26 февраля 2016 г.

Персональные данные на уральском банковском форуме

16-19 февраля в Магнитогорске прошел традиционный Уральский форум «Информационная безопасность финансовой сферы». Из множества традиционных тем, поднятых на форуме, остановлюсь только на одной. Тема персональных данных звучала неоднократно – в выступлении заместителя руководителя Роскомнадзора А.А. Приезжевой, на Круглом столе с регуляторами, который организаторы мероприятия пригласили меня модерировать, и, совершенно неожиданно – в ходе очень интересной презентации первого зампреда Банка России С.А. Швецова. Затронута она была и в выступлении сенатора Л.Н. Боковой, депутата И.Е. Костунова, который говорил о законодательном противодействии фишинговым сайтам.
Я уже отмечал в своем «прямом репортаже» в первый день форума, что выступление А.А. Приезжевой мне показалось весьма интересным и с точки зрения его оформления, и, самое главное, по существу поднятых в нем вопросов. Редко чиновники на таких мероприятиях, да еще в ходе официально-приветственной части, говорят по существу, прямо и с четкими оценками. Полностью презентацию можно посмотреть в блоге А. Лукацкого.
В выступлении, как обычно, было две новости для банков: плохая – о том, что на долю кредитных организаций (подозреваю, что сюда попали и коллекторы, но прямо это не услышал) устойчиво приходится 40-45% жалоб субъектов о нарушении их прав в сфере персональных данных. И хорошая – о том, что лишь 6-9% изложенного в жалобах подтверждается при их рассмотрении. Все-таки научились банки решать «бумажные проблемы» соответствия требованиям и правильно писать документы.
Значительная часть жалоб касается передачи персональных данных третьим лицам (в основном это, конечно, коллекторы), действий банков после отзыва согласия субъекта на обработку и, при исполнении условий договора или его расторжении. От себя: никак вкладчики-заемщики не могут уяснить, что банк не будет и не может уничтожать их данные после завершения действия договора и даже при отзыве согласия. Часть 4 ст. 7 «антиотмывочного закона» 115-ФЗ не разрешает: «Документы, содержащие сведения, указанные в настоящей статье, и сведения, необходимые для идентификации личности, подлежат хранению не менее пяти лет. Указанный срок исчисляется со дня прекращения отношений с клиентом». Более того, нарушение работником банка этого требования при определенных обстоятельствах может стать основанием для привлечения его к уголовной ответственности.
В отношении коллекторов. Из выступления я понял, что Роскомнадзор, в отличие от Роспотребнадзора, не ставит под сомнение возможность передачи персональных данных должника от банка коллектору без согласия заемщика в рамках цессии – уступки права требования долга. При привлечении же коллекторов в качестве агентов по взысканию просроченной задолженности наличие согласия на это субъекта в кредитном договоре должно быть обязательно, причем, по мнению Роскомнадзора, это согласие должник может отозвать, и тогда банк должен прекратить привлекать агента для взыскания долга именно этого субъекта.
К сожалению, задать вопросы Антонине Аркадьевне не удалось, поэтому приходится свое мнение высказывать в посте, поскольку я с этой позицией надзорного органа не согласен. Во-первых, здесь есть, на мой взгляд, прямой конфликт норм права законодательства о персональных данных и Гражданского кодекса РФ в части агентирования. Глава 52 Гражданского кодекса, которая так и называется – «Агентирование» (как и глава 49 «Поручение», кстати), не вводит обязанности принципала получать согласие на привлечение агентов у кого бы то ни было, в том числе – у физических лиц. А статья 15 закона «О потребительском кредите (займе)» прямо предусматривает возможность привлечения агента при взыскании долга и устанавливает его обязанности, однако стыдливо умалчивает о требованиях при заключении агентского договора и его существенных условиях. Кстати, появилась судебная практика, говорящая о том, что согласие должника на передачу его данных агенту не нужно, если при этом агентом не нарушается конфиденциальность персональных данных, а такие действия кредитора расцениваются как выполняемые для осуществления прав и законных интересов оператора - см., например, здесь и здесь.
Возможность отзыва субъектом согласия только на передачу его персональных данных третьим лицам – коллекторам и требования при получении такого согласия к банку обеспечить прекращение обработки коллекторами персональных данных должника, также не основано на законе и нарушает права банка. Отношения банка с должником являются длящимися, условия договора одной из сторон (должником) не выполнены, и должник вдруг в одностороннем порядке хочет изменить условия договора – возможность привлечения третьей стороны для взыскания долга, при этом долг не возвращает. Если бы он согласия на привлечения коллекторов не давал, то и кредит бы ему, скорее всего, не дали, так что это условие договора вполне может рассматриваться как существенное. Некоторые «добросовестные» заемщики идут еще дальше – они отзывают согласие на использование банком любых контактных данных, кроме почтового адреса. Мы с нашими клиентами постоянно эти ситуации разруливаем.
Во второй день на Круглом столе с регуляторами я задал крайне интересовавший меня (надеюсь, не только меня) вопрос, касающийся исполнения поручений Президента России по итогам первого российского форума «Интернет экономика» о представлении предложений в законодательство по регулированию обработки данных граждан Российской Федерации в сети интернет и внедрению единых подходов к проверке сведений, предоставляемых при банковском обслуживании, в том числе в сети интернет: «Какие дополнительные регуляторные меры нужны, что они должны затрагивать и регламентировать?».
Вторая часть вопроса особенно интересна в свете того, что в упоминавшуюся выше статью 7 115-ФЗ, определяющую порядок идентификации клиентов, только совсем недавно, в 2014 и 2015 годах, внесены изменения восемью Федеральными законами №№ 110-ФЗ, 149-ФЗ, 218-ФЗ, 484-ФЗ, 140-ФЗ, 210-ФЗ, 423-ФЗ, 424-ФЗ. С 27.12.2015 вступило в силу новое «Положение об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», утвержденное Банком России 15.10.2015 № 499-П. Каждое подобное изменение требует корректировки локальных документов банка, в первую очередь – касающихся внутреннего контроля, их прохождение по инстанциям долго и сложно. Вот я пытался выяснить, чего же в супе опять не хватает. Ответы ожидаемы, но не радуют: Роскомнадзор за выработку политики не отвечает, поэтому вопросы – в Минкомсвязь, пожалуйста. За идентификацию клиентов и 499-П отвечает банковский надзор, а его представителя на круглом столе не было.
Похожий по смыслу ответ получен и на обещанный мною ранее вопрос к Роскомнадзору: «В этом году запланированы проверки целого ряда банков, являющихся дочерними организациями крупнейших зарубежных банков - Citibank, HSBC, «Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК». Считает ли Роскомнадзор сведения о движении средств по счету персональными данными, или эти сведения составляют иную охраняемую законом категорию – банковскую тайну. Если это персональные данные, использование АБС и ДБО материнских банков невозможно в принципе, исходя из требований, установленных в 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется в России, а далее они на законном основании выгружаются во «вторичные базы данных» за рубежом, и все идет в рамках закона. Какова будут позиция надзорного органа при проверках?». Ответ – результаты проверок покажут. Следим.
И уж совсем неожиданным оказалось мнение Сергея Анатольевича Швецова, первого зампреда Банка России, которое, как мне показалось, коротко можно сформулировать так: «Конфиденциальность персональных данных в цифровом мире и эпоху интернета? Забудьте. Да и скрывать нечего».
В общем, как обычно, ждем результатов исполнения поручений Президента и правоприменительной практики. Никто легкой жизни не обещал.

8 февраля 2016 г.

ЕСПЧ не разрешил работодателям читать переписку работников. Что же он решил?

Решение Европейского суда по правам человека (ЕСПЧ) по делу «Барбулеску против Румынии» наше Агентство очень порадовало. И даже «Особое частично несогласное мнение судьи г-на Пауло Пинто де Альбукерке» порадовало. Но совсем не тем, о чем сразу после вынесения решения писали СМИ, интернет-ресурсы и блогеры, как в России, так и за рубежом.
Дело в том, что нет в принятом определении разрешения работодателям стран-членов Совета Европы, являющихся сторонами «Европейской конвенции о защите прав человека и основных свобод» (ЕКПЧ) и «Европейской конвенции по защите прав физических лиц при автоматизированной обработке данных» (ETS-108), читать переписку работников и уж тем более в нем нет полного снятия якобы существовавших в Европе ограничений на использование DLP-систем, как бы не хотелось видеть это в документе некоторым авторам. Но в нем есть другие, очень важные моменты.
Мы не стали торопиться с комментариями, а не спеша, с чувством, толком и расстановкой разбирались с этим объемным (более 30 страниц) интересным документом.
Одно очень важное предварительное замечание. Вопреки мнению большого количества комментаторов этого судебного решения, оно носит прецедентный характер. Так работает ЕСПЧ. Именно поэтому в нем дается огромное количество ссылок на самые разные решения не только европейских, но и американских и канадских судов. Нет сомнения, что на дело Барбулеску, его обстоятельства и принятое решение будут много и часто ссылаться в новых решениях, касающихся прав и свобод граждан, работодателей, доступа в интернет и контроля за таким доступом, чтения переписки и прослушивания переговоров, в первую очередь, когда это касается негосударственных организаций.
Я не буду пересказывать всю фабулу дела, об этом можно почитать у многих авторов (на мой взгляд, самое объективное и взвешенное изложение, из того что я читал, – у Ильи Борисова. Остановлюсь только на выводах и уроках из этого процесса.
Суд подтвердил правоту румынских судов двух инстанций, признавших отсутствие нарушений прав инженера Бурбулеску, установленных статьей 8 ЕКПЧ (право на уважение личной и семейной жизни, жилища и корреспонденции и ограничения на вмешательство в них), и не принял жалобу на нарушения положений статьи 6 той же Конвенции (право на справедливое судебное разбирательство). Это все. Никакого права читать переписку в решении суда нет. Но вот в обосновании вынесенного решения румынские и согласившийся с ними европейский суды указали очень много важного и интересного.
В документе постоянно упоминается об обязательности наличия правил доступа в интернет и использования в личных целях компьютеров, копировальной техники и телефонов, о соразмерности и пропорциональности действий работодателя по защите своих прав, допустимости и прозрачности контроля, его регламентации, наличии у работника точных данных о ведении такого контроля и необходимости документального подтверждения этой осведомленности, допустимых способах получения работодателем доказательств причинения работником вреда и наличии альтернатив получения таких доказательств.
Внимания заслуживают, например, такие фразы из решения Суда муниципалитета Бухареста: «Работодатель предоставил доступ в сеть интернет для использования в профессиональных целях, поэтому неоспоримым является тот факт, что работодатель, в силу своего права контролировать деятельность работников, обладает полномочиями осуществлять проверки использования ими сети интернет в личных целях» или «мониторинг переписки заявителя [Барбулеску] был единственным способом установить подлинность линии его [работодателя] защиты».
Апелляционный суд г. Бухареста в своем постановлении подчеркнул, что «нарушение тайны переписки со стороны работодателя было единственным способом достичь указанной законной цели, и надлежащий баланс между необходимостью работника защитить свою частную жизнь и правом работодателя обеспечивать функционирование компании не был нарушен», а ЕСПЧ согласился с тем, что «поведение работодателя было разумным, и мониторинг переписки заявителя был единственным способом установить факт дисциплинарного нарушения».
В особом мнении судьи П.П. де Альбукерке указывается также на необходимость получения работодателем согласия работника на такой контроль.
Так чем же нас так порадовало решение? Оно подтвердило полную правильность, разумность и достаточность предлагаемых нашим Агентством мер по организации мониторинга за использованием работниками средств хранения, передачи и обработки информации. Наши клиенты, в том числе производители и внедренцы DLP-систем, а также клиенты, ведущие мониторинг действий пользователей без специальных систем предотвращения утечек, могут сопоставить содержание подготовленного нами пакета документов с аргументами суда и увидеть, что все условия допустимости доступа к электронным сообщениям, формируемым работником на рабочем месте, следам его доступа к сети интернет и конкретным сайтам сети в документах соблюдены.
Что же это за условия?
1. Открытость мониторинга
Его нельзя осуществлять втайне от работника, без ознакомления его под роспись с регламентом проведения контрольных мероприятий. Из этого следует и требование к содержанию такого регламента: отражение в нем возможных действий работодателя, четкое разделение порядка анализа содержимого сообщений и файлов в автоматическом режиме, техническими средствами, когда с ним не знакомятся третьи лица, в том числе другие работники, и порядка ручного контроля с анализом контента.
2. Определение области мониторинга
Очень важно в таком документе определить конкретно, что анализируется работодателем: электронная почта, интернет-мессенджеры, файлы на файл-серверах и в системах хранения данных, приложениях коллективного пользования, записи в базах данных, телефонные переговоры и т.п. Должны быть определены четкие границы мониторинга и его условия, обеспечивающие невмешательство в личную жизнь, защиту прав иных лиц, не являющихся работниками, но осуществляющих с работниками коммуникации.
Такой подход требует документального фиксирования двух ограничений:
·         запрета на использование предоставленных работодателем средств хранения, обработки и передачи информации в личных целях (как минимум в рабочее время и на рабочем месте – в эру консьюмеризации ноутбуки и смартфоны часто покидают территорию организации);
·         документально подтверждаемого признания работником того, что он не может рассчитывать на конфиденциальность переписки с рабочего места и с использованием учетных записей, созданных в информационной системе работодателя.
3. Получение согласия работников на мониторинг
Исходя из той же позиции, которую изложил в особом мнении судья де Альбукерке, мы всегда рекомендовали получить явное и недвусмысленное согласие работника на такой контроль, а, чтобы не создавать конфликтную ситуацию в последующем, отразить такое согласие сразу при приеме на работу – в трудовом договоре.
4. Ограничение возможностей доступа
В дополнение к регламенту контроля необходимы детальные правила работы со средствами хранения, обработки и передачи информации, а также снижение тяжести контрольных мер за счет установления различного рода фильтров и ограничений – в отношении, например, публичных почтовых сервисов типа mail.ru или gmail.com, интернет-месседжеров (Facebook, ICQ, Telegram и пр.), социальных сетей и других ресурсов. Чем меньше возможностей доступа – тем меньше надо контролировать и создавать конфликтные зоны.
Но, по своему опыту, скажу – при использовании списков запрещенных для посещения ресурсов интернет (RBL) мне никогда не удавалось добиться того, чтобы в Топ-50 самых используемых работниками сайтов хоть раз попал нужный для работы J.  
Необходимо четко определить запреты на типы хранимых и пересылаемых файлов, в первую очередь, мультимедиа, действия при обнаружении вредоносного кода и массу других важных вещей. Чем больше и конкретнее прописано – тем меньше поводов для судебных споров. 
Решение суда – не точка
Особенно, если внимательно почитать особое мнение. Право на доступ к интернету как базовое и фраза «работники не оставляют свое право на неприкосновенность частной жизни и защиты данных каждое утро за дверью рабочего кабинета» еще не раз станут предметом анализа в судах.   
Небольшой комментарий. Российский Трудовой кодекс не рассматривает нерациональное использование рабочего времени, в том числе, доступ в интернет в личных целях, как однократное грубое нарушение трудовой дисциплины, которое может быть основанием для расторжения трудового договора по инициативе работодателя. Но повторное нарушение – это уже повод при наличии дисциплинарного взыскания. Подробнее – у Марии Вороновой.
И еще. В решении ЕСПЧ постоянно даются ссылки на документы рабочей группы Евросоюза по защите физических лиц при обработке персональных данных, изучающей вопросы мониторинга электронной переписки сотрудников на рабочем месте и оценивающей воздействие защиты данных на работников и работодателей, а также на «Свод практических правил Международной организации труда (МОТ) по защите персональных данных работника» 1997 года, который содержит важные правовые руководства, не носящие обязательного характера, для работодателей, работников и судов.
Именно рабочая группа Евросоюза в мае 2002 года опубликовала «Рабочий документ по мониторингу электронной переписки работников», в котором указывается, что работодатель вправе осуществлять контроль за работниками, но это не может служить оправданием нарушения неприкосновенности их частной жизни. Документом устанавливается, что любые меры по контролю должны отвечать следующим параметрам: прозрачность, необходимость, объективность, пропорциональность.
Мне кажется, нам в России не хватает методической и разъяснительной работы регулятора и надзорных органов именно в этом направлении – как правильно выполнять требования законодательства о персональных данных, обеспечивая баланс интересов государства, общества, бизнеса и граждан.