25 ноября 2015 г.

Добро пожаловаться - 3: вести с полей

Вчерашний пост быстро получил продолжение. Темой заинтересовались «Известия».
Поскольку я обещал держать в курсе развития событий, продолжаю тему.
В публикации «Известий» есть такие слова: «В пресс-службе федерального оператора по внедрению комплекса ГТО заявили, что информация, указанная в жалобе, некорректна.
— При регистрации населения на сайте gto.ru мы не запрашиваем таких данных, как СНИЛС, ИНН, паспортные данные, — рассказывают в пресс-службе. — Информация об адресе проживания необходима для определения локации пользователя и указания близлежащего адреса центра тестирования. Это нужно, чтобы пользователь мог выбрать наиболее удобный вариант и в указанную дату выполнить испытания комплекса ГТО».
И это правда. Но при регистрации на сайте надо заполнить форму согласия, а вот в ней надо указать паспортные данные, место регистрации и место жительства, дать согласие на обработку СНИЛС, ИНН и «иной другой информации». Если эти данные оператору не нужны, логично было бы сообщить, в каких случаях, для чего, и кем они будут собираться, и кому это согласие дается.
Идем дальше. В согласии не указана информация, истребуемая при регистрации и используемая оператором, в частности, информация об образовании и о трудоустройстве, три предпочтительных видах спорта, фотографическое изображение регистрирующегося в цифровой форме. При этом если пользователь – взрослый, обязательным является раскрытие сведений о месте работы с указанием срока ее начала, да еще предлагается указать и другие места работы.
Цель истребования этих данных (кроме фото, про него прямо указано, что он будет использоваться в паспорте участника ВФСК ГТО) также не ясна и не указывается. Если я хочу отжаться и пробежаться на лыжах, зачем оператору знать, где я работаю и про любимые американский футбол, хай-дайвинг и айкидо? Будут предлагать тестирования именно в этих видах спорта?
Далее оператор сообщает «Известиям», что «Контактная информация необходима, чтобы своевременно и оперативно (например, в режиме SMS) информировать о датах тестирования населения по возрастным ступеням, и не предполагает рекламной и иной рассылки, относимой к спаму». А вот как это выглядит в согласии: «Я соглашаюсь на получение сообщений и смс-уведомлений, в том числе информационных и новостных рассылок, приглашений на мероприятия Дирекции и ее контрагентов». Это совсем не то, о чем говорит «пресс-служба ГТО» (так в публикации «Известий»).
Самые неудобные вопросы – кому дается согласие, что там с контрагентами и иными третьими лицами, которым предполагается передавать персональные данные, и какова цель этой передачи, зачем нужно согласие на распространение, пока остаются без ответов.
Из казусов. Взрослый дать согласие не может. Всех выводят на форму, приведенную выше и предназначенную для законных представителей участников движения ГТО.
Оптимистичное. «В Роскомнадзоре «Известиям» сообщили, что заявление получили, но нужно время, чтобы разобраться во всех деталях».

24 ноября 2015 г.

Добро пожаловаться - 3

Я уже писал о своем опыте борьбы с нарушителями законодательства о персональных данных – здесь и здесь. А тут как раз Роскомнадзор (далее цитирую) «решил узнать, что думают интернет-пользователи о сборе их персональных данных. В ведомстве пояснили, что разрабатывают новую информационно-просветительскую стратегию, чтобы пользователям было проще принимать осознанные решения по распространению своих персональных данных в Сети».
Инициатива хорошая. Решил поддержать. Рассказываю, что об этом думаю.
Обратился ко мне знакомый с просьбой помочь написать жалобу на владельцев сайта, которые как-то странно смотрят на наши персональные данные. Не по закону. А в школе его сына настойчиво предлагают на этом самом сайте зарегистрироваться. Поскольку ребенок несовершеннолетний, сделать это за него должен законный представитель – один из родителей.
Сайт красивый. И создан для хорошего дела – пропаганды физкультуры и спорта. Тем обиднее.
При регистрации и оформлении согласия выясняется, что знать сайт о физкультурнике и его родителях хочет гораздо больше, чем это нужно для сдачи нормативов ГТО (паспортные данные, СНИЛС, ИНН, адрес регистрации и фактического проживания «и иную другую информацию» - так в согласии), передавать эти данные неопределенному кругу лиц, хранить бессрочно, да еще и рекламу своих контрагентов присылать. И вообще непонятно, кому согласие на обработку дается.   
Сказано – сделано. Вот что в итоге получилось.
Владельцы данного сайта грубо нарушают требования Федерального закона «О персональных данных» в части организации обработки персональных данных детей и их родителей как законных представителей.
Так, сайт осуществляет сбор персональных данных с использованием информационно-телекоммуникационной сети Интернет https://user.gto.ru/user/register, однако в нарушение требований части 2 ст.18.1 закона на нем не опубликован документ, определяющий политику оператора в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных.
Отсутствует прямое указание о том, кто является оператором персональных данных. На странице «Контакты» сайта http://gto.ru/news/contacts указаны Министерство спорта Российской Федерации и Федеральный оператор ВФСК ГТО АНО «Исполнительная дирекция спортивных проектов».
ИНН АНО «Исполнительная дирекция спортивных проектов» - 1655068636. С данным ИНН в Реестре операторов персональных данных зарегистрирована другая организация, Автономная некоммерческая организация «Исполнительная дирекция XXVII Всемирной летней универсиады 2013 года в г. Казани» (номер в реестре 16-13-000806). Сведения об обработке персональных данных, указанные в уведомлении Роскомнадзору, не соответствуют указанным на сайте. Это свидетельствует о неисполнении оператором требований части 7 ст.22 закона «О персональных данных» в части информирования Роскомнадзора об изменениях в данных, указанных в ранее направленном уведомлении.
SSL-сертификат, которым защищен сайт, принадлежит третьему лицу - ANO «SPORTIVNOE VEShhANIE». Все это вводит пользователя сайта в заблуждение и не позволяет получить достоверную информацию о том, кто в действительности осуществляет обработку персональных данных.
В ходе регистрации на сайте предлагается дать согласие на обработку персональных данных https://user.gto.ru/bundles/gtouser/docs/agree.pdf. Данная форма не соответствует требованиям, установленным частью 4 ст.9 Федерального закона:
      не указаны наименование или фамилия, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных (п.3 части 4 ст.9);
      не указаны наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу (п.6 части 4 ст.9), хотя в согласии предусмотрена передача персональных данных субподрядчикам, своим аффилированным лицам или третьим лицам; цель такой передачи не указана;
      срок, в течение которого действует согласие субъекта персональных данных (п.8 части 4 ст.9), указан некорректно: хранение, как указано в согласии, предполагается осуществлять бессрочно, а согласие дается на 50 лет.
В качестве цели обработки персональных данных указывается «исключительно регистрация Субъекта Персональных Данных в базе данных Автоматизированной информационной системы Всероссийского физкультурно-спортивного комплекса «Готов к труду и обороне» (ГТО)», однако согласие предлагается передать в Центр тестирования или преподавателю физической культуры в образовательной организации. Каким образом связаны между собой оператор, Центр тестирования и образовательное учреждение, в форме согласия не указывается.
Перечень данных, на обработку которых дается согласие, явно является излишествующим по отношению к заявленной цели обработки и включает в себя «фамилию, имя, отчество, пол, дату рождения, адрес регистрации по месту жительства, адрес фактического проживания, контактные телефон(ы), адрес электронной почты, паспортные данные, ИНН, СНИЛС, место учебы (работы) и иную другую информацию». Эти данные относятся как к несовершеннолетнему субъекту персональных данных, так и к его законному представителю, что противоречит принципам обработки персональных данных, установленным статьей 5 закона «О персональных данных». В то же время в согласии не указаны сведения о результатах участника движения ГТО, обработка которых явно вытекает из содержания сайта.
Кроме того, в согласии указывается, что «Я соглашаюсь на получение сообщений и смс-уведомлений, в том числе информационных и новостных рассылок, приглашений на мероприятия Дирекции и ее контрагентов», что не соответствует как заявленной цели обработки, так и смыслу ст.15 закона «О персональных данных», поскольку получение рекламы навязывается пользователю сайта и в согласии не предусмотрено возможности отказа от ее получения.
В способах обработки персональных данных Дирекцией указано их распространение, т.е. действия, направленные на раскрытие персональных данных неопределенному кругу лиц, что грубо нарушает принцип конфиденциальности, установленный ст.7 закона, особенно – учитывая состав данных, на которое требуется дать согласие.
Учитывая массовость движения ГТО в нашей стране, указанные нарушения требований законодательства в части обработки персональных данных создают предпосылки для нанесения вреда правам и свободам значительной части граждан.
В соответствии с частью ст.17 Федерального закона «О персональных данных» прошу рассмотреть данное обращение и принять в отношении нарушителя меры, предусмотренные ст.23 Федерального закона «О персональных данных».
Жалоба ушла в Роскомнадзор через электронную форму. Будем отслеживать реакцию на нее и информировать интересующихся через этот блог.
Да, к слову. Многочисленные суждения, высказывавшиеся при обсуждении проблемы в сети, о том, что есть формы регистрации и согласия больше нарушающие права субъекта, на подготовку жалобы не повлияли. Если закрывать глаза на нарушение прав граждан, нарушать их будут все больше и больше. Так что добро пожаловаться!

23 ноября 2015 г.

Облако в законе

Иногда ничего и комментировать не надо. Это две первые страницы выдач по запросу «облако в законе» в Гугле (сверху) и Яндексе (снизу). Искал тут иллюстрации для презентации по этой теме. Просто смотрите.

12 ноября 2015 г.

Впечатления о конференции «Защита персональных данных». Часть 2

Продолжаю вчерашний рассказ о том, что показалось интересным на конференции «Защита персональных данных». Как и вчера, в скобках – мои соображения об услышанном.
Начальник управления ФСТЭК России В.С. Лютиков начал свое выступление с совершенно неожиданного, на мой взгляд, заявления о том, что ФСТЭК не является регулятором в области защиты персональных данных, поскольку для этого нужны полномочия в положении о ведомстве, а их там нет. ФСТЭК – регулятор по вопросам защиты информации вообще. Вот так. После этого логичен вопрос, а кто же регулирует вопросы обеспечения безопасности персональных данных. Был дан ответ и на него. Неожиданный. Регулятором является … Роскомнадзор. Расспросить подробно, где это отражено, не удалось – Виталий Сергеевич уехал до окончания работы секции.
Следующий важный момент его выступления: в государственных информационных системах (ГИС) методы и средства защиты информации в целом, и персональных данных, как части этой информации, в частности, – одни и те же.
ФСТЭК не выделяет контроль за защитой персональных данных из общего состава надзорных мероприятий (видимо, поэтому отдельного плана проверок защиты персональных данных на сайте ФСТЭК нет). Всего в 2014-2015 годах ведомство провело более 200 проверок, в которых выявлено более 300 нарушений правил защиты информации (а это, если помните, влечет административную ответственность по ст.13.12 КоАП). Рассмотрено более 100 моделей угроз ГИС и технических заданий на федеральные информационные системы.
В этой работе наиболее важным службе представляется вопрос защиты от актуальных угроз информационной безопасности, в 80% случаев есть нарушения реализации этого требования, и этот уровень не снижается, причем это не связано с защитой от каких-то сложных типов угроз или наличием у возможного нарушителя высокого потенциала и особых возможностей. Чаще всего это угрозы хорошо известные и требующие усилий для их нейтрализации. Особую озабоченность у надзорного органа вызывает использование госзаказчиками операционных систем, снятых с технической поддержки вендорами, и поэтому имеющих не устраняемые уязвимости.
В презентации В.С. Лютикова были даны рекомендации по первоочередным мерам обеспечения безопасности (8 групп), их можно будет посмотреть в оригинале после размещения презентаций выступавших на сайте конференции (обещают после 16 ноября).
А.Г. Бодров из 8 Центра ФСБ России сразу же подчеркнул, что в области защиты персональных данных компетенции службы ограничиваются применением средств криптографической защиты. Следующее заявление весьма насторожило зал: с 2016 года ФСБ не будет согласовывать с прокуратурой проверки защиты персональных данных (видимо, прокуратура, принимая это решение, исходила из того, что 294-ФЗ, вводящий такую обязанность надзорного органа, регулирует вопросы проверок субъектов предпринимательства, во всяком случае, на сайте прокуратуры сводный план проверок озаглавлен именно как «Сводный план проверок субъектов предпринимательства». ФСБ же, в соответствии со ст.19 закона «О персональных данных», проверяет только защиту в ИСПДн, являющихся государственными, на которые 294-ФЗ не распространяется).
Александр Геннадьевич также сослался на часть 6 ст.13.12 КоАП как главное основание для привлечения к ответственности нарушителей правил использования СКЗИ, но отметил, что число наиболее распространенных нарушений – отличие применяемых СКЗИ от указанных в сертификате соответствия, постепенно сходит на нет.
Как ни странно (мне, во всяком случае), самое ходовое нарушение, выявляемое при проверках ФСБ, – отсутствие в организации перечня лиц, которым необходим доступ к персональным данным (странно – потому что создание такого перечня - азы при разработке нормативной базы по персональным данным). Среди прочих выявляемых:
·         отсутствие документального определения помещений для хранения персональных данных и установки СКЗИ;
·         отсутствие поэкземплярного учета СКЗИ;
·         невыполнение требований эксплуатационной документации на средства криптографической защиты;
·         незадокументированные уровни защищенности ИСПДн и классы СКЗИ или уровни-классы, установленные неверно;
·         отсутствие документов по выявлению актуальных угроз безопасности.
Представитель ФСБ отметил фактическое игнорирование федеральными и исполнительными органами власти требования части 5 ст.19 закона «О персональных данных» власти о разработке и принятии нормативных правовых актов (НПА), определяющих актуальные угрозы безопасности персональных данных при осуществлении соответствующих видов деятельности с учетом содержания персональных данных, характера и способов их обработки, выделив на общем фоне бездействия только Банк России, работающий в этом направлении, а также органы власти некоторых субъектов Федерации. Он обратил внимание на создание ведомством методического документа по разработке таких нормативных правовых актов, который размещен на сайте службы в разделе «Научно-техническое сотрудничество» (кстати, я как-то пропустил бурное обсуждение профессиональным сообществом этого документа. Или...?).
Операторам свои модели угроз с ФСБ согласовывать не надо.
Еще раз выделены два случая, в которых, по мнению ведомства, использование СКЗИ является наиболее простым способом нейтрализации актуальных угроз – (1) передача персональных данных по незащищенным каналам сети связи общего пользования и (2) невозможность иным способом предотвратить несанкционированный доступ к ним при хранении в информационных системах.
А.М. Сычев из ГУБЗИ Банка России отметил, что создаваемая мегарегулятором модель угроз безопасности будет распространена и на некредитные учреждения - страховые компании, микрофинансовые организации, организаторов торгов и др. FinCERT – дело сугубо добровольное, тянуть туда банки насильно никто не будет. «Письмо шестерых» остается действующим документом, но актуальность его сильно снизилась. Сейчас ЦБ не готов его пересматривать, сначала надо завершить работу по созданию модели актуальных угроз, стандартизации для некредитных учреждений, а потом можно будет вернуться и к письму.
Е.А. Войниканис, руководитель направления департамента по взаимодействию с органами государственной власти Ростелекома рассказал об интересной зарубежной практике регулирования отношений, связанных с персональными данными, в том числе – их локализацией. К сожалению, выступление не сопровождалось презентацией, и мне, если честно, было сложно следить за мелькающими названия стан, правовых актов и пр. без их визуализации на экране.
Три выступления были от российских дата центров, одного – отечественного и двух – «дочек» зарубежных, которые состояли из тезисов о счастье оператора после переноса в них обработки персональных данных и не сопровождались хоть каким-то прояснением вопросов обеспечения безопасности, моделирования угроз и выполнения требований нормативных правовых актов к защите данных. Зарубежным ЦОДам вопросов задать возможности не дали, а российскому пару задали, я, в том числе. Ответы были стандартно-поразительными: «Спасибо! Отличный вопрос! Я переадресую его нашим техническим специалистам, и они вам обязательно ответят». Правда, спросить, куда надо отвечать, выступавшая не удосужилась. Кстати, когда я пресек попытки начать выступления с рекламы ЦОДа и его услуг, маркетолог центра уложилась со своей презентацией в 4 минуты вместо 15 отведенных. Господа, никогда не присылайте на такие мероприятия меркетологов. Никогда! Будет только хуже.
Читатели и слушатели знают о моем критическом отношении к выступлению зарубежных спикеров на российских мероприятиях. К сожалению, после конференции оно не изменилось. Из всего услышанного отмечу лишь сообщение советника Совета Европы Марии Микейледу о том, что в новую редакцию ETS-108 войдет норма об обязательном уведомлении оператором соответствующего национального органа о нарушении требований безопасности при обработке персональных данных. Очень интересно.
Мероприятие показалось мне полезным из-за возможности услышать из первых уст новости в части регулирования. Очень хотелось бы видеть и слышать там законодателей (не с приветствием, а с концептуальными положениями) и Минкомсвязи как уполномоченный орган по выработке государственной  политики в области персональных данных – с изложением этой самой политики.
Из недостатков отмечу слишком короткое время на выступления – 10-15 минут. Модерировать с таким интервалом очень сложно, вопросы задавать нет времени, да еще подсказчик-таймер работал неправильно, смущая докладчиков.
В целом же впечатление – позитивное.

11 ноября 2015 г.

Впечатления о конференции «Защита персональных данных». Часть 1

Вчера, 10 ноября, прошла Международная конференция «Защита персональных данных», организатором которой выступил Роскомнадзор, – одно из немногих мероприятий, напрямую затрагивающих вопросы информационной безопасности, и проводимое по инициативе органа государственной власти. Кроме него, вспоминается лишь конференция ФСТЭК «Актуальные вопросы защиты информации», организуемая в рамках форума «Технологии безопасности», и магнитогорский форум по информационной безопасности банковской сферы, но его инициатор – Банк России – все-таки не орган власти.
Меня пригласили на этой конференции модерировать секцию «Регулирование сферы информационной безопасности в условиях новых вызовов и угроз», на которой присутствовали и выступили представители всех регуляторов, кроме Минкомсвязи, а также ряда коммерческих организаций.
На первом планарном заседании, на которое я попасть смог лишь к самому концу, выступил с приветствием руководитель Роскомнадзора А.А. Жаров, но я его, к сожалению, не слышал. Судя по сегодняшним публикациям в СМИ, которых много, в выступлении прозвучали совершенно конкретные тезисы: Twitter вновь возвращен в ряд операторов персональных данных, и к нему вновь предъявляются требования о переносе баз данных российских пользователей на территорию России, в плане проверок на 2016 год могут появиться иностранные компании, не присутствующие юридически в нашей стране.

Секция, которую я модерировал, открылась выступлением начальника управления по защите прав субъектов персональных данных Роскомнадзора Ю.Е. Контемирова. Из интересного, коротко с моими комментариями:
·         за неполные 11 месяцев 2015 года проведено 805 проверок, 746 плановых и 58 – внеплановых (так было на слайде), в ходе мероприятий систематического наблюдения выявлено 1188 нарушений (похоже, этот вид контроля постепенно становится главным в деятельности надзорного органа), выдано 613 предписаний об устранении нарушений;
·         статистика нарушений: 847 нарушений требований статьи 18.1 закона «О персональных данных» (отсутствие политики в отношении обработки, в том числе на сайте, если он используется для сбора персональных данных, и иных документов, предусмотренных законом); 126 нарушений – обработка персональных данных без согласия субъекта и несоответствие формы письменного согласия, установленной ст.9 закона; 113 нарушений – обработка персональных данных после достижения установленных целей; 89 – нарушение конфиденциальности персональных данных (не пояснялось, но, я так понимаю, передача третьим лицам без согласия субъекта); всего лишь 67 – неуведомление Роскомнадзора об обработке персональных данных (похоже, что-то в тактике Роскомнадзора серьезно изменилось).
По оценке надзорного органа, сейчас в стране от 5 до 7 млн. операторов (если считать с индивидуальными предпринимателями и физлицами (адвокатами, нотариусами, журналистами-фрилансерами и т.п. – похоже на правду).
Заявлено о направленности контроля на ближайшую перспективу. В первую очередь, он будет проводиться в отношении операторов, на которых поступает наибольшее количество жалоб субъектов (коллекторам и организациям ЖКХ – не расслабляться!), и тех, кто обрабатывает персональные данные большого количества субъектов (страховые компании, банки и телекомы никогда из поля зрения надзора и не выходили, есть и еще кандидаты по этому признаку, как я понимаю).
Созданы типовые программы проведения проверок, что способствует выработке единых подходов к организации проверок и их содержанию (по пресс-релизам надзорного органа и территориальных управлений, особенно по результатам систематического наблюдения, это заметно, мы давно в своих отчетах это отмечаем).
Выход из-под регулирования 294-ФЗ при осуществлении контроля и надзора за соблюдением законодательства о персональных данных не означает изменения сложившегося порядка его проведения, менять работающие механизмы смысла нет, но появятся новые формы контроля, будут совершенствоваться имеющиеся. Постановления Правительства по этому поводу нет, Роскомнадзор при проверках руководствуется Административным регламентом (как показали первые два месяца после 1 сентября, ничего страшного и не страшного тоже не произошло, без закона и даже без постановления можно, оказывается, спокойно жить). Но вот с прокуратурой план проверок на 2016 год уже согласовываться не будет (меня это очень смущает, не понятно, почему так настойчиво Роскомнадзор дистанцируется от прокуратуры, надзирающей за соблюдением прав и свобод граждан; видимо, сказывается привлечение прокурорами к ответственности инспекторов Роскомнадзора за проведение внеплановых проверок без оснований, предусмотренных 294-ФЗ).
Об уведомлении Роскомнадзора о месте нахождения баз персональных данных. Минкомсвязи подготовило приказ о внесении изменений в форму уведомления (я так понимаю, в Административный регламент о ведении Реестра операторов персональных данных), который передан на регистрацию в Минюст. А пока оператор может в инициативном порядке уведомить об этом Роскомнадзор (территориальные управления). После опубликования приказа операторам надо будет соотнести содержание ранее поданного уведомления и представить дополнительные сведения. Такая позиция мне не кажется вытекающей из закона. Когда в 2011 году, в связи с изменением содержания уведомления, потребовалось представление новых сведений, об этом было прямо указано в законе: «Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года» - сейчас такого требования не выдвигается. Кроме того, в соответствии с частью 7 ст.22, дополнительная информация предоставляется в случае изменения сведений, указанных в части 3 этой статьи, в течение 10 дней с даты возникновения таких изменений, а в предыдущих уведомлениях этих сведений не было, значит, ничего не изменилось. Явный просчет законодателей, но так написано в законе.
Ю.Е. Контемиров еще раз обратил внимание на то, что в Реестр нарушителей операторы попадают исключительно на основании вступившего в законную силу решения суда, и никак иначе. С 1 сентября туда «залетело» более 100 сайтов, примерно 60 разблокированы поле устранения нарушений, к 40 сайтам доступ по-прежнему ограничен.
Об остальных выступлениях – в следующем посте. Анонсирую в чем-то сенсационную позицию ФСТЭК России по данной тематике. Кому интересно – ждите.