16 июля 2018 г.

Биометрическая идентификация стартовала в банках


Все читатели моего блога, наверное, знают, что 30 июня заработала система удаленной биометрической идентификации для предоставления, на данный момент, банковских услуг, а в перспективе – и многих других.
Для запуска биометрической идентификации в соответствии с изменениями, внесенными в Федеральный закон «Об информации, информационных технологиях и о защите информации», было необходимо принятие целого ряда подзаконных нормативных правовых актов.  
22 февраля распоряжением правительства № 293-р на ПАО «Ростелеком» были возложены функции оператора единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации (Единой биометрической системы, ЕБС). 
Затем 28 марта 2018 года Правительство постановлением № 335 определило федеральный орган исполнительной власти, осуществляющий регулирование в сфере идентификации граждан Российской Федерации на основе биометрических персональных данных, которым стало Минкомсвязи России.
Дальше решались процессные задачи и согласовывались со всеми заинтересованными сторонами, что всегда в нашей стране дается не легко.
К концу июня документы стали появляться как из рога изобилия:
21 июня подписан Приказ Минкомсвязи России № 307 «Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, а также об определении степени взаимного соответствия указанных биометрических персональных данных, достаточной для проведения идентификации, предусмотренной Федеральным законом от 27 июля 2006 года №149-ФЗ "Об информации, информационных технологиях и о защите информации"» (вместе с  «Методикой проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным, содержащимся в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, для одного бимодального алгоритма» и аналогичной методикой для для двух независимых биометрических алгоритмов) (зарегистрирован в Минюсте 29.06.2018, вступление в силу – 6 июля).
25 июня подписан Приказ Минкомсвязи России № 321 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных в целях идентификации, порядка размещения и обновления биометрических персональных данных в единой биометрической системе, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации» (зарегистрирован в Минюсте 04.07.2018, вступление в силу – 11 июля).
В тот же день - Приказ Минкомсвязи России № 322 «Об определении размера платы, взимаемой оператором единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, за предоставление банкам, соответствующим критериям, установленным абзацами вторым - четвертым пункта 5.7 статьи 7 Федерального закона от 7 августа 2001 г. N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", информации о степени соответствия предоставленных биометрических персональных данных биометрическим персональным данным клиента-физического лица, содержащимся в указанной системе» (зарегистрирован в Минюсте 04.07.2018, вступление в силу – 10 июля).
29 июня - Постановление Правительства РФ № 747 «Об установлении требований к фиксированию действий при размещении в электронной форме в единой системе идентификации и аутентификации сведений, необходимых для регистрации гражданина Российской Федерации в указанной системе, и иных сведений, предусмотренных федеральными законами, а также при размещении биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» (вступление в силу – 30 июня 2018).
30 июня принято Постановление Правительства РФ № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных, а также о внесении изменений в некоторые акты Правительства Российской Федерации» (вступление в силу – 11 июля 2018).
В тот же день – Распоряжение Правительства РФ № 1322-р «Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, и биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» (вступление в силу – 30 июня 2018).
То есть система законно заработала тогда, когда большинство регламентирующих ее функционирование нормативные актов еще не действовали, а часть вступила в силу в день старта, и банки каким-то мифическим способом узнали их содержание, например, форму согласия субъекта на обработку биометрии.
Но, если читатели помнят, нам обещали суперзащищенную систему. Вот только модели угроз, от которых ее надо защищать, пока нет. Не сложилось.
27 июня Банк России разослал письмо № 03-56/4799, в котором сообщил, что перечень угроз согласовывается с ФСБ и ФСТЭК, и в него планируется включить угрозы, указанные в приложении к письму. Планируется. А система работает. И ее надо защищать. Сегодня. А не когда согласуют модель.
Судя по обилию ссылок в предполагаемом перечне угроз на приказ № 378 ФСБ России, согласование идет.
Во всем этом клубке проблем, а также во многих других проблемах мы будет разбираться на семинаре «Соблюдение законодательства о персональных данных в кредитно-финансовых учреждениях в новых условиях 2018 года», который пройдет 25 июля в НОО НП «БизнесШколаКонсультант». Обновленная программа - здесь.

27 июня 2018 г.

У оператора персональных данных могут появиться невыполнимые обязанности

И административная ответственность за их невыполнение.
Минкомсвязи разработаны новые поправки в закон «О персональных данных» и КоАП РФ. 25 июня закончилось их публичное обсуждение и антикоррупционная экспертиза. Далее, как обычно, оценка регулирующего воздействия и рассмотрение в Правительстве.
Суть поправок проста: оператору, поручившему обработку персональных данных иному лицу (например, покупку билетов и бронирование гостиниц своим командируемым работникам), вменяется в обязанность организовать и обеспечивать контроль за соблюдением обработчиком требований законодательства о персональных данных. И не просто контроль, а надлежащий. Первый же вопрос – а какой контроль будут считаться надлежащим? Гарантирующий отсутствие инцидентов с обрабатываемыми данными? Но это невозможно в принципе! Какой же тогда? Ответа нет.
При этом порядок осуществления такого контроля оператор должен определить самостоятельно. В случае невыполнения этого требования – штраф на юридическое лицо до 30 тысяч рублей, на должностное – до 6 тысяч. Причем неважно, были ли утечка у обработчика, пострадали ли субъекты. Квалифицирующий признак правонарушения – невыполнение оператором обязанности осуществления надлежащего контроля.
С обработчиком еще интереснее. Штрафы - также до 30 тысяч рублей, но за нарушение требований законодательства в области персональных данных. Каких требований, как следует из теста законопроекта, значения не имеет.
Есть большие подозрения, что эти требования не только невыполнимы, но и противоречат Конституции и нормам гражданского права.
Начнем с невыполнимости. Организация такого контроля ляжет тяжким бременем на оператора любого масштаба, от микро-бизнеса до самых крупных компаний.
Давайте представим: малое предприятие отдало на аутсорсинг бухгалтерский, кадровый, воинский учет и охрану труда, а информационные системы, те, что остались, например, CRM, разместило в дата-центре или использует по схеме SaaS. Ситуация типичная. Делается это по простой причине – экономически нецелесообразно держать своих специалистов в штате для решения подобных вопросов, дешевле использовать аутсорсинг. И теперь это самое предприятие должно определить порядок контроля, составить планы, убедить аутсорсера согласиться на такой контроль, периодически проводить контрольные мероприятия и тщательно документировать полученные результаты (контроль должен быть надлежащий и это надо доказывать). Кто и за какие деньги будет это решать в сегменте СМБ при том, что задач бизнеса в этом процессе ровно 0, а размер штрафа меньше месячного оклада такого специалиста. Значит – игнорировать и платить, если попался.
В крупном бизнесе ситуация не лучше. Там обработчиков сотни и тысячи, к перечисленным выше добавляются агенты (сколько агентов у больших страховых компаний или операторов связи?), колл-центры, организаторы и исполнители маркетинговых акций, компании, работающие «в поле» с конечными потребителями и т.д. и т.п. Всех их надо контролировать. А это уже большое структурное подразделение со штатом квалифицированных специалистов, объемные планы контроля с опять-таки нулевой отдачей в бизнес.
Ну, и наконец, обработчики. Те, для кого аутсорсинг – основной бизнес, должны будут столкнуться с толпами контролеров от контрагентов-операторов персональных данных, чего-то требующих, но плохо понимающих, что вообще они должны проверять. Кто ими будет заниматься у аутсорсера? Когда? И уж совсем риторический вопрос: как это скажется на стоимости оказываемых услуг? 
И еще одна проблема. В ходе проверок надзирающий оператор персональных данных может неизбежно столкнуться с коммерческими секретами и иной чувствительной информацией аутсорсера, что порождает новый клубок проблем.
И, наконец, о конституционности законопроектов.
Российское законодательство закрепляет принцип недопустимости произвольного вмешательства в частные дела в сфере договорных правоотношений. Статьей 8 Конституции РФ гарантируется свобода экономической деятельности.
Часть 1 статьи 1 ГК РФ, конкретизируя данную конституционную норму, устанавливает, что гражданское законодательство основывается на признании равенства участников регулируемых им отношений, неприкосновенности собственности, свободы договора, недопустимости произвольного вмешательства кого-либо в частные дела, необходимости беспрепятственного осуществления гражданских прав, обеспечения восстановления нарушенных прав, их судебной защиты.
Данное положение подтверждается правовой позицией Конституционного Суда РФ, отметившего в Постановлении от 06.06.2000 № 9-П, что «реализация имущественных прав осуществляется на основе общеправовых принципов неприкосновенности собственности и свободы договора, предполагающих равенство, автономию воли и имущественную самостоятельность участников гражданско-правовых отношений, недопустимость произвольного вмешательства кого-либо в частные дела».
Такая автономия деятельности подразумевает, в том числе право на заключение договоров и свободу такого договора, иные правомерные действия по своему усмотрению.
Принцип невмешательства в договорные правоотношения необходимо рассматривать в совокупности с принципом свободы договора, закрепленном статьей 421 ГК РФ. Данные принципы имеют целью не допустить неоправданное стеснение свободы субъектов гражданского права в договорной сфере.
Отношения оператора и обработчика регулируются частью 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон 152-ФЗ), содержащей требования к существенным условиям такого договора, а часть 5 той же статьи устанавливает ответственность обработчика перед оператором.
Данные нормы в совокупности представляются вполне достаточными для реализации требований законодательства о персональных данных и не требуют дополнительного административного вмешательства в виде установления обязанности контролировать деятельность обработчика.
Восстановление нарушенных прав субъектов персональных данных и операторов неправомерными действиями обработчика, компенсация понесенных убытков и морального вреда в достаточной мере обеспечивается гражданско-правовыми методами.
Зачем нужен такой закон, выдвигающий операторам и обработчикам невыполнимые требования, совершенно не понятно. Кстати, нет ни слова об этом и в пояснительной записке к проекту федерального закона «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения принципов обработки персональных данных в государственных информационных системах)», которым рассматриваемые поправки предусматриваются.

15 мая 2018 г.

Три мифа о персональных данных и облаках


По приглашению компании Oracle я участвовал в двух мероприятиях, посвященных облачным технологиям. Обсуждение неизбежно коснулось ограничений на использование облаков, связанных с требованиями российского законодательства о персональных данных.
Полная версия того, что и как обсуждалось, выложена в блоге Oracle в России и СНГ, ниже – наиболее важные, с моей точки зрения, выводы.
По-прежнему решения об отказе от использования облаков порой принимаются под влиянием мифов, возникших из газетных заголовков и не очень грамотных комментариев.
Даже простой и очевидный, на первый взгляд, вопрос, что такое персональные данные, не имеет столь же простого ответа, тем более что трактовка понятия персональных данных постоянно меняется.
На сегодня есть два важных признака персональных данных: возможность идентификации конкретного лица и потенциальные последствия использование данных. Если есть последствия для субъекта, например, негативные или юридически значимые, то эти данные всегда следует рассматривать как персональные и защищать, даже если установить личность их обладателя невозможно.
Миф 1 – Персональные данные россиян должны храниться в России
Есть мнение, что все собираемые в России персональные данные должны храниться на территории Российской Федерации. Это не так. В законе говорится, что «при сборе персональных данных <…> оператор обязан обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение этих данных с использованием баз данных, находящихся на территории РФ». То есть речь идет именно о сборе персональных данных. В законе нет требования использовать персональные данные только с помощью баз данных, находящихся на территории РФ.
Согласно разъяснениям Минкомсвязи на странице официального сайта ведомства, собранные и хранящиеся на территории РФ персональные данные впоследствии могут выноситься за пределы территории государства и использоваться для резервного копирования, рекламы, оказания различных услуг и так далее.
При этом под базой персональных данных понимается любой упорядоченный массив персональных данных, независимо от носителя. То есть это могут быть файлы, базы данных и даже упорядоченные бумажные архивы. Затем можно, например, выгрузить эти данные в базу данных, например, Oracle в зарубежном облаке и использовать их и за пределами РФ.
Есть три возможных способа выполнить требования законодательства РФ:
1.     Создать базу данных на территории РФ, причем в любой форме, а потом передавать из нее данные в зарубежные базы данных. При этом актуализация данных также должна происходить на территории РФ.
2.     Разместить данные за рубежом в обезличенной форме.
3.     Шифровать базы данных и передавать их за рубеж в зашифрованном виде. В таком случае для провайдера за рубежом это – не персональные данные.
Согласно разъяснениям Роскомнадзора и Минкомсвязи, сбор персональных данных – это получение данных непосредственно от субъекта или привлеченных для этого третьих лиц. Обязанность по их локализации возникает только в период сбора персональных данных. Если собранные данные локализованы на территории РФ и перенесены для обработки за рубеж, то получение с использованием функционала приложений в облаке новых данных, касающихся субъекта размещения этих данных на территории РФ, не требуется.
Если, например, в облачной системе Oracle Taleo Cloud Service на основании собранных и локализованных в РФ данных о работнике определяется его грейд, делается вывод о необходимости направления работника на повышение квалификации или о его продвижении по службе, то такие данные нельзя рассматривать как получаемые во время сбора, то есть они не были получены от субъекта или через уполномоченных оператором лиц. Соответственно, закон о персональных данных не содержит требования об обязательной локализации таких данных на территории РФ.
Облачное решение  Oracle Cloud at Customer обеспечивает реализацию законодательных требований, так как позволяет заказчику развернуть и получать публичные облачные сервисы Oracle в своем ЦОД, расположенном на территории РФ При этом в ЦОД заказчика и в облаке Oracle используется одно и того же программное и аппаратное обеспечение, что обеспечивает простой перенос приложений и данных между ними при наличии локализованной базы персональных данных, а ответственным за предоставление сервисов и уровень обслуживания остается Oracle.
Миф 2 - Трансграничная передача данных россиян запрещена
Нормы законодательства РФ о передаче персональных данных на территорию иностранных государств следует рассматривать в контексте обязательств, взятых на себя РФ при ратификации Конвенции Евросоюза 1981 года № ETS-108. Так, согласно статье 12, сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.
Если иностранное государство обеспечивает адекватную защиту прав субъектов персональных данных, то трансграничная передача данных ограничиваться не может.
При этом, если персонал облачной инфраструктуры имеет доступ к персональным данным клиента, размещенным в облаке, то необходимо получать согласие субъектов на такую передачу, так как в этом случае провайдер исполняет поручение обработки российского оператора. Однако оператор может предусмотреть в договоре запрет на доступ персонала к данным, что освобождает от такой необходимости.
Миф 3 – Обеспечивать безопасность персональных данных облачный провайдер не может
Законодательство прямо предусматривает возможность аутсорсинга обеспечения безопасности персональных данных при их автоматизированной обработке.
Безопасность персональных данных может обеспечивать сам оператор персональных данных (то есть заказчик), оператор информационной системы или лицо, обрабатывающее персональные данные по поручению оператора на основании договора.
Что должен сделать российский оператор персональных данных (заказчик)?
·         Определить типы угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения.
·         Определить уровень защищенности своей информационной системы, которую он выносит в облако.
·         Построить модель угроз и систему защиты, обеспечивающую адекватную защиту от этих угроз, для своего сегмента информационной системы, находящегося вне облака.
Что должен сделать зарубежный провайдер облачных услуг?
·         Предоставить оператору данные о том, какие меры безопасности обеспечиваются в облачной инфраструктуре.
·         Обеспечить принятие дополнительных мер безопасности или предоставить оператору возможность развернуть дополнительные средства безопасности (PaaS или IaaS).
·         Отразить в договоре обязанности по обеспечению мер безопасности и конфиденциальности обрабатываемых данных, вопросы доступа персонала к ним.
·         Принимать меры по предотвращению несанкционированного доступа к персональным данным и несанкционированного воздействия на такие данные и информационные системы.
Общие выводы
·         После завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории РФ, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории РФ.
·         Не накладывается никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории РФ, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан РФ после их трансграничной передачи.
·         Закон в редакции, вступившей в силу 1 сентября 2015 года, не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории РФ, за исключением их сбора.
И завершить хотелось бы фразой, которую я не устаю повторять на своих выступлениях – «Недостатки нормативного регулирования не могут являться основанием для отказа от использования современных информационных технологий, потому что иначе вы неизбежно окажетесь на обочине конкурентной борьбы».

9 мая 2018 г.

О личной жизни на рабочем месте – 15 мая на PHDays


Жизнь работника офиса в цифровую эпоху значительно изменилась. Интернет и облачные хранилища, социальные сети и мессенджеры, геолокация, видеонаблюдение и биометрическая идентификация — все это приметы нового времени.
Где граница вмешательства работодателя в деятельность работника? Как предотвратить непроизводительную трату рабочего времени и организовать контроль за соблюдением корпоративных правил хранения, использования и передачи информации? Что, если сотрудник работает удаленно? Можно ли контролировать личные гаджеты сотрудника, которые используются в трудовой деятельности? Как поставить систему видеонаблюдения и контроля рабочего времени и не нарушить при этом закон и права работника?
Причины увольнения работников в последние годы самые разнообразные и часто с рабочим местом не обязательно связанные, но так или иначе затрагивающие личную жизнь работника. Машинист метро начинал рабочий день с набрасывания куртки на камеру видеонаблюдения в кабине поезда. Инженер обсуждал с невестой подготовку к свадьбе с использованием служебного аккаунта в мессенджере. Руководитель кадровой службы отправил с рабочего места на свой почтовый ящик в общедоступном сервисе персональные данные работников. Одна работница покритиковала в соцсети качество продукции, производимой компанией, в которой работает, а другая - выложила в Инстаграме фото с вечеринки, где она была в обуви, производимой конкурентом компании. Сотрудники российских компаний серфились в рабочее время в Интернете, обоих наказали, но одно наказание суд отменил, а с другим согласился. Почему? Вы читали правила внутреннего трудового распорядка своего работодателя? Расписывались за ознакомление? А корпоративный кодекс поведения? Нет? Зря… Последствия могут быть самыми печальными.
15 мая на Positive Hack Days с 12:00 до 13:50  в зале «Валдай» мы попытаемся найти ответы на эти и другие вопросы, детально анализируя законодательство и судебную практику — от решений Европейского суда по правам человека по делу Барбулеску и Конституционного суда РФ по делу Сушкова и до решений мировых и районных судов, локальные акты работодателей и последствия их невыполнения работниками. Никаких домыслов и предположений – только факты из российской и зарубежной практики.
А начнем мы с вывода Рабочей группы Евросоюза по вопросам защиты физических лиц при обработке персональных данных, сделанного в отношении мониторинга рабочей переписки персонала: «Работники не оставляют свое право на неприкосновенность частной жизни и защиты данных каждое утро за дверью рабочего кабинета».

8 мая 2018 г.

21-22 мая: о старых и новых проблемах обработки персональных данных


21-22 мая в Учебном центре «Информзащита» я проведу мой очный авторский курс «Защита персональных данных», в последний раз до октября этого года. Кроме традиционного анализа новейшей правоприменительной практики и судебных решений в нем будут 2 «изюминки».

1.       Будут рассмотрены вопросы, связанные с вступлением 25 мая в силу Европейского регламента GDPR и применимости его к деятельности российских операторов персональных данных.
2.       В программу семинара включен анализ нового Федерального закона от 31.12.2017 № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации», регулирующего вопросы биометрической идентификации клиентов банков и предоставления ими услуг без личного присутствия клиентов в банке, а также перспективы распространения идентификации на другие сферы деятельности.

19 февраля 2018 г.

Здравствуй, новый дивный мир открытых данных!

Я уже как-то писал, что мы для своих клиентов, которым оказываются услуги по абонентскому обслуживанию, готовим и рассылаем ежемесячный отчет о практике правоприменения законодательства о персональных данных. В месяцы, когда работает Госдума, это 250 и более страниц, собранных в 9 разделах, во время каникул – немного меньше. 
Отчет позволяет читающим его быть в курсе всего происходящего в этой непростой и зарегулированной сфере. Но и для меня и наших консультантов он тоже очень важен и интересен, поскольку позволяет взглянуть на проблему «сверху» и видеть проблематику развития законотворчества и правоприменения в целом, прочувствовать тенденции.
После прочтения отчетов последних месяцев у меня укрепилось мнение, появившееся достаточно давно (см., например, здесь или здесь), что тенденции эти весьма малоутешительны. Мы уверенно мигрируем в новый мир без приватности и неприкосновенности частной жизни, причем это движение одновременно происходит сверху (государственное регулирование и реализация новых нормативов) и снизу (публикации в соцсетях, в первую очередь).
На государственном уровне (не только в России, во всем мире) тенденция проявляется в следующих направлениях:
(1)           существенное расширение круга сведений о частных лицах, подлежащих обязательному опубликованию, раскрытию, а также к которым предоставляется доступ;
(2)           увеличение количества государственных и окологосударственных информационных систем, в которых накапливаются данные о физических лицах;

(3)           расширение доступа к этим многочисленным системам как со стороны государственных органов и организаций, так и со стороны частных компаний.
Это позиция ярко и наглядно иллюстрируется материалами нашего январского отчета. Давайте посмотрим на новые инициативы.
Расширение перечня персональных данных, подлежащих обязательному опубликованию, раскрытию, а также к которым предоставляется доступ
С 1 мая 2018 года существенно расширяется перечень сведений, к которым можно получить доступ через личный кабинет на портале госуслуг. Среди них теперь информация «об указанном лице, о его несовершеннолетних детях, принадлежащем ему имуществе и результатах предоставления ему государственных и муниципальных услуг, содержащимся в информационных системах федеральных органов исполнительной власти, Госкорпорации «Росатом», органов государственных внебюджетных фондов, исполнительных органов власти субъектов Федерации и органов местного самоуправления. Можно долго спорить, кто подразумевается под «указанным лицом», и какие случаи предусмотрены для такого доступа законодательства (норма в постановлении Правительства, как обычно, бланкетная), но тенденция очевидна.
С 1 января подлежит публикации в открытом доступе в Интернете реестр лиц, уволенных с государственной службы в связи с утратой доверия.
В системе межведомственного электронного взаимодействия (СМЭВ) теперь будут доступны такие документы и сведения, как выписки из ЕГРН, ИНН физлица, 2-НДФЛ и 3-НДФЛ, ПТС, сведения о наличии решения о приостановлении операций по счетам налогоплательщика. Кому доступны? Пользователям СМЭВ!
Банк России инициирует создание системы, позволяющей получить сведения о суммарной долговой нагрузке заемщиков. Не исключено, что у такой системы может появиться единый оператор.
Росфинмониторинг определил порядок представления сведений о бенефициарах (на подготовку ответа дается 5 дней).           
Выполняя требования ФНС о проявлении разумной осмотрительности при выборе контрагента, организации перед заключением договоров стали массово запрашивать сведения о застрахованных лицах контрагента (СЗВ-М), а там – полный список работников со СНИЛС и ИНН.
ФНС России запустил новый электронный сервис, позволяющий подтвердить статус налогового резидента. Не проверял, но логично предположить, что в нем будут накапливаться сведения обо всех пересечениях границы.
Депутат «Единой России» Виталий Милонов повторно внес законопроект, предусматривающий идентификацию пользователей соцсетей при создании аккаунта, а детей до 14 лет – только при наличии у соцсети согласия родителей в письменной форме. Невыполнение этих требований предусматривает штраф в 1 млн. рублей.
Замглавы Роскомнадзора заявил, что базы данных об абонентах операторов связи (ст.53 закона «О связи») нужно пополнить информацией о никнеймах и используемых ими мессенджерах.
ФРИИ подготовил концепцию законопроекта о «больших пользовательских данных» (БПД), предусматривающую институт компаний-посредников, располагающих информацией о нахождении БПД у определенных операторов, которые фактически будут знать все компании, которым пользователь дал согласие на обработку персональных данных.
ФНС России активно готовится к началу обмена налоговой информацией с зарубежными юрисдикциями, разрабатывает соответствующие формы и правила.
Увеличение количества государственных и окологосударственных информационных систем, в которых накапливаются персональные данные
С 1 января закон о телемедицине легализовал функционирование единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ), которая фактически уже строится несколько лет. Сведения о состоянии здоровья там должны быть обезличены, но в уже построенных и функционирующих медицинских информационно-аналитических центрах (МИАЦ) есть электронные медицинские карты пациентов. Читаем статью 10 закона о персональных данных и удивляемся - в МИАЦах сведения о нашем здоровье обрабатывают отнюдь не врачи! Кроме того, другим постановлением Правительства предусматривается передача из медицинских организаций в ФГИС ФСС сведений о листках нетрудоспособности с использованием ЕГИСЗ. Обезличенных?
С 1 января внедряется единая государственная информационная система социального обеспечения (ЕГИССО). Она должна содержать полные сведения о всех мерах социального обеспечения, предоставленных гарантиях, выплатах и компенсациях. Вести ЕГИССО обязан Пенсионный фонд России.
С этой же даты началось создание Единого государственного реестра записей актов гражданского состояния.
С 1 января интернет-мессенджеры должны идентифицировать своих пользователей по номеру и хранить идентификационные сведения только на территории России. За неисполнение вводится административная ответственность со штрафом до 1 млн руб. для юридических лиц.
С 1 января заработала (или должна заработать, проверить не могу) единая информационная система электронных путевок (слово то какое!), куда турфирмы обязаны вносить сведения обо всех оказанных физлицам услугах.
В ФГИС «Единая интегрированная информационная система «Соцстрах» Фонда социального страхования РФ» теперь будут накапливаться электронные листки нетрудоспособности, поступающие из учреждений здравоохранения, доступные фонду и работодателям.
С 28 января вступили в силу новые требования к деловой репутации приобретателей крупных пакетов акций, органов управления и должностных лиц банков, страховых компаний, НПФ, управляющих компаний и микрофинансовых компаний. Банк России будет вести соответствующую базу, сведений о которой могут быть предоставлены по запросу поднадзорных организаций.
С 16 февраля в соответствии с указанием Банка России расширяется перечень инсайдерской информации, к которой теперь будут причисляться сведения о возбуждении уголовного дела против руководителя или члена совета директоров компании. Эти данные подлежат обязательному раскрытию.
СМИ активно пишут о появлении у таможенников информации о незадекларированных дорогих покупках за рубежом, в том числе таких, в отношении которых россияне возвращали НДС в аэропортах через систему tax free. 
С марта должна начать функционировать создаваемая Банком России, Роскомнадзором и Росфинмониторингом система учета замороженных активов лиц, подозреваемых в финансировании терроризма, – счетах в банках, микрофинансовых организациях, управляющих компаниях и операторах связи.
С 4 июня заработает «реестр дебоширов» - пассажиров авиакомпаний, которым может быть отказано в перевозке из-за хулиганства на борту. РЖД активно лоббирует создание аналогичной базы о дебоширах в поездах.
Расширение доступа к персональным данным как со стороны государственных органов и организаций, так и со стороны частных компаний
В соответствии с распоряжением Правительства РФ от 03.10.2017 № 2147-р, с 1 февраля ведомства смогут сами запрашивать некоторые документы с использованием единой СМЭВ, такие, как выписки из ЕГРН, ИНН, справки 2-НДФЛ и 3-НДФЛ, сведений о наличии решения о приостановлении операций по счетам налогоплательщика; учредительные документы в электронной форме и много другого.
С 26 декабря нотариусы получили доступ к государственной информационной системе миграционного учета и базовому государственному информационному ресурсу регистрационного учета граждан Российской Федерации по месту пребывания и по месту жительства.
Не заработала еще система удаленной биометрической идентификации в банках, не решены вопросы обеспечения ее безопасности, а к ней в 2019 готовятся подключиться страховые и управляющие компании, НПФ и микрофинансовые организации.
Но хватит примеров. Остановитесь и переведите дух. Это – только из одного месячного отчета. Одного!
В этом посте я не буду высказывать свое мнение о полезности и вреде всех этих изменений. Просто мир очень быстро меняется, и нам в нем жить.
Добро пожаловать в новый дивный мир!  

31 января 2018 г.

И снова о допустимости обработки персональных данных, размещенных в социальных сетях

Дал вчера вечером небольшой комментарий каналу "Говорит и показывает Санкт-Петербург" по поводу решения 9 арбитражного апелляционного суда по иску сети "ВКонтакте" к ООО "Дата". На эту тему я уже писал в декабря прошлого года здесь и здесь.



Это не точка в данном сложном вопросе. Все только начинается.   

Большой брат оценит каждого. Социальная сеть «Вконтакте» через суд запретила сервису Double Data использовать данные пользователей сети для оценки их кредитоспособности.
По данным «Вконтакте», Double Data проанализировала более 400 миллионов открытых профилей и предлагала информацию банкам. В прошлом году суд отклонил иск к Double Data и Национальному бюро кредитных историй. Но после аппеляции первой запрещено использовать данные сети, а с бюро в августе заключено мировое соглашение.
Давайте разберемся, кто, как и с какими целями анализирует и использует данные, которые мы добровольно выкладываем в социальных сетях с Михаилом Емельянниковым, управляющим партнером консалтингового агентства «Емельянников, Попова и партнеры».
Все, что выкладывает пользователь в социальных сетях, анализируется и используется различными компаниями. Даже фотографии, с кем, на каком фоне и как он фотографируется, тоже имеет значение. Данные сопоставляются и вычисляется, насколько человек кредитоспособен.
Суть иска «Вконтакте» в том, чтобы обеспечить монополию на персональные данные пользователей. 
Нужно несколько раз подумать, прежде чем выкладывать свои данные в интернет, так как все может быть использовано против нас, сообщил эксперт.
Свобода интернет-общения не освобождает от работы мозга. Хотя не стоит заблуждаться. Современные программы давно и легко определяют нашу кредиспособность, вкусовые, политические и другие предпочтения.

15 января 2018 г.

Про регулирование больших данных

Накануне нового года АНО «Радиочастотный спектр» (организация, близкая к Роскомнадзору, организатор международной конференции «Защита персональных данных», издатель специализированного журнала по вопросам связи, информационных технологий и массовых коммуникаций «РСпектр» и владелец портала по вопросам связи, информационных технологий и массовых коммуникаций RSPECTR.COM) на своем сайте опубликовала статью «Идентификация без согласия». О больших пользовательских данных, их регулировании, согласии на обработку, национальном операторе – ну, вы понимаете… И с традиционным выводом Игоря Ашманова о том, что «большие пользовательские данные должны стать собственностью нации».
Там же опубликован мой комментарий о необходимости, точнее, об отсутствии необходимости регулирования больших пользовательских данных, которые «значительно больше и шире, чем персональные», как утверждают некоторые авторы. Все уже и так более чем зарегулировано, и плодить новые сущности, регулируя (то есть ограничивая, запрещая и надзирая в большинстве случаев) их использование никакой необходимости нет. Более подробно – полный текст комментария ниже. Кому интересно, лучше почитать всю статью и все комментарии. Их, кроме моего, еще пять, и все авторы более чем осторожно и весьма скептически относятся к высказанным в статье идеям. Учитывая, что большие данные попали в программу «Цифровая экономика» и готовится не менее трех вариантов законопроектов по этому поводу на различных площадках, тема представляется более чем актуальной.
Вот еще один предновогодний комментарий на эту тему, телеканалу «Санкт-Петербург» и мой комментарий дословно:
«Пока и в России, и в мире «большие пользовательские данные» – достаточно абстрактный термин, обозначающий данные, формально не подпадающие под определение персональных данных, но характеризующие конкретного пользователя сети Интернет, абонента мобильной связи, чье местоположение известно, человека, попавшего в поле зрения систем видеонаблюдения, пассажира метро или автобуса, предъявившего на входе социальную карту, владельца автомобиля, передающего телеметрическую информацию производителю или в автосервис. Этот человек, может быть, и не был идентифицирован оператором, то есть его имя и иные признаки, устанавливающие его личность, оператору не известны, но оператор отличает его от других посетителей сайта, покупателей магазина, пассажиров, водителей и так далее.
Если собрать данные от различных источников и свести их вместе, тому, кто может это сделать, станет известно о человеке значительно больше, чем он предполагал, посещая сайт или входя в метро. Поэтому никакой единый, а тем более государственный оператор таких данных не нужен, и регулирование должно заключаться только в одном – полном и тотальном запрете консолидации данных из таких разнородных источников у одного лица без явного и доказываемого на то согласия субъекта персональных данных. И нет необходимости плодить новые сущности, все эти сведения вполне подпадают под существующее определение персональных данных, и Роскомнадзор уже минимум два года привлекает в судах к административной ответственности операторов связи, продающих рекламораспространителям профили пользователей сети Интернет для таргетирования рекламы, квалифицируя это не только как нарушение закона о персональных данных, но и как нарушение лицензионных требований к оператору связи об охране тайны связи. И никакие дополнительные законы для этого не нужны.
Безусловно, новая реальность, в которой живет цифровая личность, строго говоря, не известная, не верифицированная и не идентифицированная владельцем интернет-ресурса, со временем потребует законодательного и нормативного регулирования. Для этого надо будет решить очень много вопросов: является ли аккаунт пользователя социальной сети с неподтвержденным именем, с неизвестно чьим фото или пользователя, присутствующего в сети под никнеймом, его персональными данными, что из содержащегося в cookie-файлах является персональными данными, а что – нет. Я, например, очень сомневаюсь, что сведения о поддержке браузером Java-скриптов являются персональными данными пользователя, как и динамические IP-адреса.
И пока эти вопросы не решены и не выработано какое-то консолидированное мнение, регулировать эти вопросы не только не надо, но и очень опасно, тем более, что целью регулирования должна стать защита прав и свобод пользователя, а вовсе не ограничение деятельности оператора или консолидация таких данных у какого-то одного лица».

20 декабря 2017 г.

О персональных данных на сайте интернет-магазина

Отвечал на вопросы газеты «Экономика и жизнь» https://www.eg-online.ru/article/362716/.
Ответы, как я понимаю, вместе с другими материалами на тему «Компания собирает персональные данные на своем сайте. Как все оформить, чтобы не получить штраф Роскомнадзора», доступны только подписчикам, и как обычно, при публикации СМИ, были несколько сокращены под формат издания.
По договоренности с редакцией, выкладываю полный вариант ответов на вопросы в своем блоге. Кому тема интересна – милости прошу ознакомиться.
1. Обязательно ли в документе, определяющем политику обработки персональных данных, а также в согласии на обработку персональных данных перечислять всех лиц, которым передаются персональные данные?
Пояснение: допустим, интернет-магазин передает персональные данные Google.Analytics, Яндекс.Метрика, подрядчику, который отправляет рассылки, подрядчику, который занимается разработкой сайта и т.д. Все эти третьи лица могут периодически меняться. Интернет-магазин запрашивает согласие на обработку персональных данных путем проставления галочки. Будет ли грозить штраф такому интернет-магазину, если в положении об обработке персональных данных, а также в полученных согласиях (путем проставления галочки на сайте) не будут указаны конкретные наименования третьих лиц, которым интернет-магазин передал? Если да, то какой? Как можно выйти из этой ситуации?
Ответ: Следует различать передачу персональных данных иным лицам с целью исполнения поручения оператора на обработку персональных данных (например, агентам, колл-центрам, осуществляющим обзвон клиентов, организации, которая осуществляет аутсорсинг кадрового или бухгалтерского учета и т.п.) и передачу таких данных без поручения их обработки (например, транспортной компании при покупке билета для работника или отелю для бронирования номера, страховой компании при страховании за счет работодателя, банку для начисления доходов работника на платежную карту, контрагентам для заключения и исполнения договора и т.д.). Закон требует указывать лицо, которому передаются персональные данные, и адрес его местонахождения только в случае, когда необходимо получение согласия в письменной форме и только при поручении такому лицу обработки персональных данных. Интернет-магазину не требуется согласие покупателя, поскольку он является стороной договора розничной купли-продажи. Но, если для исполнения договора необходимо привлечение третьих лиц, например, для доставки товара, то согласие на это может быть получено в любой доказываемой форме, и обязательного указания конкретного наименования доставщика не требуется ни в согласии, выражаемом, например, путем простановки отметки в чек-боксе веб-формы, ни в политике оператора в отношении обработки персональных данных.    
2. Если компания работает уже давно и только сейчас решила уведомить Роскомнадзор об обработке персональных данных, то какую дату начала обработки персональных данных нужно указать в уведомлении: дату регистрации компании, дату, когда она фактически начала обрабатывать персональные данные (например, запустила сайт) или дату подачи уведомления? Могут ли оштрафовать за неправильно указанную дату? А за то, что уведомили Роскомнадзор с нарушением срока?
Ответ: Необходимо указать действительную дату начала обработки персональных данных. Как правило, это дата регистрации юридического лица, потому что с нее начинается обработка данных, как минимум, своих работников. За отсутствие уведомления, если компания не подпадает под исключения, позволяющие его не направлять, несвоевременное его представление и за указание в уведомлении сведений в неполном объеме или в искаженном виде статьей 19.7 КоАП РФ предусмотрена административная ответственность.
3. После того, как компания уведомит Роскомнадзор об обработке персональных данных, есть риск, что Роскомнадзор назначит проверку этой компании? А если компания относится к субъекту малого предпринимательства, то ее могут включить в план проверок?
Ответ: Роскомнадзор может провести плановую проверку любого оператора, независимо от того, подал он уведомление или нет, в том числе предприятия и организации малого и микро- бизнеса. Но для них максимальная продолжительность проверки значительно меньше – 50 и 15 часов соответственно, а не 20 рабочих дней, как для остальных.
4. Если компания не запрашивает согласие об обработке персональных данных на своем сайте (например, путем проставления галочки), то какой ей будет грозить штраф? Такой же, как и в случае отсутствия письменного согласия, то есть по ч. 2 ст. 13.11 КоАП РФ?
Ответ: Нет, часть 2 статьи 13.11 КоАП РФ предусматривает ответственность именно за отсутствие согласия в письменной форме, когда такая форма его получения обязательна по закону, а также в случаях, когда состав сведений, включаемых в согласие в письменной форме, не соответствует требованиям, установленным частью 4 статьи 9 закона «О персональных данных». Если же согласие требуется, но не обязательно его получение в письменной форме, и оно не было получено, такие действия оператора могут быть квалифицированы по части 1 статьи 13.11: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.
5. По какой статье могут оштрафовать интернет-магазин, который не предпринял мер по выполнению требований Закона о персональных данных, если он обрабатывает персональные данные клиентов только в электронном виде, у него нет офлайн-магазина? Например, он не ознакомил сотрудников с локальными документами о персональных данных.
Ответ: Это зависит от того, какие конкретно требования законодательства не были выполнены. Например, обязанность ознакомить работников с документами работодателя, устанавливающими порядок обработки персональных данных работников, установлена статьей 86 Трудового кодекса РФ, поэтому работодатель может быть привлечен инспекторами Роструда к ответственности, предусмотренной статьей 5.27 КоАП РФ «Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права». Невыполнение требований к технической защите персональных данных при их автоматизированной обработке может быть квалифицировано по части 6 статьи 13.12 КоАП РФ – нарушение требований к защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами.
6. В споре Роскомнадзора с МТС суд решил, что пользовательские данные, собираемые с помощью cookie-файлов, тоже являются персональными данными и нужно получить согласие на их обработку. Для этого сейчас на практике делают всплывающее окно, в котором указывают, к примеру, такой текст: «Мы используем cookie-файлы, чтобы улучшить работу и повысить эффективность сайта. Продолжая пользоваться сайтом, вы даете согласие на обработку (включая передачу третьим лицам) cookie-файлов и пользовательских данных. Если вы не хотите, чтобы мы обрабатывали ваши данные, пожалуйста, покиньте сайт или измените настройки». Такого текста достаточно, чтобы не получить штраф?
Ответ: В целом - да, но, если для анализа cookie файлов используются статистические службы, находящиеся, например, в США (Google Analytics), государстве, не обеспечивающем адекватную защиту персональных данных, то, в соответствии с частью 4 статьи 12 закона «О персональных данных», передача данных в такое государство возможна лишь при наличии согласия субъекта персональных данных в письменной форме или договора, стороной которого является пользователь сайта. Поэтому необходимо тщательно продумать содержание пользовательского соглашения, описав в нем действия с файлами cookie.  
7. Может ли Роскомнадзор заблокировать сайт из-за нарушений Закона о персональных данных? Что это были за ситуации?
Ответ: Сам Роскомнадзор принять решение о блокировке не может, для этого необходимо наличие вступившего в силу судебного акта. А вот подать такой иск Роскомнадзор может, и этим правом пользуется. Именно так был ограничен доступ к сайту социальной сети LinkedIn решением Таганского районного суда г. Москвы по иску Роскомнадзора в защиту прав неопределенного круга пользователей сети Интернет. И это не единичный случай. Обычно оcнованием для блокирования доступа к сайту является размещение на нем персональных данных российских граждан без их согласия, например, телефонных справочников.