27 октября 2017 г.

9 ноября: VIII Международная конференция «Защита персональных данных»

9 ноября пройдет уже VIII Международная конференция «Защита персональных данных», мероприятие, организованное Роскомнадзором, на котором есть редкая возможность послушать представителей всех регуляторов и надзорных органов в сфере персональных данных – Роскомнадзора, Минкомсвязи, ФСБ и ФСТЭК, и даже задать им вопросы.
Задать вопросы можно и заочно, по приглашению Роскомнадзора я буду вести заключительное мероприятие конференции - круглый стол «Свободный микрофон с регуляторами», на котором предполагается участие представителей всех перечисленных выше органов власти. Для обсуждения предложены следующие темы: 
·    Положение дел в области защиты прав субъектов персональных данных. Риск-ориентированный подход и иные факторы развития системы государственного контроля в области персональных данных. Новые составы административной ответственности: первые итоги правоприменения.
·    Состояние информационной безопасности в цифрах и фактах: основные итоги государственного контроля (надзора) и анализ существующих проблемных вопросов.
Основные вопросы для участников круглого стола я уже подготовил, но у каждого из читателей блога есть возможность поучаствовать в формировании повестки – присылайте свои вопросы мне, самые интересные будут использованы в ходе диалога.
Кроме круглого стола в программе конференции – пленарная панельная дискуссия о глобальных проблемах неприкосновенности частной жизни, цифрового суверенитета, регулирования Больших данных, модерировать которую будет руководитель Роскомнадзора Александр Жаров, а также две секции Международной экспертной встречи, на которых выступят Юрий Контемиров, Салават Мигранов, Артем Сычев и многие другие (на выступления отводится по 15 минут). Темы – самые острые: перспективы и направления развития нормативной правовой базы в области обработки персональных данных, критерии составов административных правонарушений в новой редакции ст. 13.11 КоАП РФ, грядущий GDPR, персональные данные в финансовой сфере, криптография для персональных данных и моделирование угроз, национальная биометрическая платформа и т.д.
На второй панели я за 15 минут планирую рассказать о проблеме получения согласия работников в письменной форме на передачу их персональных данных с учетом сложившейся правоприменительной и судебной практики (отдельное согласие для каждой цели и каждого обработчика), корреляции статей 88 ТК РФ и части 4 статьи 9 закона «О персональных данных», последствий отказа работника дать такое согласие или его отзыва. Близкие по теме выступления о согласии субъекта будут у Эльмана Мехтиева, исполнительного вице-президента Ассоциации российских банков, и Розендоевгения Монтерея Чепова, комиссара Национального института информации открытого доступа и защиты персональных данных Мексики.
Жду вопросов и до встречи на конференции!

25 октября 2017 г.

Безопасность цифровой личности в государственных системах: резервное копирование и восстановление данных

В государственных органах, органах местного самоуправления, государственных и муниципальных учреждениях и предприятиях стало накапливаться огромное количество информации в цифровой форме о каждом из нас – в различных информационных системах, базах данных, приложениях. Это, с одной стороны, существенно повысило доступность информации и облегчило доступ к ней всех заинтересованных участников отношений, но, с другой стороны, привело к возникновению новых проблем. Уничтожение и модификация таких данных также стали значительно проще.
Между тем, многие данные, перекочевавшие с бумажных носителей, из картотек и архивов в электронные базы данных, не только важны, а критически важны для человека. И дело не только в пенсиях, льготах или историях болезни, хотя и это очень важно. Завладев так называемыми «государственными идентификаторами», однозначно определяющими их владельца при электронном общении с государством и его структурами, злоумышленник скрыто и безнаказанно может действовать от имени пострадавшего субъекта, который и не ведает о том, что кто-то управляет его собственностью, пенсионными накоплениями, совершает сделки и т.д. Появилось принципиально новое в истории человечества преступление – кража цифровой личности, когда у человека в виртуальной, но конкретно проецирующейся на его жизнь реальности появляется двойник, не отличимый для участников отношений в цифровом мире от него самого.
О том, как и почему это происходит, чем заканчивается и что делать читайте в моей новой объемной статье «Безопасность цифровой личности в государственных системах: резервное копирование и восстановление данных». Статья и запись вебинара, организованного компанией Veeam с моим участием, доступны после регистрации.
В статье на реальных примерах рассматриваются вопросы:
·       Какие государственные ИТ-системы персональных данных уязвимы для атак на доступность, целостность и конфиденциальность, и к каким последствиям может привести реализация таких атак?
·       Какие источники угроз существуют для персональных данных в государственных системах?
·       Что способствовало проникновению в 2017 году вирусов WannaCry и Petya в ИТ- системы государственных органов, и каковы возможные последствия?
·       Почему восстановление функционирования значимого объекта критической ИТ- инфраструктуры является важнейшей задачей безопасности, и к каким последствиям может привести невыполнение этого требования?
Обращая внимание на проблемы, я стараюсь показать направления и пути их решения. В данном случае, в качестве примера для решения поставленных задач рассматривается продукт Veeam Backup & Replication, новая версия 9 которого прошла инспекционный контроль и в августе 2017 года получила переоформленный сертификат соответствия ФСТЭК России техническим условиям, указанным в формуляре продукта, и требованиям к 4-му уровню недекларированных возможностей.
Читайте, думайте, используйте…

2 октября 2017 г.

Видео: Зачем российской компании знать о законе Евросоюза о персональных данных?

В конце прошлой недели состоялся Международный онлайн-форум Microsoft «You Trust IT. Путь к безопасности бизнеса» - очень интересное и отлично организованное мероприятие, в котором заочно приняли участие более 1200 участников.
В наше агентство поступает много запросов о новом законе Евросоюза о персональных данных (The General Data Protection Regulation, GDPR), его влиянии на ведение бизнеса в России и российскими компаниями за ее пределами. На целый ряд вопросов я дал ответы в своем выступлении на Форуме (просто о сложном J):
• На кого в России будут распространяются требования GDPR? 
• Каковы последствия введения GDPR для российских компаний и их дочерних компаний за рубежом? 
• Чем отличаются европейский The General Data Protection Regulation и Федеральный закон от 27.07.2007 № 152-ФЗ «О персональных данных»?
Видеозапись выступления (23 минуты) доступна по ссылке http://mssecurity.ru/player (при поиске ориентируйтесь на мое лицо, не ошибетесь ;)). Также можно посмотреть  здесь https://broadcast.comdi.com/player/r78mqshn.

21 сентября 2017 г.

Роструд отказался от надзора за выполнением требований главы 14 Трудового кодекса

Писать в блог некогда совершенно, проектной работы выше крыши. Но парадокс в том, что она дает огромное количество тем для постов – это же практика, там все время что-то интересное и полезное всплывает. Выстроилась уже целая очередь тем – и GDPR для российских компаний, и пересмотр Европейским судом дела Богдана Барбулеску, и проблема получения согласий работников в рамках статьи 88 ТК РФ, и VPN на рабочем месте, и много чего другого.
А начнем, пожалуй, с мини-сенсации, вынесенной в заголовок поста.
Довольно длительная переписка с Рострудом через официальный сайт надзорного органа закончилась весьма неожиданно.
Я пытался выяснить мнение надзорного органа о том, что делать работодателю, если работник отказывается дать согласие в письменной форме на передачу его персональных данных третьему лицу, что является обязательным в соответствии со ст.88 Трудового кодекса РФ А случаи отказов становятся все чаще и чаще.
Вопрос касался передачи персональных данных в нескольких ситуациях:
1. Для направления в служебные командировки, связанные с выполнением работником трудовых обязанностей, на учебу и повышение квалификации, для проведения профилактического медицинского осмотра работника, арендодателю для обеспечения прохода работника в арендуемые производственные и офисные помещения.  
2.  Организациям, которым работодатель, в соответствии с заключенными договорами, поручает обработку персональных данных работников в целях ведения кадрового и бухгалтерского учета, а также выполнения иных функций, возложенных на него законодательством.
3.  Трансграничной передачи компаниям за рубежом с целью реализации корпоративной политики кадрового учета и карьерного роста персонала международных и иностранных компаний, имеющих дочерние предприятия и организации, а также представительства в России.
Как это часто бывает при общении с госорганами, ответ я получил ровно один и совсем не на тот вопрос, который задавал: «Работодатель не вправе принуждать работника дать согласие на обработку персональных данных. Обработка персональных данных работника без согласия работника возможна только в случаях, предусмотренных в законе».
Так что же делать в этом случае, выяснить не удалось.
Вскоре в одном из наших проектов всплыла похожая проблема. Работодатель общается с некоторыми «сложными» работниками посредством почтовых отправлений, направляемых им на рабочий или домашний адрес. Работники считают, что почтовому оператору переданы персональные данные без их согласия. Роструду был задан вопрос: должен ли работодатель получать согласие работника в письменной форме на передачу его персональных данных оператору почтовой связи в целях доставки корреспонденции, если оператор имеет лицензию, и его деятельность регулируется Федеральным законом от 17.07.1999 № 176-ФЗ «О почтовой связи»?
Ответ был лаконичный, и, если честно, меня не просто удивил, а ошеломил: «Консультирование граждан по вопросам соблюдения законодательства о персональных данных не входит в компетенцию Роструда. Вам следует обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций». Ошеломил, потому что на сайте Роструда дано уже более полутора тысячи ответов на вопросы, касающиеся получения согласия работников на обработку, в том числе передачу, персональных данных.
Вторая причина удивления была вызвана тем, что в соответствии со ст.3 «Принципы защиты прав юридических лиц, индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля» Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», одним из основных принципов защиты прав юридических лиц при осуществлении государственного контроля является недопустимость проводимых в отношении одного юридического лица несколькими органами государственного контроля (надзора) проверок исполнения одних и тех же обязательных требований. В связи я попросил Роструд разъяснить, в компетенции какого надзорного органа находится проверка обязательных требований трудового законодательства, установленных статьей 88 Трудового кодекса РФ.
И вот ответ: Проверка требований, установленных статьей 88 ТК РФ, относится к компетенции Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. За нарушение положений статьи 88 ТК РФ работодатель может быть привлечен к ответственности в соответствии со ст. 5.39 КоАП РФ, ст. 13.11 КоАП РФ и ст. 13.14 КоАП РФ. Государственные инспекторы труда привлекать работодателя к ответственности, установленной вышеуказанными статьями, не вправе».
Осталось только выяснить, что по этому поводу думает Роскомнадзор, чем и придется заняться в ближайшее время.

18 сентября 2017 г.

Вебинар 21 сентября: Информация о гражданах в ИС госсектора: хранение, защита и восстановление

В органах государственной власти и местного самоуправления, государственных и муниципальных учреждениях и предприятиях, решающих самый широкий спектр задач оказания услуг гражданам, хранится и обрабатывается огромный объем сведений о них, очень часто критических с точки зрения их доступности, целостности и конфиденциальности. Причем каждый из элементов этой триады безопасности становится более значимым в зависимости от характера сведений, обрабатываемых в государственных информационных системах.
Так, например, внесение несанкционированных изменений в Единый государственный реестр недвижимости чревато для граждан утратой прав на собственность, нарушение доступности Реестра отмененных доверенностей открывает лазейку для мошеннических действий, а несанкционированный доступ в личный кабинет налогоплательщика на сайте ФНС создает угрозу налоговой тайне и неприкосновенности частной жизни.
Безусловно, сведения и доступ к ним при случайных или преднамеренных действиях, приводящих к их уничтожению или модификации, должны быть в кратчайшие сроки восстановлены. В соответствии с законодательством РФ в ряде случаев для этих целей необходимо использовать сертифицированные ФСТЭК России средства резервного копирования
Ситуация стала более острой в связи с принятием ряда законодательных актов, выдвигающих требования к обеспечению безопасности критических объектов информационной инфраструктуры, за невыполнение которых грозит ответственность вплоть до уголовной.
Вступающий в силу с 1 января 2018 года Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливает, что одной их четырех основных задач системы безопасности значимого объекта критической информационной инфраструктуры является восстановление его функционирования, обеспечиваемого, в том числе за счет создания и хранения резервных копий необходимой для этого информации.
С этой же даты уголовным деянием становится нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре, информационных систем, информационно-телекоммуникационных сетей, относящихся к критической информационной инфраструктуре, либо правил доступа к ним, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации.
На вебинаре, организованном компанией Veeam, мы рассмотрим более детально эти и другие требования, меры по их выполнению и реализации на примере сертифицированного ФСТЭК России решения Veeam Backup & Replication (версия 9).
Вебинар начнется в 11:00 в четверг 21 сентября. Предварительная регистрация на вебинар.

31 июля 2017 г.

Кто может обрабатывать персональные данные пользователей социальных сетей

Роскомнадзор определил свою позицию по использованию общедоступных персональных данных пользователей социальных сетей, фактически запретив это другим компаниям, не дожидаясь судебного решения по этой проблеме. 
Эта история началась 31 января 2017 года, когда ООО «В КОНТАКТЕ» подало в Арбитражный суд города Москвы исковое заявление к ООО «ДАБЛ» (российское подразделение, использующее технологию скорринга Double Data) и АО «Национальное бюро кредитных историй» (НБКИ). Само заявление, к сожалению, не опубликовано, но из информации в открытых источниках можно сделать вывод, что социальная сеть оспаривала право использовать размещенную в ней информацию для оценки кредитоспособности пользователей сети с целью последующей продажи полученных результатов банкам и бюро кредитных историй. «ВКонтакте» обосновывало исковые требования нарушением его исключительных смежных прав на базу данных. Обоснование, на мой взгляд, более чем странное, поскольку ответчики пользовались не базой данных, а общедоступными публикациями в сети, на основании которых формировали свою базу данных, возможно, очень отличающуюся от базы, используемой социальной сетью. 
ООО «ДАБЛ» иск не признало, а вот НБКИ и социальная сеть заключили мировое соглашение (пока не опубликовано), заявив ходатайство о его утверждении судом. Суд дал время второму ответчику ознакомиться с ним, перенеся судебное заседание по рассмотрению иска на 15 августа. 
Цель иска, как мне кажется, вполне очевидна – сеть хочет монополизировать профилирование пользователей с целью извлечения прибыли (что и понятно, на создание, поддержку и развитие ее инфраструктуры затрачены и продолжают тратиться большие деньги), а многие другие, обладающие соответствующим инструментарием, также хотели бы заработать на этих больших данных, находящихся в открытом доступе. И судебный прецедент будет иметь большое значение для всего российского сегмента Интернета. 
И вот сегодня в «Известиях» появилась неожиданная публикация под заголовком «Роскомнадзор запретил сбор данных пользователей «ВКонтакте»». Авторы, ссылаясь на имеющееся в распоряжении редакции разъяснения Роскомнадзора, утверждают, что никто не вправе без согласия пользователя сети использовать выложенные им в открытый доступ персональные данные. Далее вынужден просто процитировать газету «В надзорном ведомстве рассказали, что по Федеральному закону «О персональных данных» допускается обработка персональных данных (ПД), доступ к которым предоставил сам их владелец. Но по ст. 6 того же закона обработка таких данных возможна только с согласия субъекта ПД. В соответствии с пунктом 5.12 пользовательского соглашения сети «ВКонтакте» пользователь дает согласие только на доступ к информации, которую он размещает на персональной странице, в том числе к своим персональным данным, пояснили в пресс-службе Роскомнадзора. Согласия на сбор, обработку и передачу третьим лицам пользователь не дает. В Роскомнадзоре пояснили, что при отсутствии волеизъявления гражданина его персональные данные не могут храниться, обрабатываться и передаваться». Конец цитаты. Сначала я просто не поверил своим глазам. Нет, все правильно, именно так и написано. 
Открываем закон. Упомянутая пресс-службой Роскомнадзора статья 6 закона «О персональных данных» содержит 11 оснований обработки персональных данных, первым из которых является наличие согласия субъекта. Остальные 10 случаев согласия не требуют. В контексте обсуждаемой проблемы нас интересует пункт 10 части 1 статьи 6 закона, где однозначно и недвусмысленно указано, что без согласия субъекта допускается обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. То есть, если уж пользователь социальной сети разместил в общем доступе сведения о себе, ему придется смириться с тем, что все желающие будут ими пользоваться. Я, например, дал свои контакты в Фейсбуке и блоге и осознаю последствия этого – возможный спам и не запрошенные звонки по телефону. 
Хотелось бы также обратить внимание, что рассматриваемая статья закона не содержит ограничений по отдельным способам обработки персональных данных, и в это понятие входят и сбор, и хранение, и передача данных третьим лицам, и даже распространение, то есть раскрытие данных неопределенному кругу лиц, что пользователь соцсети уже и так сделал собственными руками. 
Публикацию в «Известиях» я назвал неожиданной по трем причинам. 
1. Надзорный орган заявляет свою позицию по вопросу, являющемуся предметом продолжающегося судебного спора, когда еще нет решения суда первой инстанции, не говоря уже о вступлении решения суда в законную силу, что может повлиять на позицию суда, внимательно относящегося к мнению уполномоченных органов исполнительной власти. 
2. Роскомнадзор много раз публично и письменно заявлял об отсутствии у него полномочий по трактовке закона, и он проверяет выполнение его требований на основании буквального понимая норм. Недаром ведомство довело до девственной чистоты страничку «Вопросы и ответы» на своем официальном портале «Персональные данные», удалив все ранее дававшиеся разъяснения. В публикации же идет речь именно о толковании, имеющем юридические последствия для участников правоотношений. Учитывая грядущее предоставление Роскомнадзору права требовать во внесудебном порядке прекращения обработки и уничтожения персональных данных, обработка которых, по мнению надзорного органа, незаконна, о чем я уже писал, ситуация становится весьма сложной. 
3. Надзорное ведомство ссылается в своем разъяснении на пользовательское соглашение социальной сети, не устанавливающее правоотношений между какими-то лицами, кроме соцсети и ее пользователями, и не имеющее значения для ООО «ДАБЛ» и НБКИ. 
Позиция Роскомнадзора фактически сводится к тому, что пользователь может разместить любые данные на общедоступных интернет-ресурсах, одновременно определив перечень допустимых действий с ними, а владелец этого ресурса автоматически получает право следить за соблюдением этого перечня в отношении любого своего пользователя, что фактически полностью перечеркивает нормы части 1 статьи 6 закона «О персональных данных» в части случаев обработки персональных данных без согласия субъекта. 
Кстати, вопросом выполнения норм статьи 8 закона о наличии письменного согласия субъекта на размещение его персональных данных в общедоступных источниках, которыми являются соцсети, почему-то никто не озадачился за 10 лет действия закона. А вопрос очень непростой. Может быть, поэтому и в тени до сих пор.

23 июня 2017 г.

«Законодательное регулирование всегда отстает и будет отставать от технологий»

Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»
Источник: "КоммерсантЪ", № 111 (6105) от 23.06.2017, https://www.kommersant.ru/doc/3331543
О том, чем правоохранительные и законодательные органы отвечают на рост мирового рынка средств кибершпионажа, рассказал “Ъ” управляющий партнер агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
— Рост числа киберугроз во многом способствовал появлению коммерческого рынка cyber threat intelligence. Что это за рынок и как он будет развиваться в ближайшие годы, в частности, в России?
— Начать надо с того, что само понятие cyber threat intelligence неустоявшееся и понимается в разных странах и разными людьми по-разному. В целом это большой по объему и быстрорастущий рынок средств кибератак, кибершпионажа, воздействия на массовое сознание и противодействия всем этим инструментам. Рост рынка неразрывно связан с растущим проникновением информатизации и интернета в повседневную жизнь, расширением их сфер применения и постоянно растущим числом пользователей.
Средствами cyber threat intelligence решаются задачи самых различных групп: правительств, бизнеса, криминала, гражданского общества, конечных пользователей и т. д. На сегодня можно выделить наиболее большие по объему и быстрорастущие сегменты этого рынка: средства атак на финансовые системы и их клиентов с целью хищения денежных средств и дестабилизации кредитных организаций в целях конкурентной борьбы; средства шпионажа для добывания политически ценной и коммерчески важной информации; средства воздействия на масс-сознание; средства воздействия на критически важные объекты — от терроризма до политического противостояния и конкурентной борьбы. С ростом интернета вещей будет расти и сегмент воздействия на него. Успешный опыт манипулирования гражданами в ходе «цветных» революций и выборов последних лет в разных странах позволяет сделать вывод о перспективности и этого сегмента. Соответственно, неизбежно будет расти и рынок средств защиты от таких воздействий.
Все эти тенденции будут характерны и для России, занимающей довольное заметное место в цифровом мире. Будут на российском рынке и свои особенности, характерные, впрочем, и для некоторых других стран, связанные с государственным регулированием интернета, его сегментированием в пределах национальных границ, суверенизацией российского сегмента, усилением контроля за действиями пользователей.
— Правоохранительные органы нередко привлекают к расследованию кибератак и подготовке технических экспертиз коммерческие компании. Это вызвано низкой квалификацией сотрудников органов или есть еще какие-то причины?
— Я не думаю, что квалификация сотрудников соответствующих госорганов низкая или недостаточная. В государственном сегменте уже есть и специалисты с высокими, рыночными зарплатами, работающие в области кибербезопасности и кибератак. Причины широкого привлечения специалистов коммерческих организаций, как мне кажется, в другом. Рынок cyber threat intelligence очень большой по объему и быстрорастущий, и госорганы просто физически не могут, да и не должны охватывать все его сегменты. Они в первую очередь решают государственные задачи, возложенные на них законодательством.
Кибервоздействие так или иначе очень часто связано с интересами бизнеса, поэтому коммерческие компании работают над гораздо более широким кругом задач, имея возможность узкой специализации и глубокого погружения в конкретные проблемы. Именно поэтому при решении специфических задач государственные органы обращаются в коммерческие организации за соответствующими инструментами и помощью, развивая параллельно компетенции в своих областях. Скажем, создание ГосСОПКА, FinCERT Банка России или войск информационных операций в вооруженных силах России — наглядное подтверждение такой тенденции. В концепцию создания этих структур изначально закладывалось их взаимодействие с аналогичными по задачам органами коммерческих структур.
— Известно ли вам о случаях ошибок в атрибуции кибератак, которые привели бы к серьезным последствиям, например, заключению под стражу невиновного?
— Нет, таких проверенных и надежных фактов я не знаю. Но тема атрибуции широко используется при обсуждении реальных и предполагаемых кибервоздействий на государственные системы и структуры, и очень часто на основании недоказанного источника атаки и сомнительных признаков ее территориального происхождения делаются далеко идущие политические выводы, которые затем активно используются в межгосударственных отношениях. Атрибуция в изначально анонимной сети интернет, где группировки хакеров, в которых объединены люди самых разных национальностей, живущие в разных странах, взаимодействующие через специальные инструменты проксирования, анонимизации, сокрытия информационного обмена, делают атрибуцию атаки в интернете крайне сложной, в большинстве случаев невыполнимой, и чаще всего атрибуция производится, исходя только из одного признака — кому это может быть выгодно.
— Совершенно ли российское законодательство с точки зрения противодействия кибератакам?
— Законодательное регулирование всегда отстает и будет отставать от технологий. С одной стороны, Уголовный кодекс содержит главу 28, предусматривающую ответственность за преступления в сфере компьютерной информации, в отдельные статьи выделено мошенничество с использованием платежных карт и в сфере компьютерной информации. С другой стороны, получить защиту у государственных институтов в случае хищения коммерческой тайны из информационной системы, например из базы данных, крайне сложно, поскольку закон «О коммерческой тайне» требует нанесения ограничительно грифа, полного наименования обладателя и его адреса на каждый материальный носитель такой информации. Реализовать это в информационной системе практически невозможно.
Практика правоприменения тоже пока не сильно сдерживает киберпреступников. Наказание для налетчиков на банк и хакеров, укравших ту же сумму через платежную или банковскую систему, на практике существенно разнятся. Много предстоит сделать для привлечения к судебной ответственности в случае атак на интернет вещей или объекты критической инфраструктуры. Не за горами автомобили без водителя или юридические компании с роботом-консультантом и неизбежные атаки и на них. Всем этим вызовам придется искать адекватную защиту, в том числе правовую.
Интервью взяла Мария Коломыченко

29 мая 2017 г.

Заключительный семинар по результатам контроля и надзора за обработкой персональных данных и судебным спорам

30 мая в БизнесШколеКонсультант мой заключительный очный семинар в зимне-весенний семестр. Прощаемся со слушателями до середины октября.
Тема как никогда актуальная - «Правоприменение законодательства о персональных данных в судебных спорах и надзорной деятельности». О содержании семинара и рассматриваемых на нем вопросах можно почитать здесь. Материал семинара дополнен новыми результатами проверок и судебными делами.
В качестве бонуса поделюсь со слушателями итогами трех судебных споров, в которых мы поучаствовали вместе с клиентами и убедили суд в своей правоте, а также разъяснениями, полученными в ответ на наши запросы из Роскомнадзора, Минкомсвязи и Роструда, раскрывающими позиции указанных ведомств по вопросу получения согласия субъекта на обработку персональных данных в письменной форме и последствиях отказа такое согласие предоставить.
Семинар проводит образовательное учреждение, специализирующееся на работе с кредитно-финансовыми организациями, но материал семинара, в котором можно участвовать он-лайн, полезен всем операторам персональных данных, независимо от рода их деятельности, особенно тем, кто готовится к проверкам в этом году.  

24 мая 2017 г.

Постановление по контролю и надзору за обработкой персональных данных: третья попытка

На Федеральном портале проектов нормативных правовых актов выложен для обсуждения и антикоррупционной экспертизы третий вариант постановления Правительства РФ, определяющего порядок осуществления государственного контроля и надзора за обработкой персональных данных. Первый вариант появился там еще летом 2015 года, вызвал шквал критики и бесследно растворился.
Обсуждения второго варианта закончилось в марте этого года, а в мае неожиданно появился третий. Видимо, на этапе доработки или при согласовании проекта появились новые требования, которые повлияли на содержание документа.
Третий вариант и называться стал по-другому – не «Порядок организации…», а «Положение о порядке осуществления…», и не просто «государственного контроля и надзора», а «федерального государственного». В новой редакции части 1.1 статьи 23 закона «О персональных данных», принятой уже в этом году, говорится о государственном контроле, про федеральный там ничего нет. Однако, в соответствии с пунктом 2 статьи 2 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», Правительством РФ должны утверждаться положения именно о федеральном государственном контроле (надзоре). На приведение проекта в соответствие этим законодательным нормам, видимо, и были направлены усилия при внесении изменений в предыдущую редакцию документа. Спасибо доценту Воронежского госуниверситета Алексею Ефремову за помощь в попытке разобраться в этих хитросплетениях законодательства.
В документе много косметических правок, в частности, везде, где можно, стал упоминаться индивидуальный предприниматель. Но есть и принципиальные изменения.
Упоминавшийся выше закон № 294-ФЗ вводит три вида контрольной деятельности:
  • плановые и внеплановые проверки юридических лиц, индивидуальных предпринимателей,
  • мероприятия по профилактике нарушений обязательных требований,
  • мероприятия по контролю, осуществляемые без взаимодействия с юридическими лицами, индивидуальными предпринимателями (мероприятия систематического наблюдения).
Про профилактику в предыдущей редакции ничего не было, зато теперь в проекте Положения появился целый раздел III «Организация и проведение мероприятий по профилактике нарушений требований законодательства Российской Федерации в области персональных данных». И это очень хорошо, потому как больше всего сейчас не хватает профилактики и методической работы, что приводит к нарушениям при проведении проверок, о которых операторы даже не догадывались, я уже писал об этом здесь и здесь. Проект документа предусматривает три вида таких мероприятий:
  • размещение на официальном сайте Роскомнадзора перечней нормативных правовых актов, содержащих обязательные требования (что очень логично, поскольку проверять можно, как известно, только выполнение обязательных требований);
  • информирование операторов о положении дел в области защиты прав субъектов персональных данных (это будет что-то новенькое);
  • регулярное обобщение практики осуществления государственного контроля и надзора в области персональных данных посредством составления ежегодного отчета о деятельности уполномоченного органа по защите прав субъектов персональных данных (это делается и сегодня, о последнем докладе надзорного ведомства можно посмотреть у меня на блоге).
Жаль, что этим видом мероприятий не предусматривается разработка и публикация проверочных листов или списков контрольных вопросов, которые становятся важным элементом при осуществлении некоторых видов контроля и очень упрощают жизнь проверяемым организациям, позволяя самостоятельно выявить несоответствие закону. Правительство РФ постановлением от 13.02.2017 № 177 уже утвердило требования к таким проверочным листам, но поскольку закон 294-ФЗ не применяется при осуществлении государственного контроля и надзора за обработкой персональных данных, такой способ проверок применяться не будет, во всяком случае, пока (вот и еще один минус вывода надзора из-под регулирования единым законом о защите прав проверяемых организаций).
Из других изменений надо отметить возвращение нормы о сроках проверок (не более 20 рабочих дней плюс продление на срок не более 20 рабочих дней). Предполагается, что, как и в предыдущей редакции, периодичность проведения плановых проверок устанавливается с учетом риск-ориентированного подхода, критерии которого Роскомнадзор определит сам.
Уточнено понятие мероприятий систематического наблюдения. Теперь к ним относится наблюдение за деятельностью по обработке персональных данных с использованием в сети Интернет и (внимание!) наблюдение за обработкой при оказании услуг и продаже товаров, предметом которых являются персональные данные и (или) деятельность по их обработке. Операторам связи и поисковикам, продающим профили абонентов и посетителей сайтов, даже безымянных (!), стоит напрячься и подумать о дальнейших действиях для обеспечения спокойной жизни.
Самое спорное и опасное, на мой взгляд, в проекте постановления – право Роскомнадзора выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований Федерального закона «О персональных данных» и об уничтожении недостоверных или полученных незаконным путем персональных данных. Из текста документа вытекает, что это право реализуется во внесудебном порядке, а механизм оспаривания такого требования не устанавливается. Мне кажется, экспертам, осуществляющим независимую антикоррупционную экспертизу, необходимо хорошо подумать о законности этих норм и возможных последствиях их реализации для бизнеса.
Из других сохраненных в новой редакции положений стоит отметить существенное расширение оснований для проведения внеплановых проверок по сравнению с законом № 294-ФЗ и отсутствие необходимости согласовывать проверки, как плановые, так и внеплановые, с прокуратурой.
И чтобы не было иллюзий: основанием для включения плановой проверки в план деятельности Роскомнадзора и его территориальных органов является осуществление деятельности по обработке персональных данных, а вовсе не наличие проверяемой организации в Реестре операторов. Теперь это прописано прямо.
Наконец, отмечу, что в проекте документа из области деятельности Роскомнадзора исключен контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных в ИСПДн, установленных статьей 19 закона «О персональных данных». Это и раньше вытекало из положений статьи 19, но разговоры на эту тему время от времени возобновляются.
Ждем постановление. Принято оно будет обязательно, с 22 февраля 2017 года наличие соответствующего акта Правительства РФ - обязательное требование закона.
Публичное обсуждение и антикоррупционная экспертиза заканчиваются уже завтра (25 мая).
В связи с размещением новой редакции проекта постановления с подачи «Известий» в СМИ и на интернет-ресурсах появилась масса публикаций примерно с такими заголовками «Роскомнадзор получит доступ ко всем персональным данным россиян». Жаль, что их авторы и те, кто бездумно перепечатывает, не утруждаются хотя бы разобраться с вопросом. Роскомнадзор всегда имел к ним доступ, и в этом вопросе ничего не поменялось. Не очень хорошо вводить миллионную аудиторию в заблуждение из-за лени и непрофессионализма. Так что, если захочется что-то еще почитать «про это» - читайте проект постановления.

17 апреля 2017 г.

Роскомнадзор опубликовал доклад о результатах надзорной деятельности

Документ готовится и размещается на сайте ежегодно, что дает возможность проанализировать надзорную деятельность за достаточно большой период.
В таблице ниже приведены данные о количестве и итогах проверок за соблюдением законодательства о персональных данных, начиная с 2008 года, когда проведение контрольных мероприятий было поставлено на плановую основу.
Число проверок незначительно колеблется из года в год. Меняется и доля проверок, по результатам которых были выданы предписания об устранении выявленных нарушений: если в 2010 году после проверки выдавалось в среднем более одного предписания, то в 2016 году предписаниями об устранении заканчивалась лишь каждая третья проверка. В 2016 году Роскомнадзором было составлено 6930 протоколов об административных правонарушениях .
К сожалению, в докладе не раскрывается, по каким конкретно составам административных правонарушений привлекались к ответственности операторы персональных данных, но, учитывая, что право административного производства по новой редакции статьи 13.11 КоАП РФ должностные лица Роскомнадзора получат лишь с 1 июля 2017 года, можно предполагать, что основная часть нарушений связана с неисполнением требований главы 19 КоАП РФ «Административные правонарушения против порядка управления» и применением таких статей, как 19.7 (непредставление или несвоевременное представление в орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), таких сведений (информации) в неполном объеме или в искаженном виде), 19.4.1 (воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора)), 19.5 (невыполнение в установленный срок законного предписания органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства), 19.6 (непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения).
Похоже, замедлился рост числа обращений и жалоб в Роскомнадзор от граждан и юридических лиц (см. таблицу), который был до последнего года экспоненциальным.
При этом стабильно очень низким является доля случаев, когда доводы заявителей подтверждаются при проверке жалобы – в 2016 году она составляла 7,9%, годом ранее – 7,6%, в 2014 году – 10%. Значит ли это, что операторы стали лучше выполнять закон? Возможно. Но может быть, и наоборот, - граждане услышали про закон, стали активно жаловаться, не понимая, что в нем написано.
На кого жалуются? Традиционно, на кредитные учреждения, организации ЖКХ, владельцев интернет-сайтов (в том числе социальные сети), коллекторские агентства. На что жалуются? Тоже традиционно – на передачу банками персональных данных без согласия клиента и на коллекторов – на обработку без такого согласия. Кстати, отмечу, что с 1 января 2017 года после вступления в силу «антиколлекторского» закона № 230-ФЗ согласие должника на передачу его данных коллектору не требуется, равно, как и согласие на обращение к его родственникам, соседям и иным лицам в целях взыскания задолженности, однако у должника и третьих лиц появилась возможность отказаться от взаимодействия со взыскателем. Я об этом как-то уже писал, здесь и здесь.
Претензии к владельцам сайтов связаны с распространением (для такой претензии достаточно публикации на сайте) персональных данных без согласия субъекта, созданием фейковых аккаунтов, обработку в целях, отличных от заявленных при сборе, а на организации ЖКХ чаще всего жалуются на вывешенные в подъездах списки должников, на передачу персональных данных третьим лицам без согласия субъекта (кстати, на CISO форуме 17 апреля я буду рассказывать как раз про такое дело, когда суд в привлечении взыскателей ничего криминального не увидел), на направление платежных документов в неконвертируемом виде, неправомерность обработки персональных данных жильцов многоквартирных домов фондами капитального ремонта.
Довольно неожиданно на третье место по числу обращений граждан в Роскомнадзор вышли вопросы порядка и условий установки видеокамер, а также хранения полученных видеозаписей. Учитывая внимание к этой теме Роструда и органов прокуратуры, похоже, что ситуация в этом направлении ужесточится. Наше агентство держит руку на пульсе – именно сейчас вместе с нашим партнером мы реализуем проект по локальному нормативному регулированию использования видеонаблюдения в большом торговом центре, включая систему распознавания лиц.
Из интересного в Докладе я бы еще выделил направления методической работы, выбранные Роскомнадзором, как в отношении операторов, так и в отношении инспекторов надзорного ведомства, которым посвящен один из разделов Доклада. Сообщается, что в 2016 году для территориальных органов были разработаны методические рекомендации по организации судебной работы в области защиты прав субъектов персональных данных в сети Интернет, а также по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Одним из возможных итогов методической работы, возможно, стало то, что по сведениям, приведенным в Докладе, в 2016 году по результатам рассмотрения судами общей юрисдикции исковых заявлений, поданных Роскомнадзором и его территориальными органами по фактам незаконной деятельности 196 интернет-ресурсов, осуществляющих распространение персональных данных граждан, в 100% рассматриваемых случаев приняты решения в пользу Роскомнадзора.
Отмечу также одну весьма важную инициативу, которая может повлиять на деятельность зарубежных компаний в России, - в соответствии с Планом организации законопроектных работ Минкомсвязи на 2017 год предусмотрена подготовка проекта Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» в части уточнения условий трансграничной передачи персональных данных.
Так что материала для анализа и размышлений в документе много. 

10 апреля 2017 г.

Неправильная регистрация пользователей может обернуться блокировкой сайта

Газета «Ведомости» опубликовала статью о проблемах сайтов в интернете с формами обратной связи, рисках и последствиях их размещения. В статье есть, в том числе, и мои комментарии, соображения, что надо делать, чтобы риски минимизировать.  Упомянутое в статье решение суда опубликовано здесь
Неправильная регистрация пользователей может обернуться блокировкой сайта
Пока компании только штрафуют за нарушения
Павел Кантышев
В октябре 2016 г. Тамбовская городская юридическая компания (ТГЮК) не смогла оспорить в областном суде решение мирового судьи: тот счел, что компания нарушает закон, собирая с заполнивших форму на ее сайте персональные данные, а предусмотренной законом защиты не предлагает. ТГЮК не публикует свою политику по обработке персональных данных и не сообщает, как защищает их. Компании предстоит заплатить административный штраф 1000 руб., следует из опубликованного на сайте sudact.ru постановления тамбовского суда.
Законодательство о защите персональных данных весьма широко трактует это понятие, отмечают юристы. ТГЮК апеллировала, что форма обратной связи на ее сайте предназначена лишь для приема сообщений и не собирает персональных данных, говорится в постановлении мирового судьи на сайте sudact.ru. Она состояла из трех элементов: имени, сообщения и его темы – с помощью этой формы невозможно определить физическое лицо, к тому же клиент не обязательно укажет настоящее имя.
Изначально форма обратной связи ТГЮК содержала контакты обратившегося: телефон и электронную почту, рассказывает ее представитель, компания убрала эти поля, чтобы соответствовать требованиям регулятора. Из-за этого, случается, компания теряет клиентов: не все догадываются написать свои контакты, сетует представитель ТГЮК. Компания думала над тем, чтобы разработать и опубликовать политику работы с персональными данными, но в итоге решила сократить форму, рассказывает он, добавляя: штраф компания заплатит.
В форме по умолчанию запрашивается подлинное имя, уверен представитель Роскомнадзора Вадим Ампелонский, а сочетание имени и электронной почты уже является персональными данными.
Клиент мог ввести в форму обратной связи вымышленное имя, но смысл решения тамбовского суда в том, что кто-то мог ввести и истинные – и в таком случае клиент имеет право знать, как будут обрабатываться его данные, рассуждает партнер юридической фирмы Baker & McKenzie Эдуард Бекещенко.
В России нет прецедентной системы, но другие судьи будут ориентироваться на решение, что чревато рисками для других компаний с аналогичным состоянием защиты персональных данных, уверен основатель юридической компании «Катков и партнеры» Павел Катков. В последнее время Роскомнадзор действует по единым сценариям проверок, по его представлению прокуратура возбуждает административные дела, а суды в большинстве случаев соглашаются с их доводами, говорит управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
Нарушителям грозит административная ответственность: сейчас максимальное наказание для юрлиц – 10 000 руб. Но с 1 июля вступят в силу поправки в Кодекс об административных правонарушениях, увеличивающие наказание до 30 000 руб.
Однако гораздо более серьезной мерой является блокировка сайта – закон предусматривает ее возможность, указывает Катков.
Определение
Закон относит к персональным данным «любую информацию, относящуюся прямо или косвенно к определенному или определяемому физическому лицу».
Блокировку влечет решение суда об ограничении доступа, принятое по иску пользователя, Роскомнадзора или прокуратуры, но тогда именно с таким иском они и должны обращаться, уточняет Емельянников.
По его словам, фактически сайт можно закрыть за любое признанное судом нарушение законодательства о персональных данных.
Если штраф можно выплатить и работать дальше, то блокировка сайта может повлечь убытки из-за простоя деятельности, уверен Катков. Поэтому он советует провести технико-юридический аудит сайта и поискать подобные слабые места. Кроме того, он рекомендует проверить внутренние системы защиты персональных данных, поскольку Роскомнадзор может взяться и за внутренние документы.
Владельцам форм обратной связи, чтобы не быть оштрафованными, нужно брать согласие пользователя на обработку его данных, как того требует закон, говорит Ампелонский.
Емельянников советует размещать на сайте политику по обработке персональных данных, давать посетителям возможность соглашаться на обработку их данных. Он также рекомендует публиковать политику в отношении файлов cookies (в них браузер записывает данные о посещенных сайтах), включая их передачу аналитическим службам интернета. По словам Емельянникова, в последнее время Роскомнадзор считает персональными данные, полученные при анализе файлов cookies, IP-адреса пользователей и в целом все, что помогает сформировать профиль пользователя, достаточный для таргетирования рекламы. Отсутствие в профиле ФИО на это решение не влияет. Все эти документы Емельянников советует размещать на баннере, без закрытия которого согласием пользователя он не может продолжить пользоваться сайтом.
Рецепт Бекещенко из Baker & McKenzie: исключить из форм обратной связи все поля, которые хоть каким-то образом можно причислить к персональным данным (что зачастую лишает эту форму всякого смысла), либо, как требует закон, создать нужные документы и выложить их в открытый доступ.
В феврале астраханская газета «Волга» сообщала о компаниях, которые были оштрафованы за нарушавшую закон о защите персональных данных форму обратной связи. Был аналогичный случай и в Тюмени. Форма обратной связи есть и на сайте самого Роскомнадзора – например, желающим получить ответ на свое предложение по улучшению работы сайта предлагается оставить имя, фамилию и адрес электронной почты. По закону для обработки обращения в госструктуру согласие на обработку своих персональных данных не нужно, говорит Ампелонский.

20 марта 2017 г.

Предупрежден – значит, вооружен. Готовимся к проверкам обработки персональных данных

30 марта в Учебном центре «Информзащита» - премьера моего нового авторского семинара «Правоприменение законодательства о персональных данных в судебных спорах и надзорной деятельности». Семинар уникальный, материалом для него послужили результаты проверок, проведенных Роскомнадзором в 2016 году – акты, предписания, справки, материалы судебных дел, связанных с привлечением операторов к административной ответственности и исками о блокировке сайтов, обрабатывающих персональные данные с нарушением российского законодательства, в том числе – находящихся за рубежом и принадлежащих компаниям, не ведущим деятельность на территории России.  
А начнем мы его с анализа того, как организована надзорная деятельность за обработкой персональных данных после 1 сентября 2015 года, когда ее проведение было выведено из-под регулирования Федеральным законом от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля». Разберемся, что написано в Административном регламенте Роскомнадзора, определяющем порядок проведения проверок. Посмотрим статистические данные проведенных надзорным ведомством мероприятий, узнаем, что такое мероприятия систематического наблюдения, как они проводятся и к каким последствиям ведут, какие еще формы и методы контроля стали использоваться надзорными органами.
Слушатели семинара узнают об особенностях планирования и организации проверок, чем план проверок территориального управления Роскомнадзора отличается от плана деятельности и где можно найти сведения о том, будут ли в этом году проверять конкретную организацию. В заключение этого раздела семинара заглянем в проект постановления Правительства, которым предполагается регулировать контрольную и надзорную деятельность Роскомнадзора, и оценим, что нас всех может ждать в ближайшем будущем.
Значительная часть семинара будет уделена разбору нарушений, вскрытых управлением Роскомнадзора по ЦФО при проверках в 2016 году. Думаю, многие слушатели узнают для себя много нового – например, сколько согласий в письменной форме надо получать от работника организации, когда Роскомнадзор соглашается с тем, что документы передаются внешней организации на архивное хранение, а когда считает это распространением персональных данных без согласия субъекта, нарушающим его права и законные интересы. Детально разберем, когда и как надо получать доказываемое согласие родственников работников на обработку работодателем их персональных данных, и может ли дать такое согласие работник как представитель, например, своей супруги.
Ответим для себя на вопрос, когда передача персональных данных является поручением иному лицу их обработки, а когда – не связана с поручением, и чем отличается порядок оформления согласия на передачу в этих случаях. Когда персональные данные могут передаваться оператором иным лицам в рамках исполнения договора с субъектом, а когда такая передача выходит за пределы договора и должна подтверждаться согласием.
Будет уделено время и «вечному» вопросу - что является персональными данными, а что - нет, что думают по этому поводу и, самое главное, пишут в материалах проверки надзорные органы.  Например, относятся ли к персональным данным сведения о пользователе: его IP-адрес, местонахождение, поисковые запросы, интернет-адреса веб-страниц, посещаемых пользователем, тематику информации, размещённой на посещаемых пользователем интернет-ресурсах оператора, и об используемом для доступа в Интернет оборудовании и программном обеспечении: разрешение и глубина цвета экрана, версия и характеристики браузера, версия Flash и т.д. Являются ли персональными данными сведения о предпочтениях субъекта по заказу такси и выбору авиакомпании, наличии у него кредитных карт и карт лояльности сетевых гостиниц. Можно ли работодателю хранить анкету соискателя и его резюме после приема на работу. И многое другое.
Практика показывает, что даже такие мелочи, казалось бы, как документальное оформление ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и информирования лиц, осуществляющих обработку персональных данных без использования средств автоматизации, может стать причиной претензий со стороны проверяющих.
Закончим мы семинар двумя темами – распространением рекламы и обращений к потребителям услуг как факторе риска, влекущем немалые штрафы в случае нарушения закона, и анализом нового содержания статьи 13.11 КоАП РФ, вступающей в силу с 1 июля 2017 года и вводящей семь составов административных правонарушений и совсем другие штрафы по сравнению с предусмотренными действующей редакцией.
Поделимся мы с вами и опытом общения с прокуратурой и судами при привлечении операторов к административной ответственности за нарушения законодательства о персональных данных и порядка уведомления госорганов в случае, когда предоставление информации является обязательным в соответствии с законом.

Шесть часов внимания и интерактивного обсуждения – и вы будете знать о проверках значительно больше, а, значит, сможете снизить риски привлечения вашего работодателя к ответственности и поводы для этого.