет.
Интересные изменения произошли с обработкой персональных данных москвичей при оказании им государственных и муниципальных услуг. В соответствии с законом от 05.04.2013 № 43-ФЗ с длинным названием «Об особенностях регулирования отдельных правоотношений в связи с присоединением к субъекту Российской Федерации - городу федерального значения Москве территорий и о внесении изменений в отдельные законодательные акты Российской Федерации», теперь правила оказания таких услуг и порядок обработки персональных данных, необходимых для этого, регулируются не законами «О персональных данных» и «Об организации предоставления государственных и муниципальных услуг», а этим новым законом. Законы о персональных данных и о предоставлении госуслуг действуют в Москве в части, не противоречащей 43-ФЗ. Высокая честь оказана москвичам – жить по особым правилам.
Заодно было устранено имевшееся противоречие между указанными выше двумя законами в части обработки персональных данных без согласия субъекта для регистрации на всех порталах государственных и муниципальных услуг, а не только на едином, как было раньше в 152-ФЗ.
К негосударственным пенсионным фондам и операторам связи, которые не обязаны получать согласия субъектов на передачу персональных данных в целях исполнения заключенного с ними договора прибавились наймодатели жилых помещений, управляющие организации, иные юридические лица или индивидуальные предприниматели, которым вносится плата за жилое помещение и коммунальные услуги. В соответствии с введенной Федеральным законом от 28.12.2013 № 417-ФЗ новой частью 16 статьи 155 «Жилищного кодекса», эти лица для осуществления расчетов с нанимателями и собственниками жилых помещений и взимания платы за них и коммунальные услуги могут привлекать своих представителей и передавать им необходимые для этого персональные данные без согласия субъектов.
31 января вступило в силу изданное Банком России Положение от 25.10.2013 года № 408-П «О порядке оценки соответствия квалификационным требованиям и требованиям к деловой репутации лиц, указанных в статье 111 Федерального закона «О банках и банковской деятельности» и статье 60 Федерального закона «О Центральном банке Российской Федерации (Банке России)», и порядке ведения базы данных, предусмотренной статьей 75 Федерального закона «О Центральном банке Российской Федерации (Банке России)», которое 26 декабря прошлого года зарегистрировано Минюстом. 
Положение, в частности, устанавливает формы анкет учредителей и кандидатов на руководящие должности банков, в которых среди прочего предусмотрено указание сведений о наличии судимости и иных оснований для признания деловой репутации неудовлетворительной (всего 9 оснований для учредителей и 13 – для руководителей), сведений о родственниках и иных персональных данных. Руководитель банка (единоличный исполнительный орган), члены совета директоров (наблюдательного совета) и кандидаты на такие должности не позднее 60 дней со дня вступления в силу Положения должны письменно уведомить кредитную организацию об их соответствии (несоответствии) квалификационным требованиям и (или) требованиям к деловой репутации, а банки не позднее 90 дней - направить эти уведомления в уполномоченное структурное подразделение центрального аппарата Банка России или территориальные учреждения Банка России, осуществляющие надзор за деятельностью кредитных организаций (филиала). Есть там немало и других интересных новшеств, касающихся обработки персональных данных.
Обо всех этих и других изменениях я буду рассказывать в очередной раз на курсах «Защита персональных данных» в Учебном центре «Информзащита» 14-15 апреля, а вот для представителей банков актуализированный семинар «Сложные проблемы применения законодательства о персональных данных в кредитно-финансовых учреждениях» пройдет в НП «БизнесШколаКонсультант» уже 25 марта. 

13 марта 2014 г.

Оказывается, есть тайны и для мегарегулятора

Помните, я недавно рассказывал про судебные споры Банка России как преемника ФСФР с операторами связи по поводу детализации переговоров?
Как и ожидалось, дело получило продолжение. Мария Ковригина на Право.Ру довольно подробно рассказала про рассмотрение кассации Банка России на решение 9 Апелляционного арбитражного суда в Федеральном арбитражном суде Московского округа о признании незаконным привлечение оператора к административной ответственности за отказ предоставить детализацию телефонных переговоров.
Поскольку мотивировочная часть решения пока не опубликована, будем исходить из описания процесса на Право.Ру.
Банк России в кассационной жалобе и в ходе ее рассмотрения никаких новых аргументов не выдвинул, за исключением пары исторических заявлений о том, что Банку решения суда не нужны, поскольку он не занимается оперативно-разыскной деятельностью, а запрашиваемые им сведения, даже если и являются охраняемой законом тайной, все равно должны быть ему представлены. Основная проблема при осуществления надзора сегодня заключается в том, что решение на доступ к тайне связи может дать только суд и только субъектам оперативно-разыскной деятельности, каковым Банк России не является, а право на получение тайны связи в законе об инсайде ограничивается информацией о почтовых переводах денежных средств.
Замоскворецкий суд в доступе надзорному органу к детализации телефонных переговоров логично отказал, и ФСФР пошла самым простым путем – истребовала ее у оператора без решения суда. Между тем закон об инсайде предполагает совсем другую схему действий (часть 7 ст.14): «В случае, если для предотвращения, выявления и пресечения неправомерного использования инсайдерской информации и (или) манипулирования рынком требуется проведение оперативно-розыскных мероприятий, Банк России обращается в органы внутренних дел в установленном законодательством Российской Федерации порядке». Этот вариант Центробанк почему-то не устроил.
Не найдя новых оснований для пересмотра решения, коллегия ФАС МО решение 9 ААС оставила без изменений, а в удовлетворении кассационной жалобы отказала. Ждем обращения Банка России в Высший арбитражный суд?
Интересно, что совершенно аналогичная история с привлечением к ответственности «Мегафона» развивается по прямо противоположному сценарию. Апелляционный суд принял признал привлечение «Мегафона» к ответственности правомерным. Решение было принято несмотря на то, что коллегия 9 ААС указала, что «поскольку затребованная в п.4 Предписания детализация счета составляет тайну телефонных переговоров и могла быть передана не иначе как на основании решения суда, которое ФСФР России не предоставлено, судебная коллегия считает, что требования Предписания о предоставлении данных сведений незаконны». Дело в том, что оператор задержал ответ ФСФР на шесть дней, что и явилось основанием для принятия судами именно таких решений.
Я уже много раз писал (например, здесь), что добиться защиты своих прав в суде при рассмотрении вопросов, связанных с охраняемой законом тайной можно лишь при скрупулезном и точном выполнении требований закона. Малейшее нарушение может стать основанием для отрицательного решения.
Подавалась ли «Мегафоном» кассационная жалоба, пока не известно.

12 марта 2014 г.

Большие персональные данные

Проблема соответствия требованиям по обработке персональных данных и обеспечению их безопасности у нас в стране потихоньку становится стандартной проблемой больших данных. В смежном законодательстве принимается большое количество документов, в той или иной степени затрагивающих сферу персональных данных, и нередко из названия документа невозможно понять, что он затрагивает данную тему, и уж тем более – относятся ли регламентируемые в нем нормы к деятельности конкретного оператора персональных данных. Масла в огонь добавляет практика правоприменения, меняющаяся день ото дня, и весьма значительно. Ну, и наконец, для того, чтобы понимать, к чему готовиться, надо мониторить и проекты законов, и иных нормативных правовых актов. Даже в больших компаниях и организациях роскошь выделять для этих целей специалистов мало кто может себе позволить.
Именно поэтому наше агентство по просьбе клиентов, ставших регулярными подписчиками, силами своей аналитической группы вот уже два года готовит ежемесячные отчеты об изменениях в законодательстве о персональных данных и практике его правоприменения. Отчет состоит из рубрицированных новостей, касающихся персональных данных, которым предшествует их краткое изложение, позволяющее не читать весь документ, а посмотреть по гиперссылке только то, что заинтересовало. Проблема такая есть. В февральском отчете – 155 листов, из которых почти 120 – систематизированные публикации. Новости группируются по девяти разделам:
·         Новые нормативные правовые акты в области персональных данных;
·         Законодательные инициативы в области персональных данных;
·         Судебная практика применения законодательства о персональных данных;
·         Деятельность Роскомнадзора, связанная с обеспечением выполнения требований законодательства о персональных данных;
·         Прокурорский надзор;
·         Деятельность иных федеральных служб, затрагивающая вопросы обработки персональных данных;
·         Нарушения прав субъектов персональных данных;
·         Совершение преступлений с использованием персональных данных;
·         Использование новых технологий, связанных с обработкой персональных данных.
Итак, совсем коротко, что произошло в феврале на фронтах борьбы за права граждан на частную жизнь, личную и семейную тайну?
Минюст опубликовал «Доклад о результатах мониторинга правоприменения в Российской Федерации за 2012 год» (очень вовремя), в котором есть раздел «Персональные данные». Минюст пришел к выводу, что 152-ФЗ надо совершенствовать, гармонизировать с другими (в первую очередь – с КоАП). Министерством «выявлена необходимость установления правил обработки персональных данных в таких сферах, как банковская, страхования, осуществление оперативно-разыскной деятельности и иных». Вот так. Поэтому планируется организовать работу Минкомсвязи России, Минюста России, ФСБ России и ФСТЭК России по подготовке проекта федерального закона, направленного на устранение выявленных проблем. Еще одна рабочая группа?
В соответствии с Федеральным законом от 03.02.2014 № 12-ФЗ, теперь если иностранные банки захотят открыть свое представительство в России, их руководителям и заместителям необходимо будет написать свои биографии и предоставить рекомендательные письма. Банк России сможет работать с такими персональными данными в установленном российским законодательством порядке.
В соответствии с Постановлением Правительством РФ от 10.02.2014 № 94 с 1 января 2015 года в электронных носителях загранпаспортов россиян появятся изображения папиллярных узоров двух пальцев рук владельца.
Тяжелый удар ждет любителей поиграть с результатами спортивных соревнований. Постановлением Правительства от 27.01.2014 № 60 предусматривается обязанность  букмекерских контор и тотализаторов вести базы данных участников азартных игр, от которых принимаются ставки на официальные спортивные соревнования, в которую заносятся ФИО игрока, реквизиты его паспорта, даты приема ставки и выплаты выигрыша, их размеры. Учетные записи хранятся не менее 5 лет со дня их внесения в базу данных с соблюдением требований законодательства о персональных данных и по состоянию на конец года в электронном виде представляются в ФНС России в течение 30 дней по окончании отчетного года. Налоги с выигрышей должны платить все!
Минюст зарегистрировал приказ трех ведомств о признании утратившим силу их же приказа от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных». Прощайте, типовые ИСПДн 1-го класса. И еще раз здравствуйте уровни защищенности.
Утвержденный ФСТЭК России 11.02.2014 Методический документ «Меры защиты информации в государственных информационных системах» по решению оператора персональных данных может применяться для обеспечения безопасности ИСПДн.
Новости, размещенные в разделе, сопровождаются комментариями СМИ, интернет-порталов и блогеров.
Традиционно большой раздел посвящен проектам новых документов и предполагаемым изменениям в действующих актах. Самое интересное, конечно, проект изменений ст.13.11 КоАП, о котором много говорят в последнее время на всех уровнях. Но есть еще и принятая в первом чтении инициатива депутатов Госдумы по обязательному раскрытию банками неограниченному кругу лиц информации о профессиональной квалификации и деловом опыте руководителей кредитных организаций и предложение от фракции ЛДПР ко второму чтению: пойти еще дальше и раскрывать информацию не только о руководителях, но и о родственных связях среди руководящих лиц. Кроме того, рассматривается антитеррористический пакет из трех законов, каждый из которых так или иначе затрагивает права и свободы граждан и обработку их персональных данных. Одна предполагаемая обязанность блогеров уведомлять о своем существовании Роскомнадзор и 3 месяца хранить все комментарии к публикации чего стоит.
А вот премьер-министр  поручил руководителям Минюста, ФССП и Минкомсвязи России подготовить предложения по переводу бумажного документооборота в электронную форму, в том числе решить вопросы доставки электронных судебных документов, а также идентификации должника в электронных исполнительных документах. Планируется внести изменения в Уголовно-процессуальный кодекс, Гражданский и Арбитражный процессуальный кодексы, КоАП РФ. Предполагается, что граждане будут получать уведомления, касающиеся вынесенных судебных актов, а в дальнейшем и сами документы в электронном виде при помощи государственной электронной почтовой системы, созданием которой сейчас занимается Минкомсвязи. Готовимся.
Банк России опубликовал проект поправок, расширяющих перечень должностей в ЦБ, при работе на которых служащие Банка России, а также лица, претендующие на эти посты, обязаны раскрывать информацию о доходах и имуществе (включая супруга и несовершеннолетних детей).
Весьма интересна инициатива Национального совета финансового рынка (НСФР) о возможности получения банками раз в квартал информации о доходах граждан от ФНС и ПФР с закреплением этого права на уровне закона.
Депутаты из комитета по финансовому рынку и комитета по экономической политике, инновационному развитию и предпринимательству готовят законопроект, предлагающий включить в реестры сведения о лицах, занимающихся бизнесом (ЕГРЮЛ и ЕГРИП), информацию о наличии у них непогашенной судимости за преступления в сфере экономики, а также об их участии в работе компаний-банкротов.
ФМС намерена создать реестр утерянных удостоверений личности россиян. В базе должны будут учитываться утраченные, незаконно приобретенные или изготовленные паспорта и другие удостоверения личности (!). Банки, госорганы и должностные лица смогут получать доступ к реестру, чтобы предотвратить незаконные сделки с чужим удостоверением личности - открытие счетов, выдачу кредитов, регистрацию и удостоверение сделок с недвижимым и ценным движимым имуществом. В базе будут указаны ФИО человека, дата и место его рождения, причина признания паспорта недействительным. ФМС, которая будет вести эту базу, считает, что закон о персональных данных при этом не нарушается.
Есть еще новости от Минкульта (для захода на торрент будет нужен паспорт), Департамента транспорта Москвы («доски позора» для зайцев транспорте и любителей припарковаться посреди дороги). И из-за рубежа – от Организации экономического сотрудничества и развития (Единый глобальный стандарт автоматического обмена информацией о финансовых счетах) и Европейской Комиссии (восемь принципов защиты персональных данных).
И новости также с комментариями, оценками, суждениями.
Практика правоприменения. Два весьма и весьма интересных судебных решения о том, что списки должников ЖКХ и детализация счетов абонентов оператора связи составляют коммерческую тайну даже без анализа содержания принятых режимных мер. Арбитражные суды и их судьи нервно курят в сторонке. Очередной судебный иск к компании МТС, оперативно заблокировавшей симку уехавшего за рубеж и выдавших новую кому-то, кто за три часа перевел 240 тысяч со счета владельца в облака.
Привлечение к ответственности за рассылку безадресной смс-рекламы QIWI, таксопарка, турагентства, оценщиков транспортных средств и недвижимости как нарушения законов «О рекламе» и «О персональных данных».
Одно из первых сообщений о новой инициативе Роскомнадзора - систематическом наблюдении по выявлению нарушений законодательства РФ в сфере персональных данных в сети Интернет на сайтах финансово-кредитных организаций и выкристаллизовавшаяся позиция – если персданные собираются через веб-сайт, на нем должна быть размещена политика в отношении обработки персональных данных и сведения о реализуемых требованиях к их защите.
Снова о недопустимости включения в анкеты соискателей сведений о судимости и родственниках.
Жесткая позиция прокуратуры, потребовавшей возбуждения уголовного дела по ст.137 (лишение свободы на срок до 4-х лет) в отношении и.о. главврача психбольницы, подписавшего с банком договор о начислении зарплаты персоналу на платежные карты без согласия работников. И позиция прокуратуры в отношении передачи коллекторам персональных данных должников.
Опять персональные данные на бумажных носителях, в том числе сканы паспортов, в мусорных баках в центре срезу двух российских региональных центров и детальный анализ мошенничеств с использованием этих самых копий.
Исследования вопросов соблюдения конфиденциальности, в том числе – персональных данных, от InfoWatch и HeadHunter.
Это и многое другое – про преступления, двойников в сети «ВКонтакте», технологии, электронные паспорта и новые способы идентификации в сети.
Все это – в одном месячном обзоре. Вы готовы разбираться в этом сами? Молодцы! Нет? Тогда обращайтесь.