29 апреля 2014 г.

Проверьте ваши сайты

Роскомнадзор без особой помпы, тихо и спокойно стал использовать в ходе надзора за соблюдением законодательства о персональных данных такую форму контроля, как систематическое наблюдение. В «Докладе об осуществлении государственного контроля (надзора) и об эффективности такого контроля (надзора) за 2013 год» сообщается, что «в 2013 году центральным аппаратом Роскомнадзора была проведена оценка содержания и правовых оснований деятельности 250 интернет-ресурсов, осуществляющих деятельность в российском сегменте сети Интернет».
В 101 случае нарушений законодательства не было выявлено, а на сайтах размещалась контактно-справочная информация государственных, муниципальных органов и юридических лиц, а также персональная информация, публикация которой разрешена в силу федеральных законов (данные из различных реестров: ЕГРЮЛ, ЕГРИП, Реестр кадастровых инженеров и т.п.). В деятельности 149 интернет-ресурсов выявлены факты нарушения требований законодательства, по результатам принятых Роскомнадзором мер реагирования в 60 случаях персональные данные удалены администраторами, в 19 случаях материалы по результатам мониторинга были направлены в органы прокуратуры для рассмотрения вопроса о возбуждении дела об административном правонарушении по ст. 13.11 КоАП Российской Федерации.
Аналитики нашего агентства, готовящие ежемесячные отчеты о практике правоприменения законодательства в области персональных данных, только в марте 2014 года отметили, что такие мероприятия были проведены в Республике Калмыкия (соответствие информации, размещаемой в общественных местах, на средствах наружной рекламы (билбордах) и светодиодных экранах требованиям законодательства), Республике Марий Эл, Чувашской Республике (в отношении операторов связи, финансово-кредитных организаций, коллекторских агентств и страховых компаний, а также многофункциональных центров по предоставлению государственных и муниципальных услуг и интернет-магазинов), Липецкой области, Рязанской области (в отношении организаций здравоохранения). В ходе систематического наблюдения выявлены операторы, осуществляющие сбор персданных с использованием сети Интернет и не опубликовавшие документы, определяющие политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных. Судя по четкости и однотипности формулировок пресс-релизов: «в адрес этих операторов направлены требования об устранении вышеуказанного нарушения, материалы мероприятия систематического наблюдения переданы в органы прокуратуры для принятия мер прокурорского реагирования», работа методически проработана. Есть как минимум один результат с привлечением к ответственности: на основании материалов Управления Роскомнадзора по Липецкой области Хамовническая межрайонная прокуратура возбудила в отношении «Фора-Банка» административное дело, на основании которого мировой судья судебного участка № 425 по району Хамовники г. Москвы наложил на банк штраф.
Кстати, на сайтах прокуратуры и Роскомнадзора сообщается, что нарушение в банке устранено. Политики на сайте банка я так и не нашел, а вот «Положение о порядке обработки персональных данных» выложено.  Видимо, надзорные органы решили не придираться к мелочам и не проявлять излишнюю принципиальность, и согласились, что в Положении все, что предусмотрено законом, изложено.
И обещанный рецепт. Если ваша организация разместила на своем сайте любую веб-форму, предусматривающую сбор персональных данных (кредитное заявление, анкета соискателя вакантной должности, форма для подготовки договора страхования), создало пользователям личный кабинет, опубликовало списки аффилированных лиц или лиц, оказывающих существенное воздействие на деятельность организации и т.д., на сайте в сети интернет (логично на том же, но закон, строго говоря, этого не требует) должна быть и политика в отношении обработки персональных данных и сведения о реализуемых требованиях к их защите. Есть веб-форма (кабинет, список) и нет политики – административное правонарушение. Выявляется легко и просто за несколько минут, и не нужны никакие выездные и документарные проверки.

21 апреля 2014 г.

Персональные данные россиян в облаке

Наше агентство закончило большую работу, выполненную по заказу одного из клиентов – оценку допустимости переноса персональных данных российским оператором информационной системы на облачную платформу Microsoft Azure; определение состава мер, которые должны быть приняты при различных вариантах такого размещения, в том числе при использовании облачной платформы для хранения зашифрованных персональных данных; обработки данных, прошедших процедуру обезличивания, а также решение вопросов, связанных с доступом работников дата-центров и сервис-провайдеров к персональным данным, обрабатываемых заказчиками.
Ее результаты нам кажутся интересными для большого круга специалистов, причем применительно не только к облаку Microsoft Azure. Активизировавшаяся в последнее время дискуссия вокруг облачных вычислений, ответственности владельцев облаков и провайдеров облачных услуг, уровня безопасности в облаках, свидетельствует о том, что тема становится крайне актуальной и для России.
Заказчик дал согласие на публикацию результатов (с некоторыми нюансами), и все желающие могут ознакомиться с нашей точкой зрения на эту сложную и интересную проблему. Заключение в полном объеме выложено здесь.
Кстати, предварительные итоги нашего исследования я озвучивал на форуме Cloud OS Summit, проведенном еще 27 ноября российским подразделением корпорации Microsoft. К моему немалому удивлению, совместная с Андреем Москвитиным презентация (он рассказывал об обеспечении безопасности обработки данных в облаке) стала второй по популярности на форуме, получив 8,5 баллов слушателей из 9 возможных. Посмотреть выступление можно, например, здесь. К удивлению, поскольку мероприятие было все-таки сугубо техническим, а я технические вопросы почти не затрагивал. И аудитория совсем не характерная для моих презентаций, на которых в последнее время присутствует примерно пополам безопасников и юристов, но отнюдь не айтишников.

Те, кому многобукв не интересно, а узнать, чем закончилась история, хочется, могут ограничиться первым (постановка задачи) и вторым (общим выводом по всему тексту) разделами заключения. Ну, а для наиболее любознательных и дотошных – полный текст.