18 января 2021 г.

Являются ли персональные данные, опубликованные субъектом для неограниченного доступа, общедоступными?

 Вопрос, вынесенный в заголовок, выглядит странным. И ответ на него, вроде бы, очевиден – конечно, да. Но подписанный 30 декабря президентом Федеральный закон № 519-ФЗ внес сумятицу в умы специалистов, споры о его содержании идут третью неделю, массу вопросов задали заказчики и коллеги мне, поэтому пора, наверное, высказать и свою точку зрения.

Итак, что поменял закон.

Серьезных изменений в законе «О персональных данных» на самом деле всего два.

(1) Появилось принципиально новое понятие «персональные данные, разрешенные субъектом персональных данных для распространения».

(2) Исключено из закона такое основание для обработки персональных данных без согласия субъекта, как случаи, когда доступ неограниченного круга лиц к персональным данным предоставлен субъектом либо по его просьбе.

При этом изменения в закон, несмотря на их кардинальную переработку ко второму чтению, подготовлены крайне неряшливо и непродуманно, так что аукаться новая редакция будет очень долго и очень болезненно. Более того, забегая вперед, выскажу свою точку зрения на последствия этого закона: применяться новые положения будут исключительно точечно и избирательно, поскольку их массовое применение породит полную сумятицу и хаос.

Итак. Проблема номер один. Как теперь указано в пункте 1.1 статьи 3 закона 152-ФЗ «О персональных данных», согласие дается только на распространение персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, то есть на действия, направленные на раскрытие персональных данных неопределенному кругу лиц. Данные, которые субъект разместил, например, в своем профиле в социальной сети или на сайте объявлений, не могут затем размещаться без его согласия на других ресурсах в сети Интернет. Напомню, что распространение является всего лишь одним из 18 способов обработки, указанных в пункте 3 статьи 3 закона.

Но в части 2 новой статьи 10.1 закона ограничения внезапно начинают распространяться на любую обработку персональных данных, раскрытых неопределенному кругу лиц самим субъектом: «обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку». Не забываем, что одним из способов обработки является, например, доступ, и доводим ситуацию до логичного абсурда: доказывать, что законно прочитал что-то в посте социальной сети должен каждый читатель (а чтение публикации и есть доступ). Правда, в части 9 этой же статьи возможность доступа оговаривается отдельно, но эта норма касается оператора, предоставившего доступ, а не лица, его получившего. И вообще, при чем здесь иное использование, в то время как нововведения касаются исключительно распространения?

Дальше – больше. Части 5 и 9 статьи 10.1 предусматривают возможность установления субъектом запретов и условий на обработку персональных данных, а также категорий и перечней персональных данных, для обработки которых эти условия и запреты устанавливаются. Более того, если из согласия субъекта на распространение не следует, что субъект не установил запреты и условия или не определил категории, в отношении которых они установлены, оператор, получивший данные от субъекта и согласие на их распространение (видимо, криво составленное субъектом), должен их обрабатывать (внимание!) без передачи, распространения, предоставления и доступа неограниченному кругу лиц. Еще раз. Согласие было дано, как следует из статьи 10.1, на распространение, но их распространение является противоправным, потому что из согласия такая возможность не следует.

Новые положения вступают в явное противоречие с положениями более высокоуровневого закона – Гражданского кодекса, часть 1 статьи 152.2 которого прямо говорит, что запрет на сбор, хранение, распространение и использование любой информации о частной жизни без согласия гражданина не распространяется на случаи, когда информация о частной жизни гражданина ранее стала общедоступной либо была раскрыта самим гражданином или по его воле. А вот недействительность запрета на обработку в государственных, общественных или иных публичных интересах почему-то из Гражданского кодекса продублирована в части 11 статьи 10.1 закона. Очень напоминает известную миниатюру «здесь играем, здесь не играем, а это пятно, потому что я рыбу заворачивал».

При этом в законе о персональных данных по-прежнему содержатся основания для размещения персональных данных в общедоступных источниках без согласия субъекта – обработка персональных данных для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством на оператора функций, полномочий и обязанностей, для исполнения договора, стороной которого является субъект персональных данных, обработка данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. В этих случаях и потребовать прекращения обработки не получится.

Ничего не поменялось и в статье 8 об общедоступных источниках, она по-прежнему пахнет нафталином прошловековой давности («…могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги)…») и ничего не знает про ресурсы в сети интернет вообще и социальные сети в частности.

Впереди нас ждет много интересного – форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, которая, как хочется надеяться, не будет содержать паспортных данных субъекта и его адреса; создание очередного реестра Роскомнадзора, в котором будут согласия субъектов на распространение их данных, а на самом деле – на обработку с указанием перечня персональных данных по каждой из категорий (еще бы знать, что это – специальные, биометрические, или законодатель имел ввиду что-то совсем другое?). Я так полагаю, что реестр должен быть общедоступным, иначе откуда пользователи будут знать, что можно, а что нельзя делать с данными из перечня по каждой из категорий?

Очень хочется знать, как на практике будет реализовываться требование прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных субъектом персональных данных для распространения, к любому лицу, обрабатывающему персональные данные, если к данным уже получил доступ неопределенный круг лиц.

Радует, конечно, что все эти запреты и ограничения не распространяются на выполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления. И это при том, что практически в то же время, когда был принят закон, 23 декабря прошлого уже года, подписано Постановление Правительства РФ № 2249, в соответствии с которым гражданам дано право предоставлять и отзывать согласие на обработку своих персональных данных в случаях предоставления органам и организациям, подключенным к единой системе идентификации и аутентификации (ЕСИА), доступа к информации о физическом лице, согласия на совершение иных действий, в том числе юридически значимых, с использованием государственных, муниципальных и иных информационных систем, а также хранение самих согласий. Но это уже совсем другая песня.

29 декабря 2020 г.

С Новым 2021 годом!

Уважаемые коллеги!

Пусть он будет другим – здоровым, позитивным, открытым всему миру.
Желаем Вам успехов и счастья.
Удовлетворения от сделанного и тепла близких.
Любви и взаимопонимания.
Интересных задумок и их успешной реализации. 
Новых надежных партнеров в бизнесе
и новых радостных впечатлений на отдыхе.
Будьте здоровы!


С наилучшими пожеланиями,

Михаил Емельянников,
Зоя Попова

11 декабря 2020 г.

Сберегательный образ жулика

 Максим Буйлов опубликовал в «Коммерсанте» любопытную заметку о биометрии образа Жоржа Милославского.

Многим, наверное, запомнился недавно появившийся динамичный ролик Сбербанка, в котором вор Жорж Милославский из фильма «Иван Васильевич меняет профессию» попадает в наши дни. Сама по себе идея рекламы банка с жуликом в главной роли выглядит неоднозначно. Даже учитывая, что он рекламировал «Сбер» еще в 1973 году: «Граждане! Храните деньги в Сберегательной кассе, если, конечно, они у вас есть». Но в Сбербанке гордятся примененными передовыми технологиями, которые позволили, как отметил директор департамента маркетинга и коммуникаций банка Владислав Крейнин, «зарядить предпраздничным настроением» «несколько поколений нашей страны».

Между тем мастерская имитация внешности и голоса Леонида Куравлева — актера, сыгравшего Жоржа Милославского почти 50 лет назад,— вызвала пристальный интерес специалистов по информационной безопасности, обсуждавших ролик в профильном телеграм-канале. И возможности «самых передовых технологий» Сбербанка привели их вовсе не в праздничное настроение. Российский эксперт в области информационной безопасности и защиты данных Михаил Емельянников назвал ролик реквиемом «по ЕБС и биометрии по лицу и голосу в целом» (ЕБС – единая биометрическая система).

Полностью заметку можно прочесть в газете «Коммерсантъ» №227 от 10.12.2020, стр. 7.

7 декабря 2020 г.

Осторожно! Каток части 8 статьи 13.11 КоАП тронулся

26 октября мировой судья в Волгограде оштрафовал на 50 тыс. рублей директора Центра немецкого языка - партнера Гете-Института Волгоградского государственного социально-педагогического университета за правонарушение, предусмотренное частью 8 статьи 13.11 КоАП РФ. То есть за невыполнение требования о локализации баз персональных данных россиян в период их сбора. Наказание крайне гуманное, половина минимального штрафа, предусмотренного статьей, меньше он уже быть не мог. 

Вот только, судя по опубликованным материалам дела, штраф наложен просто за трансграничную передачу, сведения о которой университет не указал в уведомлении в Роскомнадзор. Потому как никаких следов исследования судом вопросов именно локализации в постановлении нет.

Что есть. У лиц, пришедших на экзамен по немецкому языку, взяли согласие на обработку персональных данных и их дальнейшую передачу Немецкому культурному центру имени Гете при Посольстве Германии в Москве и Гете-Институту в Мюнхене (Германия). По мнению проводивших проверку Центра немецкого языка представителей Управления Роскомнадзора по Волгоградской области и Республике Калмыкия, такое согласие нарушает положения статьи 12 (трансграничная передача) и, (внимание!), статьи 22 (уведомление об обработке персональных данных) закона 152- ФЗ.

Несчастный директор Центра немецкого языка свою вину полностью признала в полном объеме и раскаялась, сообщила, что в Мюнхен теперь информацию о сдающих экзамен и его результатах передавать не будут. Университет, на всякий случай, еще до суда привлек директора Центра к дисциплинарной ответственности за то, что она не сообщила о трансграничной передаче, и уведомление в Роскомнадзор оказалось не совсем, скажем, корректным, поскольку в нем сведений о трансграничке не было.

А теперь описание «страшного» правонарушения. После получения согласия данные сдававших экзамен (фамилии, имена, даты рождения, места рождения, уровни подготовки по программам данных изучения языка) загружались в приложение «Олимп», веб-сервер которого находится в Германии, что свидетельствует о трансграничном обмене персональными данными.

Это все. За это, по мнению Роскомнадзора и суда, положен штраф по части 8 статьи 13.11 КоАП РФ. Вопрос, фиксировались ли эти данные в других системах Университета и Центра немецкого языка (а мой опыт многолетнего участия в государственных экзаменах вуза подсказывает, что обязательно фиксировались, иначе на экзамен не попадешь) ни представителей Роскомнадзора, ни суд не заинтересовал. А ведь именно он является решающим при оценке выполнения требования о локализации.

Прецедент крайне опасный по своим последствиям. Такая трактовка требований о локализации может привести к полной переоценке допустимости трансграничной передачи персональных данных в принципе. И очень жаль, что ни представители надзорного органа, ни судьи, ни адвокаты (а адвокат директора Центра, судя по материалам дела, этот вопрос не поднимала, а лишь просила учесть смягчающие обстоятельства) в законе, который применяют, так и не разобрались.

Кстати, это дело дает наглядный ответ на вопрос, который наши заказчики задают постоянно: кто это загадочное должностное лицо, которое могут привлечь по статье 13.11? Это судья сформулировала четко, сославшись на статью 2.4 КоАП РФ. Определение очень большое, больше моего поста, любопытные могут посмотреть сами по ссылке Отвечу коротко – любое лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции. Директор Центра, например, в соответствии с трудовым договором и должностной инструкцией, должна вносить достоверные данные «в Управление Роскомнадзора по Волгоградской области и республике Калмыкия» (цитата). Поэтому, решила судья – она должностное лицо.

У меня все. Занавес. 

6 ноября 2020 г.

Обстоятельное интервью о проблеме персональных данных в России

Портал CISO Club опубликовал мое интервью о ситуации с законодательством о персональных данных и правоприменением. Спасибо коллегам с портала за отличный подбор вопросов. Это, наверное, самое полное и системное изложение моего видения проблемы персональных данных в России. На портале опубликовано еще много замечательных интервью с самыми интересными и известными людьми отрасли и других полезных публикаций. Очень рекомендую.

Интервью с Михаилом Емельянниковым о защите персональных данных

1)    Что такое персональные данные? Каков минимальный состав персональных данных? Телефон или телефон и ФИО это персональные данные?

Закон определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. Такая формулировка допускает сколь угодно широкое определение того, что является персональными данными. Персональными данными является любая информация, относящаяся к известному оператору лицу или любая информация, позволяющая определить конкретное физическое лицо. И минимального состава данных здесь нет, он зависит от конкретного контекста обработки. Например, номер телефона и ФИО – это всегда персональные данные, но для оператора связи всего лишь номер телефона его абонента – тоже персональные данные, поскольку владелец номера оператору известен.

С учетом проникновения в нашу жизнь Интернета все больше регуляторов и специалистов рассматривают профили анонимных посетителей сайтов, позволяющие этих посетителей различать, отличать друг от друга, прогнозировать их поведение, таргетировать рекламу тоже как персональные данные. После принятия GDPR ряд европейских специалистов говорили о том, что адрес электронной почты, составленный из полного имени, фамилии и названия компании уже сам по себе является персональными данными.

Абсолютно все, что работодатель знает о своем работнике, является персональными данными для работодателя как оператора.

2)    Является ли фото без ФИО и прочих данных персональными данными? Какие есть особенности при защите биометрических персональных данных?

Фото без сведений о его владельце персональными данными не является, за исключением случая, когда оно используется в системе распознавания лиц, в которой уже есть математический шаблон изображения лица владельца.

Например, Единая биометрическая система, в которую вносятся фото и слепки голоса клиентов банка, - анонимная, в ней есть только идентификатор владельца из ЕСИА, но она является информационной системой персональных данных.

С другой стороны, фото даже с указанием того, кому оно принадлежит, вне системы распознавания лиц, используемой для биометрической идентификации, биометрическими данными на является.

Биометрическая система персональных данных не может иметь уровень защищенности ниже третьего, поэтому, по сравнению с наиболее распространенными системами 4 уровня защищенности, в ней надо использовать большее количество мер обеспечения безопасности. Плюс для биометрических данных есть довольно жесткие ограничения, связанные с возможностью их обработки.

3)    С чего начать руководителю отдела ИБ при подходе к задаче защиты персональных данных? Кто должен участвовать в организации процесса по защите персональных данных кроме CISO?

Я считаю, что организация работы с персональными данными в организации – вообще задача не CISO. Руководитель службы ИБ должен решать вопросы реализации организационных и технических мер безопасности при обработке персональных данных в автоматизированных системах, и начинать надо с нормативки: правильно установить уровень защищенности персональных данных, сформировать модель или перечень актуальных угроз, определить механизмы их нейтрализации и средства которыми они будут реализованы с учетом возможности использования как базовых, так и компенсирующих мер. А затем строить подсистему безопасности вместе со специалистами ИТ-подразделения.

Важное место здесь занимает правильное назначение прав пользователям системы, которое невозможно сделать без взаимодействия с руководителями бизнес-подразделений, обрабатывающих персональные данные.

4)    Защита персональных данных – это формальность для выполнения требований регуляторов или необходимый набор мер с точки зрения реальной безопасности?

Это может быть и формальностью, но особой необходимости заниматься формализмом нет – проверить реализацию мер защиты в негосударственной системе сегодня без специального наделения правительством соответствующими полномочиями не может никто (исключение здесь, пожалуй, только банки, поскольку Банк России имеет соответствующие полномочия, хотя в законе они и не прописаны). Но те, для кого персональные данные являются ценностью – банки, страховые компании, операторы связи и т.д., как правило, защищают данные не только для формальной демонстрации регуляторам. Но и здесь количество утечек говорит о недостаточности усилий, скорее всего – из-за отсутствия последствий в случае неправомерного доступа третьих лиц к персональным данным.

5)    Нужна ли неавтоматизированная обработка персональных данных в 2020 году? Какие существуют принципиальные отличия по защите персональных данных в «бумажном» и электронном виде?

Пока без нее обойтись нельзя. Не все вопросы решаются онлайн, но сфера бумажного документооборота неуклонно сужается. Вот и новые «бумажные» трудовые книжки с 2021 года выдавать не будут.

Отличия в защите принципиальны. При неавтоматизированной обработке документы с персональными данными необходимо защитить только от физического доступа к ним злоумышленника, при автоматизированной варианты атак гораздо более разнообразны, в том числе они могут совершаться удаленно, поэтому и защищаться надо от большого количества внутренних и внешних угроз.

6)    Процесс защиты персональных данных лучше доверить подрядчику или выполнить самим? Где взять шаблоны и примеры ОРД?

Это зависит от того, какими силами и средствами располагает оператор. Если служба ИБ большая, в ней работают квалифицированные кадры, то многие задачи она сможет решить самостоятельно. Но даже в таких организациях комплексное проектирование развертывание больших и сложных систем безопасности делает подрядчик. У многих же операторов службы ИБ и даже ИТ вообще нет. Естественно, в них работы будут выполняться внешним подрядчиком. Кроме того, всё большая миграция в дата-центры и облака сводит участие оператора в обеспечении безопасности к минимуму. Все более популярными становятся SecaaS и услуги внешних SOC. Так что будущее – за аутсорсингом.

7)    Как подготовиться к проверке регуляторов? Верно утверждение, что проверки подлежат только ОРД, наличие СЗИ и их настройки нередко остаются без внимания?

Готовиться надо, проводя внутренний контроль или внешний аудит соответствия обработки требованиям законодательства и ревизию своих локальных нормативных актов. Поскольку Роскомнадзор не имеет полномочий по проверке требований статьи 19 закона «О персональных данных», определяющей состав и содержание мер безопасности, а ФСБ и ФСТЭК без наделения их полномочиями Правительством РФ прийти с проверкой в коммерческую организацию не могут, вопросы технической защиты остаются в негосударственных системах вне контроля регуляторов. Исключения, как я отмечал выше составляют банки. Есть еще мероприятия прокурорского надзора, к которым привлекаются эксперты из территориальных органов ФСБ России.

Но не надо забывать, что Роскомнадзор, кроме ОРД, проверяет еще и процессы, и вот там как раз выявляется наибольшее количество нарушений.  

8)    Легитимно ли использовать несертифицированные ФСТЭК и ФСБ СЗИ? По каким критериям следует выбирать СЗИ для защиты персональных данных? Эффективны ли организационные меры вместо внедрения СЗИ?

Приказ ФСТЭК № 21 прямо допускает применение компенсирующих мер, кроме того, ФСТЭК, начиная примерно с 2017 года, допускает применение не только сертификации, но и иных способов оценки соответствия. В частности, испытаний и приемки, которые оператор может выполнитель самостоятельно.

ФСБ иных способов оценки соответствия, кроме сертификации, не признает, однако сертифицированные СКЗИ нужны для нейтрализации актуальных угроз, так что при определении необходимости использования СКЗИ начинать надо именно с оценки угроз. Кроме того, на сайте ФСБ есть Извещение от 18.07.2016, в котором указано, что обязательная сертификация средств шифрования не требуется при передаче сообщений в сети Интернет, массово применяемых для защиты сведений, не составляющих государственную тайну.

А СЗИ необходимо выбирать, в первую очередь, исходя из функционала, способности нейтрализовать актуальную угрозу, совместимости с другими технически средствами в информационной системе, а не в зависимости от наличия голографической наклейки.

Организационные меры полностью заменить технические не могут, но иногда полезны и, как правило, гораздо более дешевы.

9)    Как защитить персональные данные в облаке? Что делать если облако находится за пределами РФ?

При размещении персональных данных в облаке необходимо прописать в договоре с провайдером состав и содержание мер, обеспечивающих соответствие необходимого и известного оператору уровня защищенности, и ответственность провайдера за их несоблюдение. Здесь наиболее эффективными мерами являются штраф или неустойка в случае нарушения требований безопасности, которые не требуют доказательства размеров понесенных заказчиком-оператором убытков.

При размещении данных в зарубежном облаке следует тщательно изучить описание мер безопасности, принимаемых провайдером (они серьезными игроками прописываются очень детально), и оценить их достаточность для защиты размещаемых в облаке персональных данных. Риски, конечно, лежат на операторе, но и значимых утечек по вине провайдеров практически нет, в отличие от операторов.   

10) Насколько эффективно внедрять ИСПДн с несколькими УЗ? Или лучше «построить» одну ИСПДн, соответствующую максимальным требованиям по защите ПДн?

Одна ИСПДн максимального уровня защищенности, с точки зрения проектирования может быть и предпочтительнее, но цена средств защиты и их эксплуатации, которые не являются необходимыми для некоторых ее компонентов, может оказаться более значимым фактором при принятии решения.

Мы часто встречаемся в проектах со случаями, когда крупный оператор, использующий большое количество различного прикладного программного обеспечения и СУБД, объединяет эти компоненты в системы по функциональному признаку (персонал, заказчики, конечные потребители и т.д.), и такой подход для некоторых операторов может оказаться оптимальным.

11) Аутсорсинг ИБ, ИТ и отсутствие собственных СЗИ – это преграда для защиты персональных данных?

Напротив, это совсем не преграда, а способы выполнить требования закона без дополнительного штата персонала, а часто – и дешевле, чем полностью своими силами.

12) Для каких случаев актуально обезличивание персональных данных? Приведите примеры.

Обезличивание эффективно всегда, поскольку утечка обезличенных данных, как правило, не влечет серьезных последствий для субъекта. Но оно возможно не во всех системах. К тому же, надо различать обратимое обезличивание (псевдономизацию в GDPR) и необратимое (анонимизацию в том же европейском регламенте). Наше законодательство об этих различиях молчит, что порождает путаницу.

Кроме того, Роскомнадзор примерно с 2016 года занял очень странную для меня позицию, в соответствии с которой обезличивать персональные данные могут только те операторы, которым это предписано законом, и постоянно делает операторам по этому поводу замечания при проверках, рекомендуя удалить упоминания об обезличивании из локальных актов.

Поэтому этот способ снижения негативных последствий инцидентов с персональными данными у нас используется редко, а жаль.

А пример приведу один. Оператор решил перенести «разбухшую» CRM-систему в облако за рубежом. Размещение там обезличенных данных упрощает выполнение требований законодательства, не требует согласия субъектов, в то же время наличие базы индексов, которыми заменены идентифицирующие данные в CRM, локально у оператора в России позволяет использовать весь функционал CRM-системы зарубежного вендора.

13) В чем разница между отечественным и западным законодательством по защите информации ограниченного доступа, в том числе персональных данных?

Если сравнивать закон «О персональных данных» и регламент Евросоюза GDPR, различия очевидны. GDPR гораздо более детальный, с большим количеством определений используемых терминов и примеров, разъяснений. У нас – только требования, но при этом значительная часть применяемых в законе понятий не определена, что очень мешает его буквальному толкованию и единообразному применению.

Следующее отличие – концептуальное. Европейский регламент основан на риск-ориентированном подходе, от оператора (контролера) постоянно требуется оценивать риски для субъектов, риски использования новых технологий, массовой обработки данных и т.д. В 152-ФЗ слово «риск» не используется ни разу!

Из такого подхода вытекает еще одно серьезное отличие. Регламент не содержит конкретных требований к обеспечению безопасности и не предполагает принятие для их детализации нормативных актов. Оператор сам определяет состав и содержание мер, может пользоваться или не пользоваться стандартами и т.д.

Но следствие этого – значительно более серьезная ответственность за инциденты, в первую очередь – за утечку, порядок действий при которой детально расписан, и его несоблюдение само по себе влечет огромные штрафы.

И максимальный размер штрафов – это тоже существенное различие российского и европейского законодательства.

14) Какие меры необходимо принять для более эффективного внедрения процесса обеспечения безопасности персональных данных помимо увеличения штрафов?

Надо заняться, наконец-то, защитой прав субъектов, а не проверкой выполнения формальных требований типа подачи уведомления об обработке и его содержания. Исправить ошибки и несоответствия в законе, которых до сих про достаточно. Переключиться на проверку организаций, допустивших серьезные инциденты, а не отобранных по непрозрачным критериям компаний и учреждений, где ни инцидентов, ни жалоб субъектов не было.

Штрафы надо не только увеличивать, но и ввести, в первую очередь, штрафы за утечку независимо от виновника такого инцидента. И привлекать к ответственности не за невыполнение требований, часто избыточных и формальных, а за нанесение вреда субъекту, нарушение его прав и неправомерные действия с персональными данными.

15) Как стать экспертом по защите персональных данных? Какие учебные курсы необходимо закончить?

Курсы нужны, чтобы войти в тему, разобраться в основах или конкретных узких вопросах. Экспертом они не сделают. Надо много читать, думать, пытаться разобраться в сложных вопросах, которых очень много, работать в живых проектах, общаться с регуляторами и надзорными органами, активно взаимодействовать с коллегами. Это очень долгий и сложный путь, требующий много времени и больших усилий.

16) Какие изменения ждет законодательство в области защиты персональных данных в России?

К сожалению, тенденции неутешительные – все большее ограничение приватности, все большее вмешательство государственных органов и увеличение их прав, бесконтрольное накопление и хранение все большего объема сведений о субъектах госорганами и частными компаниями, создание всевозможных «цифровых рейтингов», которые в перспективе будут затрагивать права и свободы граждан, построение глобальной системы слежения с использованием распознавания лиц, номеров автомобилей, геолокации и т.д.

17) Ваше личное мнение относительно последних новостей в СМИ по сбору персональных данных правительством Москвы.

Отрицательное. Эти меры не способствуют достижению декларируемой цели, вводятся со значительными нарушениями законодательства и принуждением к его нарушению санкциями вплоть до административной приостановки деятельности, непропорциональны и избыточны, не эффективны. Их принятие будет иметь очень серьезные последствия для граждан и бизнеса, но для граждан – в первую очередь.

20 октября 2020 г.

Новый указ мэра: отправить нельзя оставить

 С момента принятия указа мэра Москвы № 97-УМ прошло уже две недели, а поток вопросов в наше Агентство от заказчиков не иссякает.

С некоторыми мы уже разбирались и делились с читателями блога – здесь и здесь.

Новые вопросы касаются того, а как выполнить требование указа о переводе всех работников из числа граждан, имеющих заболевания, перечень которых определен Департаментом здравоохранения города Москвы, на дистанционный режим работы, не попасть под санкции мэрии, других ведомств и не нарушить законные права своих работников.

Дело в том, что сведения о хронических заболеваниях относятся к специальным категориям персональных данных – сведениям о состоянии здоровья, обработка которых пунктом 4 статьи 86 ТК РФ работодателю запрещена, за исключением cведений, относящихся к вопросу возможности выполнения трудовой функции, что предусматривается статьей 88 того же кодекса.

Хронические заболевания, уж коли работник занимает определенную должность и уже допущен к работе, выполнять трудовые обязанности не мешают. Но теперь его надо отправить делать это домой, где он должен самоизолироваться.

Проблема осложняется тем, что за неделю действия указа некоторые работодатели столкнулись с тем, что работник заявил о наличии у него заболевания, требующего удаленной работы, но отказывается предоставить документы, это подтверждающие, ссылаясь на нормы статей 86 и 88 ТК РФ и грозя работодателю карами небесными мэрии и прокуратуры.

Косвенно позицию работника подтверждает недавнее письмо Минтруда от 01.10.2020 № 14-2/10/ФС-1503, в котором регулятор со ссылкой на ту же статью 88 ТК РФ приходит к выводу, что работодатель не может требовать от работников результатов теста на коронавирус. При нашем обращении в Роспотребнадзор, кстати, представители ведомства высказали по телефону прямо противоположное мнение – не только о праве, но и обязанности получать результаты тестов, чтобы предотвратить заражение остальных присутствующих на рабочих местах, если работник попытается результаты теста скрыть, и даже выразили готовность предоставлять результаты, если работник и медучреждение этого не делают.

Исходя из сложившейся противоречивой диспозиции выписываем рецепт.

Работников над проинформировать о том, что для перевода на дистанционную работу по причине наличия хронического заболевания, указанного в приложениях №№ 1 и 2 письма Департамента здравоохранения города Москвы, необходимо дать работодателю согласие в письменной форме на обработку сведений о состоянии здоровья с целью выполнения требований указа мэра Москвы № 97-УМ, а также предоставить медицинские документы, подтверждающие наличие хронического заболевания. При нывыполнении этого условия перевод на удаленную работу будет невозможен.

Работодатель не может сделать того, о чем он не знает.

А в целом, конечно, количество требований, для которых выставляющие их органы власти не определили порядок исполнения, переложив риск, головную боль и ответственность на работодателей, а также прямо противоположные рекомендации и требования различных ведомств уже достали. Ну нельзя же так с законопослушными гражданами… 

12 октября 2020 г.

Новый указ мэра: а зачем все это?

Отдохнули? Продолжим анализ указа мэра Москвы № 97-УМ, начатый в пятницу. Тем более, что как раз сегодня, 12 октября, работодателям через личный кабинет на сайте mos.ru надо сдать персональные данные (настаиваю на том, что это именно персональные данные, что бы не разъясняли по этому поводу в пресс-службе ДИТ Москвы, например, здесь) не менее 30% своих работников, отправленных на удаленку.

Учитывая, что авторы указа «забыли» сообщить цель сбора запрашиваемых персональных данных (что прямо нарушает требования частей 2, 4 и 5 статьи 5 закона «О персональных данных»), о том, как они будут использоваться, можно только догадываться.

Есть два очевидных варианта: отслеживать местонахождение дистанционных работников или физическое присутствие их в офисе.

Первый вариант представляется бессмысленным, поскольку нигде не указано, что дистанционная работа должна вестись исключительно по месту регистрации работника, и что работник-удаленщик не может передвигаться по городу. Он может жить совершенно в другом месте, а не в указанном в паспорте, у него может сидеть семеро по лавкам в маленькой ипотечной квартирке, и он будет уезжать работать к любимой маме, одиноко живущей на другом конце Москвы и радующейся возможности лишний раз провести время с любимым ребенком, и даже, страшное дело, снять под это специальную квартиру или рабочее место в коворкинге, если зарплата позволяет, а дома работать не получается (дети, домочадцы, соблазны и еще 99 причин).

Ловить его по номеру машины по той же причине смысла нет.

Отслеживать нахождение удаленщика на производстве или в офисе, тоже как-то не очень конструктивно. Он может заезжать за документами, расходными материалами, еще за чем-нибудь очень нужным, и случайно попасть в этот момент под проверку. История со штрафами по результатам распознавания лиц с вероятностью больше 50% показывает, что суды особо вникать в то, кто, куда и зачем приехал, не будут. Можно, конечно, исходить из какого-то порога присутствия на работе дистанционных работников, но, опять-таки, указ этих норм не устанавливает.

И уж точно эти данные никак нельзя применять «только для оценки пассажиропотока в столице», в чем, как сообщает РБК со ссылкой на ТАСС, уверял заместитель руководителя департамента информационных технологий Дмитрий Иванов на встрече с представителями бизнеса. Для этого достаточно просто сравнить количество пассажиров в московском транспорте до 12 октября и после.

Правда, в воскресенье риторика изменилась. Тот же ТАСС процитировал выступление мэра Собянина: «Требуем предоставить списки людей, которые переводятся на удаленку. Будем обеспечивать контроль за их соблюдением. К сожалению, другого варианта нет и это на самом деле самый лайт вариант, когда предприятия не закрываются, ни одна из сфер экономики не закрывается».

Значит, все-таки не про пассажиропотоки идет речь, а про отслеживание поведения людей.

То есть статьи 23, 24 и 27 российской Конституции в Москве временно отменяется, а после восстановления ее действия у столичной власти останутся сведения, запрошенные на период приостановки.

Если честно, особых иллюзий не было. Еще в пятницу я получил два вежливых напоминания от корреспондента «Сайт мэра Москвы» (даже с обращением по имени-отчеству) и от московского Дептранса, что мне уже исполнилось 65 лет, и на улице, и в транспорте мне делать нечего. Взамен даже пообещали доставить дрова по льготной цене.      

Вот только смущает, какие ресурсы придется потратить на реализацию этого контроля. По официальным данным правительства Москвы, на 4 квартал 2019 года численность занятого населения в Москве составляла 7,2 млн. человек. Предположим, что половина из них работает в очень важных-оборонных-космических-непрерывных и иных определенных штабом по ковид организациях.

Значит, на удаленке должно находиться больше 1 миллиона работающих в Москве граждан. Геолокация миллиона по месту нахождения включенного сотового телефона и номеру автомашины? Серьезно?

9 октября 2020 г.

Новый указ мэра Москвы: и что же делать?

Интернет-ресурсы забиты дискуссиями по поводу нового указа мэра Москвы от 06.10.2020 № 97-УМ, предусматривающего предоставление работодателями сведений о работниках, переведенных на дистанционный режим работы. У нас в агентстве разрываются телефоны, заказчики пытаются понять, что им и как делать или не делать, когда будет хуже – если предоставить сведения о работниках, что может вызвать их недовольство жалобы или не предоставлять, что чревато штрафами до 500 тыс. рублей и административной приостановкой деятельности на срок до 90 суток (часть 2 статьи 6.3 КоАП РФ).

Основные вопросы, которые задают:

1.      Имел ли мэр полномочия требовать такие сведения?

2.      Законны ли эти требования?

3.      Являются ли запрашиваемые данные персональными?

4.      Что делать? Где взять запрашиваемые сведения? Нужно ли получать согласие работников на их передачу правительству Москвы?

До даты предоставления (12 октября) и почти не осталось, так что решать все эти проблемы приходится в цейтноте.

Позволю себе высказать свое скромное мнение по данным вопросам.

1.      Полномочия у мэра есть. Они предусмотрены статьями 2-4.1, 11 Федерального закона от 21.12.1994 № 68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера», а также статьей 3 Федерального закона от 30.03.1999 № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения», которая определяет законодательство в области обеспечения санитарно-эпидемиологического благополучия населения как основанное на Конституции Российской Федерации и состоящее из данного Федерального закона, других федеральных законов, а также принимаемых в соответствии с ними иных нормативных правовых актов Российской Федерации, (и, внимание!) законов и иных нормативных правовых актов субъектов Российской Федерации. Статья 5.1 предусматривает передачу полномочий федеральных органов исполнительной власти в области обеспечения санитарно-эпидемиологического благополучия населения органам исполнительной власти субъектов Российской Федерации.

2.      С этим вопросом – в Мосгорсуд. Желающим оспорить указ мэра, как и ранее принятые указы по этому поводу, напомню, что 28 апреля Мосгорсуд уже отклонил сразу все шесть поданных исков к мэру Сергею Собянину об отмене введенных в связи с эпидемией коронавируса ограничений.

3.      Несмотря на то, что запрашиваемые сведения персональными данными не являются, позволю себе не согласиться с авторами нормативного акта. Начиная с 2016 года Роскомнадзор занял позицию, поддержанную судебными решениями и заключающуюся в том, сведения об анониме, позволяющие анонимов различать между собой – это персональные данные.  

Например, Решение Арбитражного суда города Москвы от 11.03.2016 по делу № А40-14902/2016-84-1266 по заявлению Управления Роскомнадзора по ЦФО к ответчику ПАО «МГТС» о привлечении к ответственности за совершение правонарушения, предусмотренной ч. 3 ст.14.1 КоАП РФ. Суд, вслед за надзорным органом, посчитал, что обезличенные данные и IP-адреса, преобразованные в идентификатор абонента, позволяют прямо или косвенно идентифицировать пользователя как определенное физическое лицо (субъекта персональных данных).

А для работодателя запрашиваемые сведения точно являются персональными данными, поскольку они однозначно связаны с конкретным работником. Из этого заключения следуют выводы по вопросу 4.

4.      Части 2, 4 и 5 статьи 5 закона «О персональных данных» запрещают оператору обрабатывать сведения, избыточные по отношению к заявленным целям сбора и последующей обработки. В большинстве случаев работодатель может их получить только от работника, который, поскольку обязательность предоставления таких сведений федеральным законом не установлена, может сведения предоставить, а может и не предоставлять. Особо пикантная ситуация создается с номером социальной карты, которая является на самом деле банковской, и предоставлять ее номер вряд ли кто захочет, даже если не держит на социальной карте никаких денежных средств.

Но есть исключения. Если автомобиль и сим-карта предоставлены работнику работодателем, то работодатель запрашиваемыми мэром сведениями располагает и, как законопослушное лицо, должен их предоставить по запросу.

В отношении остальных сведений возможным может быть такой выход: запрос их у отправляемых на удаленку работников со ссылкой на указ мэра и с вежливым напоминанием о возможных последствиях непредоставления для работодателя, о которых я написал выше.

Данные тех, кто предоставил сведения, включать в форму по приложению № 4 к указу, а об отказавшихся работниках – не включать.

Надо ли получать согласие работников на предоставление данных в мэрию? Нет, не надо. В соответствии с пунктом 2 части 1 статьи 6 закона «О персональных данных» согласие не требуется, если обработка ведется для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей. А в законодательство по данному вопросу входят, как я уже писал выше, нормативные правовые акты субъектов Федерации.

Продолжение Новый указ мэра: а зачем все это?

27 августа 2020 г.

Номер телефона руководителя в ЕГРЮЛ и позиция Верховного суда

Верховный суд принял очередное интересное решение по вопросу, связанному с персональными данными. Казалось бы, после признания Верховным судом биометрическими данными фото на картонном пропуске в бассейн, а социальных сетей – открытым, но не общедоступным источником персональных данных, удивить сложно. Но резервы, оказывается, есть.

Вопрос, на первый взгляд, простой. Часть 1 статьи 5 Федерального закона от 08.08.2001 № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей» содержит закрытый, не предусматривающий пополнения, перечень сведений и документов, подлежащих включению в единый государственный реестр юридических лиц (ЕГРЮЛ), среди которых есть пункт «л» – сведения о лице, имеющем право без доверенности действовать от имени юридического лица, включающие ФИО, должность, паспортные данные и ИНН. Все.

Часть 1 статьи 6 того же закона относит содержащиеся в государственных реестрах сведения и документы к открытым и общедоступным, за исключением паспортных данных физических лиц, содержащихся в ЕГРЮЛ, и тех сведений, доступ к которым ограничен Правительством РФ.

Конструкция вроде бы совершенно очевидная.

Но вот ФНС своими локальными актами (приказами) добавляет в ЕГРЮЛ к сведениям о лице, действующем без доверенности, его контактный номер телефона.

Гражданин, обнаруживший свой номер телефона на ресурсах в сети Интернет, публикующих сведения из ЕГРЮЛ, обращается в Верховный суд и просит признать недействующими нормы приказов ФНС, предусматривающие предоставление номера телефона. Его поддерживает Минюст. А дальше логика теряется.

Верховный суд, ссылаясь на полномочия ФНС устанавливать требования к документам, предоставляемым для государственной регистрации, считает приказ ФНС изданным «с соблюдением порядка и введения его в действие» (цитата).

Относительно телефона в ЕГРЮЛ делается интересный вывод – эти сведения «не подлежат обязательному включению в состав сведений названного реестра». Мне почему-то казалось, что в ЕГРЮЛ не подлежат включению сведения, не содержащиеся в закрытом перечне статьи 5 закона 129-ФЗ, а про обязательные и необязательные включения закон ничего не знает.

А дальше – круче. Поскольку сведения не подлежат обязательному включению, но включены – они не открытые и не общедоступные. То, что истец предоставил не телефон представителя органа управления юрлица для взаимодействия с ФНС, а личный телефон – его проблемы.

Номера телефона нет в составе сведений о юрлице, размещаемом на сайте ФНС, утвержденном Минфином? Ничего, его предоставление не нарушает права, свободы и законные интересы истца. В иске отказать.

Вопрос о том, как же этот злосчастный номер оказался в открытом доступе интернет-ресурсов с выписками из ЕГРЮЛ, суд не исследовал.

Отказ признать недействующим требование приказа ФНС о предоставлении номера телефона создает очень невыгодную для субъектов ситуацию. Запрос номера признан законным, закон требует раскрывать всю информацию, включаемую в ЕГРЮЛ, за исключением указанных выше. Номер телефона в информацию из ЕГРЮЛ, доступ к которой ограничен, не входит, но его нет и в закрытом перечне сведений, подлежащих включению в ЕГРЮЛ. Таким образом, формально выполняя требования части 1 статьи 6 закона «О государственной регистрации…», ФНС обязана представлять номер телефона в выписке из реестра. Если это номер личный, то это, безусловно, нарушает права субъекта, поскольку в законе его нет среди открытых и общедоступных сведений.

Поэтому спасение утопающих – дело самих утопающих. Номер телефона в приказе ФНС указан как необязательный для предоставления, и его лучше либо не предоставлять совсем, либо указывать номер для звонков в организацию, используемый на сайте, бланке организации, как мы это рекомендуем делать и для номеров телефонов лиц, ответственных за организацию обработки персональных данных, которые относятся к общедоступной информации.      

15 июня 2020 г.

Единый федеральный информационный регистр, содержащий сведения о населении: читаем закон

8 июня, в день подписания президентом, вступил в силу Федеральный закон от 08.06.2020 № 168-ФЗ «О едином федеральном информационном регистре, содержащем сведения о населении Российской Федерации» (дальше для краткости буду называть его Единый регистр населения).
Правда, «вступил в силу» – это, в данном случае, слишком громко сказано. Пока только дана отмашка на создание регистра, само вступление закон в силу в полном объеме произойдет только с 1 января 2026 года и разбито на несколько этапов: с 1 января 2022 года, 2023 года, 2024 года, 2026 года.
Для того, чтобы закон заработал, необходимо принятие целого ряд нормативных правовых актов Президентом и Правительством, причем содержание части из них пока совершенно не ясно.
Единый регистр формируется и ведется ФНС России, она же является оператором этой информационной системы.
В Единый регистр населения вносятся две категории сведений: первая - это записи о физическом лице – ФИО, даты и места рождения и смерти, пол (в том числе  сведения о его изменении),сведения о семейном положении, сведения о гражданствах и выходе из них, о наличии документа на право постоянного проживания в иностранном государстве. Не так и много, как видно.
Вторая категория – не сами сведения, а идентификаторы записей о физическом лице из других систем госорганов и внебюджетных фондов, их гораздо больше.
На самом деле регистра два: один содержит все перечисленные выше сведения, а другой, хранящийся обособленно, – обезличенные персональные данные. В дополнение к персональным данным, полученным в результате обезличивания, о которых я не так давно писал, появляется еще одна новая сущность. Одно ли это и то же или разные сведения – совершенно не понятно, поскольку, как и в законе о проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта, в новом законе нет определения того, что это означает, и как именно должно осуществляться обезличивание. И даже нет поручения кому бы то ни было определить такой порядок для Единого регистра населения.
При этом необезличенный регистр делится на части. В первой части содержатся сведения о простых смертных, во второй, формируемой обособленно, – сведения о лицах, которым предоставляется государственная защита. Делается это, как указано в части 12 статьи 8 закона, в целях обеспечения безопасности государства, а также прав и свобод этих самых отдельных физических лиц.
К обезличенному регистру будут получать доступ органы власти, которым нужны статистические данные и которые не занимаются предоставлениям персонифицированных услуг населению.
В статье 10 определяется закрытый перечень органов и организаций, предоставляющих сведения в Единый регистр населения: МВД, Минобороны, Минкомсвязи (или Минцифры, как стало модно его называть), Минобрнауки, Рособрнадзор, ФНС, Росморречфлот, Роструд, ПФР, ФСС, ТФОМС.
Но вот в части 15 статьи 8 указано, что сведения, предусмотренные частью 2 статьи 7 закона и ранее не учтенные в государственных информационных системах органов государственной власти, органов управления государственными внебюджетными фондами, могут вноситься в Единый реестр населения ФСБ, СВР, ФСО и «иными органами, уполномоченными на решение задач в области обеспечения безопасности Российской Федерации».
Я, конечно, могу предположить, что это за сведения, но лучше дождаться, как это предусмотрено законом, указа Президента, определяющего перечень таких органов, и постановления Правительства, определяющего порядок предоставления сведений.
Еще один интересный момент – все, что предоставляется в Единый регистр населения и хранится в нем, каждая запись, должны заверяться усиленной квалифицированной электронной подписью, которую необходимо иметь возможность проверить. Похоже, о том, что ключ такой подписи и сертификат ее проверки имеют ограниченный срок действия (очень ограниченный), что криптография для электронной подписи периодически меняется, что СКЗИ снимаются с производства и утрачивают сертификаты соответствия, законодатели не задумывались. Теперь то, как решить эти проблемы (цитирую: «обеспечивается подтверждение … действительности усиленных квалифицированных электронных подписей», при этом из текста закона следует, что обеспечивается вечно), должно очень быстро придумать правительство. Причем изменений в законе «Об электронной подписи» закон о Едином регистре населения не предполагает.
Весьма интересный подход предлагается к восстановлению записей в Едином регистре населения. Понятия резервное копирование, резервная копия, территориально распределенная система резервирования в законе не упоминаются. Но зато написано, что запись федерального регистра сведений о населении подлежит восстановлению на основании сведений, направляемых в уполномоченный орган органами и организациями, указанными в статье 10 закона. Запись должна быть восстановлена полностью, но частичное восстановление записи допускается в исключительном случае, если ФНС были исчерпаны все возможные способы получения сведений о физическом лице в целях восстановления записи. При этом, вместо определения порядка резервного копирования и восстановления данных предложено поручить правительству определить перечень способов получения сведений о физическом лице в целях восстановления записи Единого  регистра населения и правила их применения, в том числе порядок взаимодействия с органами и организациями, предоставляющими сведения в регистр.
С защитой данных в регистре все очень строго. Никаких оценок соответствия средств защиты информации, только сертификация, о чем прямо написано в законе.
Ну, и, как обычно, вишенка в конце. К сведениям о себе любимом субъект сможет получить доступ только после полного формирования регистра, с 1 января 2026 года, и при условии, что у него есть учетная запись на портале госуслуг. До этого – ни-ни.