21 декабря 2015 г.

Добро пожаловаться-3. Финал

Похоже, история с сайтом ГТО, на котором обрабатывались персональные данные участников программы и представителей несовершеннолетних участников, что стало причиной жалоб родителей юных спортсменов и физкультурников, о которой я писал здесь и здесь, подошла к концу. В результате получено именно то, к чему стремились.
На жалобы получены ответы из прокуратуры, Комитета по образованию Санкт-Петербурга и Роскомнадзора. С нарушениями надзорные органы согласились (есть нюансы, но главное – результат). Из Роскомнадзора (центрального, а не питерского) за подписью начальника Управления по защите прав субъектов персональных данных Ю.Е. Контемирова пришел следующий ответ пожаловавшемуся (цитирую по открытой публикации в Фейсбуке): «Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) рассмотрела Ваше обращение от 30.11.2015 № 02-11-14012 и сообщает, что по результатам рассмотрения доводов изложенных в Вашем обращении, Роскомнадзором в адрес Автономной некоммерческой организации «Исполнительная дирекция XXVII Всемирной летней универсиады 2013 года в г. Казани» (АНО «Исполнительная дирекция спортивных проектов») направлено требование о принятии мер, направленных на соблюдение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»». Ответ пришел раньше установленного месячного срока, что тоже радует.
Меры приняты. Реально. Форма согласия, вызывавшая наибольшие нарекания, радикально переделана и выложена на сайте. Теперь ясно, кому конкретно, с какой целью и на что дается согласие, какие данные собираются (никаких СНИЛСов, ИНН и «иной другой информации», как это было очевидно, представлять не нужно), и куда они передаются. Никаких неизвестных третьих лиц, никакого распространения и смс-сообщений неизвестно от кого. Особенно радует «Обработку персональных данных ребенка для любых иных целей я запрещаю. Она может быть возможна только с согласия на такую обработку в каждом отдельном случае».
Четко сформулирован порядок отзыва согласия и возможность продолжения обработки после отзыва.
На сайте появились вполне внятное «Пользовательское соглашение» и «Положение об обработке и защите персональных данных». По закону должна быть политика в отношении обработки, но мы ведь не педанты?! Главное, что есть документ, вполне соответствующий букве и духу закона.
Итак, добро пожаловаться. И, может быть, закона в нашей жизни станет больше, а нарушений прав – меньше.

10 декабря 2015 г.

Ищем законопослушные ЦОДы и облачных провайдеров

Коллеги, работающие в ЦОДах и облачных провайдерах.
Наши клиенты ищут удобное и законопослушное место для размещения своих ИСПДн.
Жду предложений в личку или на мыло от тех, кто готов подписаться в договоре под следующими условиями:

  • выполнение мер безопасности, установленных ст.19 и необходимых для обеспечения 2 или 3 уровней защищенности (включая СЗИ, прошедшие оценку соответствия) для угроз 3-го типа;
  • запрет персоналу на доступ к обрабатываемым данным клиентов;
  • предоставление заказчику частной модели актуальных угроз и описание способов их нейтрализации в ЦОДе (облачной инфраструктуре).
Если есть аттестаты-сертификаты, надо быть готовым представить их копии.
Помимо возможных заказчиков бонусом является попадание в готовящийся обзор про облака, ЦОДы и 152-ФЗ как положительных героев.

25 ноября 2015 г.

Добро пожаловаться - 3: вести с полей

Вчерашний пост быстро получил продолжение. Темой заинтересовались «Известия».
Поскольку я обещал держать в курсе развития событий, продолжаю тему.
В публикации «Известий» есть такие слова: «В пресс-службе федерального оператора по внедрению комплекса ГТО заявили, что информация, указанная в жалобе, некорректна.
— При регистрации населения на сайте gto.ru мы не запрашиваем таких данных, как СНИЛС, ИНН, паспортные данные, — рассказывают в пресс-службе. — Информация об адресе проживания необходима для определения локации пользователя и указания близлежащего адреса центра тестирования. Это нужно, чтобы пользователь мог выбрать наиболее удобный вариант и в указанную дату выполнить испытания комплекса ГТО».
И это правда. Но при регистрации на сайте надо заполнить форму согласия, а вот в ней надо указать паспортные данные, место регистрации и место жительства, дать согласие на обработку СНИЛС, ИНН и «иной другой информации». Если эти данные оператору не нужны, логично было бы сообщить, в каких случаях, для чего, и кем они будут собираться, и кому это согласие дается.
Идем дальше. В согласии не указана информация, истребуемая при регистрации и используемая оператором, в частности, информация об образовании и о трудоустройстве, три предпочтительных видах спорта, фотографическое изображение регистрирующегося в цифровой форме. При этом если пользователь – взрослый, обязательным является раскрытие сведений о месте работы с указанием срока ее начала, да еще предлагается указать и другие места работы.
Цель истребования этих данных (кроме фото, про него прямо указано, что он будет использоваться в паспорте участника ВФСК ГТО) также не ясна и не указывается. Если я хочу отжаться и пробежаться на лыжах, зачем оператору знать, где я работаю и про любимые американский футбол, хай-дайвинг и айкидо? Будут предлагать тестирования именно в этих видах спорта?
Далее оператор сообщает «Известиям», что «Контактная информация необходима, чтобы своевременно и оперативно (например, в режиме SMS) информировать о датах тестирования населения по возрастным ступеням, и не предполагает рекламной и иной рассылки, относимой к спаму». А вот как это выглядит в согласии: «Я соглашаюсь на получение сообщений и смс-уведомлений, в том числе информационных и новостных рассылок, приглашений на мероприятия Дирекции и ее контрагентов». Это совсем не то, о чем говорит «пресс-служба ГТО» (так в публикации «Известий»).
Самые неудобные вопросы – кому дается согласие, что там с контрагентами и иными третьими лицами, которым предполагается передавать персональные данные, и какова цель этой передачи, зачем нужно согласие на распространение, пока остаются без ответов.
Из казусов. Взрослый дать согласие не может. Всех выводят на форму, приведенную выше и предназначенную для законных представителей участников движения ГТО.
Оптимистичное. «В Роскомнадзоре «Известиям» сообщили, что заявление получили, но нужно время, чтобы разобраться во всех деталях».

24 ноября 2015 г.

Добро пожаловаться - 3

Я уже писал о своем опыте борьбы с нарушителями законодательства о персональных данных – здесь и здесь. А тут как раз Роскомнадзор (далее цитирую) «решил узнать, что думают интернет-пользователи о сборе их персональных данных. В ведомстве пояснили, что разрабатывают новую информационно-просветительскую стратегию, чтобы пользователям было проще принимать осознанные решения по распространению своих персональных данных в Сети».
Инициатива хорошая. Решил поддержать. Рассказываю, что об этом думаю.
Обратился ко мне знакомый с просьбой помочь написать жалобу на владельцев сайта, которые как-то странно смотрят на наши персональные данные. Не по закону. А в школе его сына настойчиво предлагают на этом самом сайте зарегистрироваться. Поскольку ребенок несовершеннолетний, сделать это за него должен законный представитель – один из родителей.
Сайт красивый. И создан для хорошего дела – пропаганды физкультуры и спорта. Тем обиднее.
При регистрации и оформлении согласия выясняется, что знать сайт о физкультурнике и его родителях хочет гораздо больше, чем это нужно для сдачи нормативов ГТО (паспортные данные, СНИЛС, ИНН, адрес регистрации и фактического проживания «и иную другую информацию» - так в согласии), передавать эти данные неопределенному кругу лиц, хранить бессрочно, да еще и рекламу своих контрагентов присылать. И вообще непонятно, кому согласие на обработку дается.   
Сказано – сделано. Вот что в итоге получилось.
Владельцы данного сайта грубо нарушают требования Федерального закона «О персональных данных» в части организации обработки персональных данных детей и их родителей как законных представителей.
Так, сайт осуществляет сбор персональных данных с использованием информационно-телекоммуникационной сети Интернет https://user.gto.ru/user/register, однако в нарушение требований части 2 ст.18.1 закона на нем не опубликован документ, определяющий политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных.
Отсутствует прямое указание о том, кто является оператором персональных данных. На странице «Контакты» сайта http://gto.ru/news/contacts указаны Министерство спорта Российской Федерации и Федеральный оператор ВФСК ГТО АНО «Исполнительная дирекция спортивных проектов».
ИНН АНО «Исполнительная дирекция спортивных проектов» - 1655068636. С данным ИНН в Реестре операторов персональных данных зарегистрирована другая организация, Автономная некоммерческая организация «Исполнительная дирекция XXVII Всемирной летней универсиады 2013 года в г. Казани» (номер в реестре 16-13-000806). Сведения об обработке персональных данных, указанные в уведомлении Роскомнадзору, не соответствуют указанным на сайте. Это свидетельствует о неисполнении оператором требований части 7 ст.22 закона «О персональных данных» в части информирования Роскомнадзора об изменениях в данных, указанных в ранее направленном уведомлении.
SSL-сертификат, которым защищен сайт, принадлежит третьему лицу - ANO «SPORTIVNOE VEShhANIE». Все это вводит пользователя сайта в заблуждение и не позволяет получить достоверную информацию о том, кто в действительности осуществляет обработку персональных данных.
В ходе регистрации на сайте предлагается дать согласие на обработку персональных данных https://user.gto.ru/bundles/gtouser/docs/agree.pdf. Данная форма не соответствует требованиям, установленным частью 4 ст.9 Федерального закона:
      не указаны наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных (п.3 части 4 ст.9);
      не указаны наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу (п.6 части 4 ст.9), хотя в согласии предусмотрена передача персональных данных субподрядчикам, своим аффилированным лицам или третьим лицам; цель такой передачи не указана;
      срок, в течение которого действует согласие субъекта персональных данных (п.8 части 4 ст.9), указан некорректно: хранение, как указано в согласии, предполагается осуществлять бессрочно, а согласие дается на 50 лет.
В качестве цели обработки персональных данных указывается «исключительно регистрация Субъекта Персональных Данных в базе данных Автоматизированной информационной системы Всероссийского физкультурно-спортивного комплекса «Готов к труду и обороне» (ГТО)», однако согласие предлагается передать в Центр тестирования или преподавателю физической культуры в образовательной организации. Каким образом связаны между собой оператор, Центр тестирования и образовательное учреждение, в форме согласия не указывается.
Перечень данных, на обработку которых дается согласие, явно является излишествующим по отношению к заявленной цели обработки и включает в себя «фамилию, имя, отчество, пол, дату рождения, адрес регистрации по месту жительства, адрес фактического проживания, контактные телефон(ы), адрес электронной почты, паспортные данные, ИНН, СНИЛС, место учебы (работы) и иную другую информацию». Эти данные относятся как к несовершеннолетнему субъекту персональных данных, так и к его законному представителю, что противоречит принципам обработки персональных данных, установленным статьей 5 закона «О персональных данных». В то же время в согласии не указаны сведения о результатах участника движения ГТО, обработка которых явно вытекает из содержания сайта.
Кроме того, в согласии указывается, что «Я соглашаюсь на получение сообщений и смс-уведомлений, в том числе информационных и новостных рассылок, приглашений на мероприятия Дирекции и ее контрагентов», что не соответствует как заявленной цели обработки, так и смыслу ст.15 закона «О персональных данных», поскольку получение рекламы навязывается пользователю сайта и в согласии не предусмотрено возможности отказа от ее получения.
В способах обработки персональных данных Дирекцией указано их распространение, т.е. действия, направленные на раскрытие персональных данных неопределенному кругу лиц, что грубо нарушает принцип конфиденциальности, установленный ст.7 закона, особенно – учитывая состав данных, на которое требуется дать согласие.
Учитывая массовость движения ГТО в нашей стране, указанные нарушения требований законодательства в части обработки персональных данных создают предпосылки для нанесения вреда правам и свободам значительной части граждан.
В соответствии с частью ст.17 Федерального закона «О персональных данных» прошу рассмотреть данное обращение и принять в отношении нарушителя меры, предусмотренные ст.23 Федерального закона «О персональных данных».
Жалоба ушла в Роскомнадзор через электронную форму. Будем отслеживать реакцию на нее и информировать интересующихся через этот блог.
Да, к слову. Многочисленные суждения, высказывавшиеся при обсуждении проблемы в сети, о том, что есть формы регистрации и согласия больше нарушающие права субъекта, на подготовку жалобы не повлияли. Если закрывать глаза на нарушение прав граждан, нарушать их будут все больше и больше. Так что добро пожаловаться!

23 ноября 2015 г.

Облако в законе

Иногда ничего и комментировать не надо. Это две первые страницы выдач по запросу «облако в законе» в Гугле (сверху) и Яндексе (снизу). Искал тут иллюстрации для презентации по этой теме. Просто смотрите.

12 ноября 2015 г.

Впечатления о конференции «Защита персональных данных». Часть 2

Продолжаю вчерашний рассказ о том, что показалось интересным на конференции «Защита персональных данных». Как и вчера, в скобках – мои соображения об услышанном.
Начальник управления ФСТЭК России В.С. Лютиков начал свое выступление с совершенно неожиданного, на мой взгляд, заявления о том, что ФСТЭК не является регулятором в области защиты персональных данных, поскольку для этого нужны полномочия в положении о ведомстве, а их там нет. ФСТЭК – регулятор по вопросам защиты информации вообще. Вот так. После этого логичен вопрос, а кто же регулирует вопросы обеспечения безопасности персональных данных. Был дан ответ и на него. Неожиданный. Регулятором является … Роскомнадзор. Расспросить подробно, где это отражено, не удалось – Виталий Сергеевич уехал до окончания работы секции.
Следующий важный момент его выступления: в государственных информационных системах (ГИС) методы и средства защиты информации в целом, и персональных данных, как части этой информации, в частности, – одни и те же.
ФСТЭК не выделяет контроль за защитой персональных данных из общего состава надзорных мероприятий (видимо, поэтому отдельного плана проверок защиты персональных данных на сайте ФСТЭК нет). Всего в 2014-2015 годах ведомство провело более 200 проверок, в которых выявлено более 300 нарушений правил защиты информации (а это, если помните, влечет административную ответственность по ст.13.12 КоАП). Рассмотрено более 100 моделей угроз ГИС и технических заданий на федеральные информационные системы.
В этой работе наиболее важным службе представляется вопрос защиты от актуальных угроз информационной безопасности, в 80% случаев есть нарушения реализации этого требования, и этот уровень не снижается, причем это не связано с защитой от каких-то сложных типов угроз или наличием у возможного нарушителя высокого потенциала и особых возможностей. Чаще всего это угрозы хорошо известные и требующие усилий для их нейтрализации. Особую озабоченность у надзорного органа вызывает использование госзаказчиками операционных систем, снятых с технической поддержки вендорами, и поэтому имеющих не устраняемые уязвимости.
В презентации В.С. Лютикова были даны рекомендации по первоочередным мерам обеспечения безопасности (8 групп), их можно будет посмотреть в оригинале после размещения презентаций выступавших на сайте конференции (обещают после 16 ноября).
А.Г. Бодров из 8 Центра ФСБ России сразу же подчеркнул, что в области защиты персональных данных компетенции службы ограничиваются применением средств криптографической защиты. Следующее заявление весьма насторожило зал: с 2016 года ФСБ не будет согласовывать с прокуратурой проверки защиты персональных данных (видимо, прокуратура, принимая это решение, исходила из того, что 294-ФЗ, вводящий такую обязанность надзорного органа, регулирует вопросы проверок субъектов предпринимательства, во всяком случае, на сайте прокуратуры сводный план проверок озаглавлен именно как «Сводный план проверок субъектов предпринимательства». ФСБ же, в соответствии со ст.19 закона «О персональных данных», проверяет только защиту в ИСПДн, являющихся государственными, на которые 294-ФЗ не распространяется).
Александр Геннадьевич также сослался на часть 6 ст.13.12 КоАП как главное основание для привлечения к ответственности нарушителей правил использования СКЗИ, но отметил, что число наиболее распространенных нарушений – отличие применяемых СКЗИ от указанных в сертификате соответствия, постепенно сходит на нет.
Как ни странно (мне, во всяком случае), самое ходовое нарушение, выявляемое при проверках ФСБ, – отсутствие в организации перечня лиц, которым необходим доступ к персональным данным (странно – потому что создание такого перечня - азы при разработке нормативной базы по персональным данным). Среди прочих выявляемых:
·         отсутствие документального определения помещений для хранения персональных данных и установки СКЗИ;
·         отсутствие поэкземплярного учета СКЗИ;
·         невыполнение требований эксплуатационной документации на средства криптографической защиты;
·         незадокументированные уровни защищенности ИСПДн и классы СКЗИ или уровни-классы, установленные неверно;
·         отсутствие документов по выявлению актуальных угроз безопасности.
Представитель ФСБ отметил фактическое игнорирование федеральными и исполнительными органами власти требования части 5 ст.19 закона «О персональных данных» власти о разработке и принятии нормативных правовых актов (НПА), определяющих актуальные угрозы безопасности персональных данных при осуществлении соответствующих видов деятельности с учетом содержания персональных данных, характера и способов их обработки, выделив на общем фоне бездействия только Банк России, работающий в этом направлении, а также органы власти некоторых субъектов Федерации. Он обратил внимание на создание ведомством методического документа по разработке таких нормативных правовых актов, который размещен на сайте службы в разделе «Научно-техническое сотрудничество» (кстати, я как-то пропустил бурное обсуждение профессиональным сообществом этого документа. Или...?).
Операторам свои модели угроз с ФСБ согласовывать не надо.
Еще раз выделены два случая, в которых, по мнению ведомства, использование СКЗИ является наиболее простым способом нейтрализации актуальных угроз – (1) передача персональных данных по незащищенным каналам сети связи общего пользования и (2) невозможность иным способом предотвратить несанкционированный доступ к ним при хранении в информационных системах.
А.М. Сычев из ГУБЗИ Банка России отметил, что создаваемая мегарегулятором модель угроз безопасности будет распространена и на некредитные учреждения - страховые компании, микрофинансовые организации, организаторов торгов и др. FinCERT – дело сугубо добровольное, тянуть туда банки насильно никто не будет. «Письмо шестерых» остается действующим документом, но актуальность его сильно снизилась. Сейчас ЦБ не готов его пересматривать, сначала надо завершить работу по созданию модели актуальных угроз, стандартизации для некредитных учреждений, а потом можно будет вернуться и к письму.
Е.А. Войниканис, руководитель направления департамента по взаимодействию с органами государственной власти Ростелекома рассказал об интересной зарубежной практике регулирования отношений, связанных с персональными данными, в том числе – их локализацией. К сожалению, выступление не сопровождалось презентацией, и мне, если честно, было сложно следить за мелькающими названия стан, правовых актов и пр. без их визуализации на экране.
Три выступления были от российских дата центров, одного – отечественного и двух – «дочек» зарубежных, которые состояли из тезисов о счастье оператора после переноса в них обработки персональных данных и не сопровождались хоть каким-то прояснением вопросов обеспечения безопасности, моделирования угроз и выполнения требований нормативных правовых актов к защите данных. Зарубежным ЦОДам вопросов задать возможности не дали, а российскому пару задали, я, в том числе. Ответы были стандартно-поразительными: «Спасибо! Отличный вопрос! Я переадресую его нашим техническим специалистам, и они вам обязательно ответят». Правда, спросить, куда надо отвечать, выступавшая не удосужилась. Кстати, когда я пресек попытки начать выступления с рекламы ЦОДа и его услуг, маркетолог центра уложилась со своей презентацией в 4 минуты вместо 15 отведенных. Господа, никогда не присылайте на такие мероприятия меркетологов. Никогда! Будет только хуже.
Читатели и слушатели знают о моем критическом отношении к выступлению зарубежных спикеров на российских мероприятиях. К сожалению, после конференции оно не изменилось. Из всего услышанного отмечу лишь сообщение советника Совета Европы Марии Микейледу о том, что в новую редакцию ETS-108 войдет норма об обязательном уведомлении оператором соответствующего национального органа о нарушении требований безопасности при обработке персональных данных. Очень интересно.
Мероприятие показалось мне полезным из-за возможности услышать из первых уст новости в части регулирования. Очень хотелось бы видеть и слышать там законодателей (не с приветствием, а с концептуальными положениями) и Минкомсвязи как уполномоченный орган по выработке государственной  политики в области персональных данных – с изложением этой самой политики.
Из недостатков отмечу слишком короткое время на выступления – 10-15 минут. Модерировать с таким интервалом очень сложно, вопросы задавать нет времени, да еще подсказчик-таймер работал неправильно, смущая докладчиков.
В целом же впечатление – позитивное.

11 ноября 2015 г.

Впечатления о конференции «Защита персональных данных». Часть 1

Вчера, 10 ноября, прошла Международная конференция «Защита персональных данных», организатором которой выступил Роскомнадзор, – одно из немногих мероприятий, напрямую затрагивающих вопросы информационной безопасности, и проводимое по инициативе органа государственной власти. Кроме него, вспоминается лишь конференция ФСТЭК «Актуальные вопросы защиты информации», организуемая в рамках форума «Технологии безопасности», и магнитогорский форум по информационной безопасности банковской сферы, но его инициатор – Банк России – все-таки не орган власти.
Меня пригласили на этой конференции модерировать секцию «Регулирование сферы информационной безопасности в условиях новых вызовов и угроз», на которой присутствовали и выступили представители всех регуляторов, кроме Минкомсвязи, а также ряда коммерческих организаций.
На первом планарном заседании, на которое я попасть смог лишь к самому концу, выступил с приветствием руководитель Роскомнадзора А.А. Жаров, но я его, к сожалению, не слышал. Судя по сегодняшним публикациям в СМИ, которых много, в выступлении прозвучали совершенно конкретные тезисы: Twitter вновь возвращен в ряд операторов персональных данных, и к нему вновь предъявляются требования о переносе баз данных российских пользователей на территорию России, в плане проверок на 2016 год могут появиться иностранные компании, не присутствующие юридически в нашей стране.

Секция, которую я модерировал, открылась выступлением начальника управления по защите прав субъектов персональных данных Роскомнадзора Ю.Е. Контемирова. Из интересного, коротко с моими комментариями:
·         за неполные 11 месяцев 2015 года проведено 805 проверок, 746 плановых и 58 – внеплановых (так было на слайде), в ходе мероприятий систематического наблюдения выявлено 1188 нарушений (похоже, этот вид контроля постепенно становится главным в деятельности надзорного органа), выдано 613 предписаний об устранении нарушений;
·         статистика нарушений: 847 нарушений требований статьи 18.1 закона «О персональных данных» (отсутствие политики в отношении обработки, в том числе на сайте, если он используется для сбора персональных данных, и иных документов, предусмотренных законом); 126 нарушений – обработка персональных данных без согласия субъекта и несоответствие формы письменного согласия, установленной ст.9 закона; 113 нарушений – обработка персональных данных после достижения установленных целей; 89 – нарушение конфиденциальности персональных данных (не пояснялось, но, я так понимаю, передача третьим лицам без согласия субъекта); всего лишь 67 – неуведомление Роскомнадзора об обработке персональных данных (похоже, что-то в тактике Роскомнадзора серьезно изменилось).
По оценке надзорного органа, сейчас в стране от 5 до 7 млн. операторов (если считать с индивидуальными предпринимателями и физлицами (адвокатами, нотариусами, журналистами-фрилансерами и т.п. – похоже на правду).
Заявлено о направленности контроля на ближайшую перспективу. В первую очередь, он будет проводиться в отношении операторов, на которых поступает наибольшее количество жалоб субъектов (коллекторам и организациям ЖКХ – не расслабляться!), и тех, кто обрабатывает персональные данные большого количества субъектов (страховые компании, банки и телекомы никогда из поля зрения надзора и не выходили, есть и еще кандидаты по этому признаку, как я понимаю).
Созданы типовые программы проведения проверок, что способствует выработке единых подходов к организации проверок и их содержанию (по пресс-релизам надзорного органа и территориальных управлений, особенно по результатам систематического наблюдения, это заметно, мы давно в своих отчетах это отмечаем).
Выход из-под регулирования 294-ФЗ при осуществлении контроля и надзора за соблюдением законодательства о персональных данных не означает изменения сложившегося порядка его проведения, менять работающие механизмы смысла нет, но появятся новые формы контроля, будут совершенствоваться имеющиеся. Постановления Правительства по этому поводу нет, Роскомнадзор при проверках руководствуется Административным регламентом (как показали первые два месяца после 1 сентября, ничего страшного и не страшного тоже не произошло, без закона и даже без постановления можно, оказывается, спокойно жить). Но вот с прокуратурой план проверок на 2016 год уже согласовываться не будет (меня это очень смущает, не понятно, почему так настойчиво Роскомнадзор дистанцируется от прокуратуры, надзирающей за соблюдением прав и свобод граждан; видимо, сказывается привлечение прокурорами к ответственности инспекторов Роскомнадзора за проведение внеплановых проверок без оснований, предусмотренных 294-ФЗ).
Об уведомлении Роскомнадзора о месте нахождения баз персональных данных. Минкомсвязи подготовило приказ о внесении изменений в форму уведомления (я так понимаю, в Административный регламент о ведении Реестра операторов персональных данных), который передан на регистрацию в Минюст. А пока оператор может в инициативном порядке уведомить об этом Роскомнадзор (территориальные управления). После опубликования приказа операторам надо будет соотнести содержание ранее поданного уведомления и представить дополнительные сведения. Такая позиция мне не кажется вытекающей из закона. Когда в 2011 году, в связи с изменением содержания уведомления, потребовалось представление новых сведений, об этом было прямо указано в законе: «Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года» - сейчас такого требования не выдвигается. Кроме того, в соответствии с частью 7 ст.22, дополнительная информация предоставляется в случае изменения сведений, указанных в части 3 этой статьи, в течение 10 дней с даты возникновения таких изменений, а в предыдущих уведомлениях этих сведений не было, значит, ничего не изменилось. Явный просчет законодателей, но так написано в законе.
Ю.Е. Контемиров еще раз обратил внимание на то, что в Реестр нарушителей операторы попадают исключительно на основании вступившего в законную силу решения суда, и никак иначе. С 1 сентября туда «залетело» более 100 сайтов, примерно 60 разблокированы поле устранения нарушений, к 40 сайтам доступ по-прежнему ограничен.
Об остальных выступлениях – в следующем посте. Анонсирую в чем-то сенсационную позицию ФСТЭК России по данной тематике. Кому интересно – ждите.

29 октября 2015 г.

Новый обзор правоприменения законодательства о коммерческой тайне и ноу-хау

Консалтинговым агентством «Емельянников, Попова и партнеры» подготовлен очередной обзор правоприменительной практики, связанной с использованием информации, отнесенной к коммерческой тайне или являющейся секретом производства. В обзоре проанализировано более 90 кейсов – решений судов различных инстанций, публикаций в СМИ и на интернет-ресурсах, включая и самые последние инциденты - вплоть до октября 2015 года.
На наш взгляд, обзор интересен практикам, устанавливающим и поддерживающими режим коммерческой тайны, обосновывающим руководству необходимость принятия мер, предусмотренных законом или готовящимся к судебным спорам с работниками, в том числе бывшими, конкурентами и контрагентами. Право у нас не прецедентное, но прецедент – источник права!
Не лишним будет он и для производителей и внедренцев DLP-систем, систем управления цифровыми правами, контроля и архивирования электронной почты и прочих средств борьбы с утечками и выявления инцидентов. Показ клиенту практических примеров, как такие системы позволяют доказать правоту в суде, гораздо эффективнее эфемерных расчетов зарплаты за время интернет-серфинга работника в поисках развлечений в рабочее время.  
В обзоре детально рассматриваются дела, связанные с оспариванием работниками увольнения за разглашение коммерческой тайны, в том числе анализируются вопросы принятия судом доказательств разглашения, собранных работодателем.
Специально для любителей ссылок на Конституцию и неприкосновенность личной жизни на рабочем месте цитирую решения одного из судов по этому вопросу: «Ссылку истца на нарушение ст. 23 Конституции РФ, ч. 2 ст. 55 ГПК РФ, суд считает несостоятельной, поскольку информация была извлечена из компьютера, установленного на рабочем месте истца, используемого для осуществления трудовой функции».
А это – для сторонников того, что при увольнении необходимо доказывание вины, объективной и субъективной стороны дисциплинарного нарушения, из другого судебного решения: «Довод апелляционной жалобы истца о том, что судом не установлено обстоятельство наличия либо отсутствия ущерба, причиненного ответчику в результате действий истца, несостоятелен, поскольку не имеет правового значения и не может повлечь отмену постановленного по делу решения».
А вот еще из одного решения, по поводу того, что собрать доказательства неправомерных действий работодатель не может, и суд их не примет: «Комиссия во исполнения приказа генерального директора провела проверку на предмет нарушения коммерческой тайны, установила, что ААА имела доступ к служебной информации, охраняемой режимом коммерческой тайны и допускала нарушения режима коммерческой тайны: многократно с использованием персонального компьютера переписывала на личную флэш-карту 57 файлов, содержащих конфиденциальную информацию, также передала по электронной почте третьим лицам информацию о планируемых у заказчика объемах работ и их стоимости». Пользователи DLP-систем, вам в помощь!
Рассматриваются случаи привлечения к уголовной ответственности за неправомерное добывание информации, составляющей коммерческую тайну, и ее разглашение лицами, которым сведения были доверены или стали известны в связи с исполнением ими трудовых обязанностей, в том числе дело об экономическом шпионаже, которое «связано с недобросовестной конкуренцией без политической подоплеки», кража секретов производства для предприятия на сопредельной территории и «сдача» работодателем своего работника, укравшего секреты у клиента в ходе выполнения технического обслуживания оборудования.
Несколько новых случаев привлечения к уголовной ответственности бывших работников, которые решили попользоваться коммерческими секретами на новом месте вопреки воле обладателя. Это – для скептиков, считающих, что за воротами предприятия ничего доказать уже нельзя. Можно. Там же – случаи применения штрафов в сотни тысяч рублей по новой редакции ст.183 УК РФ.
Детально анализируется арбитражная практика и споры в арбитражных судах, связанные с восстановлением права, прекращением незаконного использования коммерческих секретов, взысканием понесенных убытков, правомерностью отнесения информации к коммерческой тайне и секретам производства, нарушением условий договоров о конфиденциальности и содержанием таких договоров. Особое внимание уделено вопросам оценкой судами полноты мер по установлению режима коммерческой тайны и влияния этой оценки на решения, принимаемые судами. Изюминка на торте – спор о действиях участника общества, голосовавшего за передачу коммерческих секретов конкурирующей организации, принадлежащей … ему же.
Рассматриваются также решения нового органа – Суда по интеллектуальным правам – по спорам, связанным с использованием секретов производства. Наиболее интересны, на мой взгляд, решения по лицензионным договорам об использовании секретов производства – как в пользу лицензиара, так и и в пользу лицензиата, а также обстоятельства дел, послужившие причиной этих решений.
Анализируются решения арбитражных судов, принятые при опротестовывании органами власти отказов обладателей представить им информацию, составляющую коммерческую тайну.
В отдельный раздел обзора выделены споры, связанные с предоставлением информации, составляющей коммерческую тайну, акционерам и участникам общества. Кроме судебных решений, в этом разделе рассматриваются позиции Конституционного Суда Российской Федерации и Высшего арбитражного суда Российской Федерации по данному вопросу. Одно из наиболее интересных решений из принятых в последнее время – о правомерности предоставления участнику не только бухгалтерской отчетности, но и полной копии баз данных бухгалтерского учета компьютерной бухгалтерской программы 1С.
Обзор основан на опубликованных судебных решениях, а также публикациях средств массовой информации по рассматриваемой тематике, содержит гиперссылки на соответствующие публикации.
В течение месяца обзор будет доступен по спеццене. Обращаться, как обычно, по электронной почте mezp11@gmail.com или телефону +7 495 761-5865.

23 сентября 2015 г.

Один день из жизни консультанта

Языком молоть - это вам не мешки ворочать. Добро пожаловать на экскурсию в чудный мир консультанта-бездельника. Один день из жизни...
Подъем - 6.00. В 7.00 старт из Южнобутовска в Северомосковск, в прокуратуру на помощь клиенту. 2 с гаком км в порядке утренней зарядки рысью в полной выкладке - туфли, пиджак и портфель в качестве горячо любимых на марш-бросках элементов снаряжения.
Час милых улыбок, трансфер в центр Москвы, последовательные переговоры по часу с двумя клиентами, контрактование в устной форме второго договора с имеющимся клиентом и договоренность с новым о дальнейшей работе.
Трансфер (всегда - общественным транспортом и пешком, Москва, пробки, пунктуальность) в Западномосковск, два семинар-вебинара за 3 с гаком часа в качестве последнего мероприятия по сдаче проекта.
Трансфер в Южнобутовск. Финальное редактирование и отправка презентации для партнерского выступления в четверг, финальное редактирование, расчет тайминга на восьмичасовой семинар завтра.
Ужин, красное вино, 1 фильм.
Движение в сторону сна. Отправить неотправленное, ответить на не отвеченное. Порадовать этим постиком в мордокниге. Пока спать.
Подъем в 6.00, в 7.00 марш-бросок на 100 км от Москвы, 8-ми часовой семинар, возвращение, подготовка к партнерской конференции, ответы, отправки.
Жизнь бьет ключом. Консультанты снимают деньги с клиентов, чтобы ответить на их вопрос, сколько сейчас времени.

16 сентября 2015 г.

Станут ли владельцы российских ЦОДов богаче и счастливее после 1 сентября

В журнале "ЦОДы.РФ" №12 за 2015 год опубликована моя подробная статья «Станут ли владельцы российских ЦОДов богаче и счастливее после 1 сентября».
Первого сентября вступили в силу поправки в российское законодательство, вносимые самым обсуждаемым в этом, да и в прошлом году законом – 242-ФЗ с привычно-длинным названием «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях». Закон с легкой подачи СМИ получил звонкое название «О территориальности (или локализации) баз персональных данных россиян», про него написаны террабайты публикаций и мегабайты разъяснений, в том числе от уполномоченных и совершенно не уполномоченных органов власти и должностных лиц, и тем не менее ясности, как жить дальше, так и не наступило.
По-прежнему нет нормативных правовых актов и, соответственно, однозначных ответов на вопросы, что переносить, а что можно оставить за рубежом; как организуется обработка персональных данных в соответствии с новыми требованиями; допустима ли и если да, то когда и в каких целях трансграничная передача; законно ли использование прикладного программного обеспечения иностранных вендоров, территориально расположенного за рубежом, ЦОДов и облачных инфраструктур зарубежных провайдеров, если их технические средства находятся вне территории России.
  •         Какие изменения внесены законом 242-ФЗ
  •          Кого изменения в законе затронут непосредственно
  •         Придут ли все эти операторы в российские ЦОДы

1 сентября 2015 г.

Комментарии к изменениям, вступившим в силу сегодня

Журнал «ПЛАС» опубликовал мой комментарий. Ниже – полный его текст.
С сегодняшнего дня, 1 сентября, вступили в силу изменения законодательства о персональных данных, которые коротко сводятся к трем основным нововведениям:
·         базы персональных данных, в которых происходит первичная регистрация и актуализация персональных данных российских граждан, должны находится на территории России, но слова «только» в законе нет;
·         контроль и надзор будет осуществляться не в соответствии с федеральным законом 294-ФЗ о защите прав юридических лиц и индивидуальных предпринимателей, а на основании отдельного постановления правительства;
·         появится реестр нарушителей законодательства о персональных данных и механизм блокирования доступа к любому сайту в сети интернет вне зависимости от того, в чьей юрисдикции и на чьей территории он находится, если российский суд любой инстанции, включая мировой и районный, посчитает, что работа с персональными данными, например, их сбор или размещение, не соответствует российскому законодательству.
Несмотря на то, что поправки к законам активно обсуждались в течение последнего времени на всех уровнях, а озабоченность бизнеса их последствиями была донесена и до Президента России, ясности того, что следует делать, и как новые нормы будут применяться, к моменту вступления их в силу так и не появилось.
Единственное исключение – ведение реестра нарушителей законодательства о персональных данных. Механизм включения сайтов в реестр достаточно подробно прописан в законе, по этому поводу принято специальное постановление правительства и два приказа Роскомнадзора. Насколько механизм окажется действенным, можно будет судить только после появления первых решений судов о блокировке. Отмечу лишь один казус, создаваемый новшеством. Роскомнадзор получил право снимать блокировку по своему усмотрению, при наличии действующего судебного решения об ограничении доступа к ресурсу.
В отношении системы контроля и надзора пока полная неопределенность. Закон 294-ФЗ проверки обработки персональных данных теперь не регулирует, постановление правительства по этому поводу подготовить к установленному сроку не успели (проект при обсуждении вызвал массовую и обоснованную критику), действующим остается только административный регламент Роскомнадзора, из которого совсем недавно были исключены наиболее важные основания для внеплановых проверок - жалобы субъектов, обращения органов власти и СМИ.
И самая большая проблема, конечно, с организацией переноса обработки персональных данных на территорию России. Необходимо отметить, что в законе, устанавливающем требование об обязанности оператора при сборе персональных данных, в том числе посредством сети Интернет, обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, слова «только» нет.
Не вносятся изменения и в порядок трансграничной передачи данных. Многочисленные и противоречивые комментарии законодателей, регуляторов (Минкомсвязи) и органов надзора (Роскомнадзор) говорят о том, что нет ясности и у них. О степени растерянности говорит и комментарий Минкомсвязи, в котором обосновывается допустимость прямого использования зарубежных систем бронирования авиабилетов без их локализации, со ссылками на конвенции 1929, 1944 и 1961 годов, в которых нет ни слова о бронировании, интернете и персональных данных. Допустимость бронирования билета Москва–Новосибирск на зарубежном ресурсе выглядит более чем странно, но вполне объяснима – иначе придется останавливать все перелеты, глобальной российской системы бронирования попросту нет.
У меня четкое впечатление от общения с нашими заказчиками – все затаились и ждут первых последствий правоприменения. В зависимости от того, как будет развиваться ситуация, будут приниматься решения, в том числе и о локализации обработки персональных данных или закрытии бизнеса в России. Отмечу лишь, что несмотря на все громкие заявления, проверить находящиеся вне российской юрисдикции Facebook и Twitter невозможно. А вот заблокировать доступ к ним на территории России можно. Но это будет уже совсем другая история.

28 августа 2015 г.

И еще раз про персональные данные россиян после 1 сентября, теперь - в зарубежных облачных сервисах

До 1 сентября, после которого большое количество операторов оказывается в совершенно новых условиях работы с персональными данными, осталось совсем немного. Несмотря на то, что на эту тему я уже писал неоднократно (например, здесь и здесь), мы завалены вопросами по телефону, почте, скайпу, фейсбуку на эту тему. Поэтому остановлюсь на тех нововведениях закона, которые волнуют наибольшее количество компаний.
Начну с понятий, что же такое персональные данные, и кто является оператором этих данных. Пункт 1 статьи 3 Закона о персональных данных определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Данное определение является весьма неопределенным и допускает сколь угодно широкое его толкование. При таком определении к персональным данным могут быть отнесены практически любые сведения о физическом лице, независимо от того, возможна ли его однозначная идентификация (установление личности) с использованием указанных сведений или нет. Эта проблема определения основных понятий достаточно глубоко анализируется в вышедшем в этом году Научно-практическом комментарии к закону «О персональных данных» под редакцией заместителя руководителя Роскомнадзора А.А.Приезжевой.
Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Ключевыми в этом определении являются слова об определении целей обработки, состава обрабатываемых данных и действий, совершаемых с ними.
Хотелось бы акцентировать внимание на поправках в закон «О персональных данных», касающихся размещения баз персональных данных российских граждан в период их сбора на территории Российской Федерации:
·         ограничения на размещение баз персональных данных вводятся на период сбора персональных данных и не затрагивают их последующей обработки после завершения сбора, кроме ряда конкретных способов обработки;
·         ограничения касаются только персональных данных граждан Российской Федерации и не касаются персональных данных граждан других государств и лиц без гражданства;
·         ограничения вводятся только на 9 из 18 способов обработки, установленных частью 3 статьи 3 закона «О персональных данных» (сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение) и не ограничивают расположением баз данных на территории России такие действия с персональными данными как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение.
Последний вывод означает, что после завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории Российской Федерации, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории Российской Федерации.
При этом указанное требование не накладывает никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан Российской Федерации после их трансграничной передачи, в том числе – на использование данных из информационных систем, находящихся за пределами Российской Федерации. Закон в новой редакции не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, за исключением периода их сбора.
Российская Федерация законом от 19.12.2005 № 160-ФЗ ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108). Ратификационная грамота принята Советом Европы 15.05.2013, и с 01.09.2013 вступили в силу обязательства Российской Федерации, обусловленные данной конвенцией. В соответствии с частью 2 статьи 12 «Передача персональных данных через границы и национальное право» Европейской конвенции, сторона конвенции не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.
Часть 1 статьи 12 закона «О персональных данных» устанавливает, что трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Европейской конвенции, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена лишь в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
Иностранными государствами, обеспечивающими адекватную защиту прав субъектов персональных данных, в соответствии с частями 1 и 2 статьи 12 закона «О персональных данных», помимо государств-сторон Европейской конвенции, являются страны, включенные в утверждаемый Роскомнадзором перечень иностранных государств, не являющихся сторонами Европейской конвенции.
Вместе с тем, надо отметить, что актуализация всех ранее собранных персональных данных (их обновление, изменение, уточнение) первоначально также должна производиться в базах данных на территории Российской Федерации, и эти базы на территории России всегда должны содержать все актуальные персональные данные, используемые оператором и полученные или актуализированные им в период времени, начиная с 1 сентября 2015 года. Таким образом, после 1 сентября 2015 года российский оператор для использования при обработке персональных данных облачных сервисов, серверы которых расположены за пределами Российской Федерации, должен принять дополнительные меры, в частности, базу персональных данных, предназначенную для их первичного сбора, записи и накопления, а также последующей актуализации (уточнения, обновления, изменения) разместить на территории Российской Федерации и постоянно хранить обрабатываемые персональные данные в такой базе. При этом возможным является последующее копирование (перенос) этих данных на сервера за пределами Российской Федерации.
База данных – пока категория не определенная. Согласно разъяснениям на сайте Минкомсвязи, можно предположить, что в качестве базы данных надзорные органы готовы рассматривать, в том числе хранилища бумажных документов, не говоря уже о файлах офисного формата и сканах документов.
Если принятие указанных выше дополнительных мер не может быть реализовано соответствующим российским оператором, то в качестве возможных сценариев организации обработки персональных данных, размещенных в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, могут быть рассмотрены следующие:
1.   Размещение данных, предварительно прошедших процедуру обезличивания, при условии, что их де-обезличивание реализуется только на территории Российской Федерации. При выполнении процедуры обезличивания целесообразно руководствоваться требованиями приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных», обязательного к исполнению для операторов, являющихся государственными или муниципальными органами. В этом случае операторы, не являющиеся государственными или муниципальными органами, при обосновании правомерности, разумности и достаточности выбранного способа обезличивания, могут ссылаться на требования, установленные в нормативном акте уполномоченного федерального органа исполнительной власти.
2.   Размещение персональных данных в зашифрованном виде при условии, что их расшифрование осуществляется только на территории Российской Федерации. Для шифрования должны использоваться сертифицированные средства криптографической защиты, поскольку в данном случае шифрование выполняется с целью нейтрализации актуальной угрозы безопасности персональным данным, связанной с возможностью несанкционированного доступа к ним неавторизованного персонала дата-центра или облачного провайдера.
Такие варианты не должны рассматриваться как размещение персональных данных за рубежом, поскольку они не соотносятся с определяемым в такой системе субъектом и, собственно, персональными данными не являются.
После 1 сентября 2015 года оператор, осуществляющий сбор персональных данных российских граждан с использованием баз данных, находящихся не на территории Российской Федерации, может быть привлечен к административной ответственности по основаниям, предусмотренным статьей 13.11 КоАП (размер штрафа для юридических лиц составляет от 5 до 10 тысяч рублей), поскольку невыполнение требования о месте нахождения баз персональных данных при их сборе является прямым нарушением вступающей в силу нормы закона «О персональных данных», которая определяет новый порядок сбора персональных данных с 1 сентября 2015 года.
Кроме того, после 1 сентября 2015 года, в соответствии с изменениями в закон «Об информации, информационных технологиях и о защите информации», может быть ограничен (фактически – заблокирован) доступ пользователей с территории Российской Федерации к сайту (странице сайта) в сети интернет, на котором персональные данные обрабатываются с нарушениями требований российского законодательства. Данная мера может быть принята, в том числе и в отношении сайтов, размещенных за пределами Российской Федерации, и сайтов, владельцы которых находятся вне юрисдикции Российской Федерации.

21 августа 2015 г.

Принято Постановление Правительства о реестре нарушителей прав субъектов персональных данных

Информируем о принятом Правительством РФ Постановлении от 19.08.2015 №857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных».
Постановление опубликовано: http://publication.pravo.gov.ru/Document/View/0001201508200028
Комментарий «Коммерсанта»: http://www.kommersant.ru/doc/2792453
Также на днях была опубликована информация о регистрации в Минюсте приказов Роскомнадзора по этому же вопросу:
В ближайшее время ожидается принятие Правительством РФ Постановления «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации».
На вебинаре 25 августа мы рассмотрим и свежепринятые документы.
Подробнее о вебинаре: