22 августа 2016 г.

Про резервное копирование, обязательность требований и сертификацию

Информация для тех, кто ценит надежность
При обеспечении информационной безопасности проблемы целостности и доступности информации возникают гораздо чаще, чем проблемы обеспечения ее конфиденциальности. Связано это с тем, что конфиденциальность не требуется в отношении большого количества информационных ресурсов, в том числе созданных для неограниченного доступа, раскрытия и опубликования информации, в рекламных целях и т.д. Для таких информационных систем критичными являются именно целостность и доступность информации, реализуемые в рамках процессов обеспечения непрерывности и катастрофоустойчивости бизнеса. Наиболее важным компонентом этих процессов являются системы резервного копирования и восстановления информации.
Написал большую статью про проблемы резервного копирования, требования законодательства, касающиеся этого процесса, необходимость сертификации таких средств https://go.veeam.com/wp-necessity-fstec-certified-data-backup-ru.html.
В статье анализируется, какие угрозы нейтрализует системная организация резервного копирования, каким образом осуществляется государственное регулирование резервного копирования и восстановления информации, для каких видов деятельности требования к резервному копированию выдвинуты в законах и иных нормативных правовых актах, когда и почему средствам резервного копирования нужен сертификат ФСТЭК России, решает ли проблемы выполнения нормативных требований использование программ резервного копирования, включенных в единый реестр отечественного программного обеспечения.

10 августа 2016 г.

Как Минздрав своим приказом Семейный кодекс подправил

Если помните, 21 апреля этого года Президент России, по итогам специальной программы «Прямая линия с Владимиром Путиным», дал ряд поручений, среди которых было и поручение Минздраву России обеспечить методическое сопровождение субъектов РФ при «организации при возможности посещений родственниками пациентов, находящихся на лечении в отделениях анестезиологии-реанимации медицинских организаций».
Граждане, которые не могли пробиться через врачебно-медсестринские кордоны к своему тяжело больному родственнику, другу или учителю, попавшим в реанимацию, просили как-то пересмотреть запретительный подход и дать возможность поддержать близкого человека, а иногда и находиться с ним в последние часы его жизни.
И вот 30 мая Минздрав разослал письмо № 15-1/10/1-2853, в котором предложил неукоснительно руководствоваться приложенными к письму «Правилами посещения родственниками пациентов в отделениях реанимации и интенсивной терапии (реанимации)» и рекомендуемую форму памятки для посетителей, с которой они должны ознакомиться перед посещением своего родственника в отделении реанимации и интенсивной терапии (ОРИТ).
Поскольку речь идет о вопросе очень деликатном и, к сожалению, рано или поздно касающемся практически каждого, не могу не прокомментировать.
В этой самой памятке есть п.7, в соответствии с которым посетители, не являющиеся прямыми родственниками пациента, допускаются в ОРИТ только в сопровождении близкого родственника (отца, матери, жены, мужа, взрослых детей). Кроме того, пункт 6 Правил вообще запрещает посещать пациентов ОРИТ детям в возрасте до 14 лет.
Читая это, я в который раз подумал: «Почему я, простой блогер с небольшим количеством читателей, готовя пост, держу открытыми несколько страниц сети с текстом документов, о которых я рассказываю, и перепроверю каждую фразу, а чиновники, читающие и выпускающие в свет нормативные и методические указания, в том числе «разработанные внештатными специалистами Минздрава и специалистами федеральных государственных медицинских учреждений», не считают нужным читать законы?». И это при наличии в министерствах и ведомствах штатных юристов.
Уважаемые министерские! Российское законодательство ничего не знает про прямых, а также кривых родственников. Муж и жена – не родственники совсем. Понятие близких родственников совершенно конкретно определено статьей 14 Семейного кодекса РФ. Это родственники по прямой восходящей и нисходящей линии (родители, дети, дедушка, бабушка и внуки, полнородные и неполнородные (имеющие общих отца или мать) братья и сестры.
Второй вопрос. Кто дал вам право решать, кого пускать, а кого не пускать к больному? Может быть, у человека нет в живых перечисленных вами в Письме и памятке родственников и супругов, и они не могут сопровождать к больному братьев, сестер, дедушек или внуков, с которыми больной очень близок, и общения или прощания с которыми вы его лишаете даже не нормативным правовым актом, а каким-то письмом? Я уже не говорю про гражданских супругов, с которыми прожиты многие годы, близких друзей, которые могут быть последними родными душами одиноких, да и не только одиноких людей.
И, наконец, почему в ваших не замечательных документах ничего не говорится про волю и желание или нежелание больного видеть кого-то рядом со своей кроватью в реанимации в эти тяжелейшие минуты своей жизни? Может, разрешенный к посещению вашими правилами муж давно не живет с супругой и пришел выбить из нее завещание, воспользовавшись ее болезнью?  И убьет ее своим разговором в вашей больничке? Или, наоборот, пациент, находящийся в сознании, хочет видеть кого-то очень близкого, не попавшего в ваш разрешительный список, и совсем не в сопровождении близкого родственника?
Будьте людьми. Поставьте себя на место больных, их родственников, и не только близких, друзей, сослуживцев, адвокатов, душеприказчиков, может быть, вы по-новому взглянете на бюрократические правила и их оправданность, а также пользу для больного.
Не навреди! 

3 августа 2016 г.

Базы и банки данных в новых законах. Часть 3. Реестры коллекторов и персональные данные знакомых должника

Среди законов, принятых завершившей свою работу Государственной Думой (о некоторых из них я писал в части 1 и части 2), был и долгожданный закон о коллекторской деятельности – Федеральный закон от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях"». Одновременно с ним Федеральным законом от 03.07.2016 № 231-ФЗ в КоАП РФ внесены изменения в федеральные законы «О персональных данных», «О кредитных историях», «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», «О потребительском кредите (займе)». В полную силу нововведения заработают с 1 января 2017 года, но некоторые нормы начали действовать уже сегодня.
В коротком посте все аспекты принятых законов рассмотреть невозможно, поэтому по многочисленным просьбам трудящихся на ниве возврата долгов, мы разработали 4-часовый вебинар «Обработка персональных данных при взыскании задолженности: изменения в законодательстве», премьера которого в онлайн-формате пройдет 25 августа в Центре консалтинговых услуг «Финансовый приоритет», а 14 сентября трансляцию вебинара организует Учебный центр «Информзащита». На вебинарах будет проведен детальный анализ новых законов, рассмотрена судебная практика и позиция надзорных органов (пока это Роспотребнадзор и Роскомнадзор, но неизбежно появится и третий орган, надзирающий непосредственно за коллекторами). А пока – несколько коротких комментариев о том, что показалось наиболее интересным.
Как известно, долги с привлечением третьих лиц можно попытаться вернуть тремя основными способами: в рамках исполнительного производства по решению суда, уступив право требования долга третьему лицу и привлекая агентов, которые займутся этой нелегкой работой за счет и по поручению кредитора. Новый закон не затрагивает исполнительное производство (для этого есть отдельный федеральный закон) и регулирует два основных вопроса: требования к коллекторским агентствам, которые в законе называются юридическими лицами, осуществляющими деятельность по возврату просроченной задолженности в качестве основного вида деятельности, и порядок взаимодействия кредитора и коллектора с должником.
В соответствии с законом, сведения обо всех коллекторских агентствах вносятся в специально создаваемый реестр, который будет вести пока не назначенный федеральный орган исполнительной власти (уполномоченный орган), который будет еще и контролировать деятельность профессиональных взыскателей. Уже намечается первая неожиданность: проектом постановления Правительства эти функции предполагается возложить на … Федеральную службу судебных приставов.  
Прежде, чем подать заявку на включение в реестр, взыскатель должен уведомить Роскомнадзор о намерении обрабатывать персональные данные и попасть в реестр операторов персональных данных. Без этого – никак.
Из других важных новшеств. Переформатирована статья 14.57 КоАП «Нарушение требований законодательства о защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности», теперь в ней четыре состава правонарушений вместо одного. Самое серьезное наказание вводится для взыскателей, не включенных в реестр коллекторских агентств, но пытающихся собирать долги – штраф до 2 миллионов рублей, деятельность коллекторов может быть административно приостановлена на срок до 90 суток, а их руководство – дисквалифицировано на срок от 6 месяцев до 1 года.
Закон очень жестко регламентирует способы взаимодействия с должником при взыскании долга. Это непосредственное взаимодействие (лично или по телефону), отправка сообщений с использованием средств связи, почтовые отправления. Это все. При этом вводятся обязательные для сообщения должнику категории сведений, которые должны указываться в почтовом отправлении или сообщении, направляемым с использованием средств связи. Для иных способов взаимодействия необходимо письменное соглашение между должником и кредитором или лицом, действующим от его имени и (или) в его интересах, при этом должнику предоставлено право в одностороннем порядке расторгнуть такое соглашение и отказаться от предусмотренных им способов общения с взыскателем долга. Более того, должник через 4 месяца после возникновения просрочки может отказаться от любых способов общения, кроме почты, или запретить обращение к нему взыскателя, потребовав взаимодействия только через своего адвоката, для чего передать взыскателю контактные данные адвоката.  
Большое удивление вызвала предусмотренная законом возможность вовлекать в процесс общения взыскателя и должника третьих лиц по усмотрению должника и без их согласия – членов семьи должника, родственников, проживающих с должником лиц, соседей и вообще кого угодно. При обращении к ним взыскателя долга они могут выразить несогласие, и про них придется забыть. Но сам факт возможности оформления должником согласия в виде отдельного документа, в котором эти третьи лица указываются, на мой взгляд, противоречит и духу, и букве закона о персональных данных. Запретить обращение к этим лицам может и сам должник.
Понять логику законодателей мне так и не удалось – зачем эту норму надо было предусматривать? Тем более, что передать персональные данные таких лиц, не являющихся стороной договора кредитования, кредитор без их согласия и без согласия должника может цессионарию при уступке права требования долга или при привлечении коллекторов в качестве агентов. Предвижу большое количество конфликтов, связанных с реализацией этих норм. По смыслу закона такими агентами могут выступать только кредитные организации и профессиональные взыскатели, и привлекать более одного агента законом запрещается.
Кредитор или его агент при возврате просроченной задолженности не вправе без согласия должника передавать (сообщать) третьим лицам или делать доступными для них сведения о должнике, просроченной задолженности и ее взыскании, передавать любые другие персональные данные должника, если это прямо не предусмотрено законом. Так что популярные у некоторых коллекторов звонки работодателям и родственникам должника, не указанным в его согласии, о котором я писал выше, становятся вне закона. Согласие должника на такую передачу опять-таки оформляется в виде отдельного документа. Из текста закона неясно, надо ли давать одно согласие или два - одно на обращение, другое – на сообщение. Такое согласие не требуется для передачи персональных данных лицам, имеющим право взыскивать долги и указанным в законе, но на них возлагается обязанность обеспечить конфиденциальность полученных от кредитора сведений.
Очень неудачная часть 9.2 появилась в статье 6 Федерального закона «О кредитных историях», из которой не ясно, нужно ли согласие субъекта кредитной истории на раскрытие содержащейся в ней информации или достаточно перехода права требования, и тогда согласие не нужно?
В целом впечатления от нововведений сложные и работать с ними будет не просто. Риски невозврата долга при таких нормах существенно возрастают, многие положения допускают различные трактовки, которые будут активно использоваться должниками и их представителями (есть уже и антиколлекторские агентства), сократится кредитование, обеспечивающее функционирование банков, вырастут проценты по кредитам, появится еще один надзорный орган.

18 июля 2016 г.

Базы и банки данных в новых законах. Часть 2. Реестры фискальных операторов, фискальных носителей и ККТ

Продолжаем обзор изменений законодательства, произошедших по результатам работы весенней сессии Государственной Думы.
15 июля вступила в силу новая редакция Федерального закона от 22.05.2003 № 54-ФЗ «О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием электронных средств платежа», в который Федеральным законом от 03.07.2016 № 290-ФЗ внесены радикальные изменения. Фактически, начинает действовать совсем другой закон о совсем других кассовых аппаратах и совсем с другими правоотношениями.
В законе – много интересного с точки зрения информационной безопасности и обработки персональных данных, но почему-то об этом именно в среде ИБ-специалистов практически ничего не пишут. А зря. Фактически создается новый сегмент рынка средств защиты информации, возможно, гораздо больший по объему, чем тот, которой связывают с пакетом Яровой-Озерова. К антитеррористическому пакету правительство должно принять ряд НПА, только после которых станет ясно, кто, что и как будет хранить, а вот кассовые аппараты есть в каждом магазине, а с принятием закона их должно стать существенно больше.
Попробую кратко восполнить этот пробел.
Если коротко, теперь все (все, подчеркиваю!) кассовые чеки должны сразу же после их создания направляться прямиком в ФНС по защищенному каналу связи в интернете и там, в ФНС, храниться.
Для этого каждому продавцу товаров и услуг контрольно-кассовую технику (ККТ) надо заменить на другую, правильную, завести интернет в каждый магазин, ларек и машину такси, принять меры по целостности фискальных данных и т.д.
Создаются новые институты и реестры: кабинет ККТ на сайте ФНС; реестр ККТ, в котором регистрируются сведения о каждом изготовленном экземпляре (!) ККТ, и реестр фискальных накопителей также с регистрацией сведений о каждом таком накопителе; журналы учета ККТ, ведущиеся налоговыми органами (карточка регистрации ККТ с указанием ее регистрационного номера в таком журнале должна быть подписана усиленной квалифицированной электронной подписью); реестр экспертных организаций, соответствующих требованиям законодательства о применении ККТ; базы фискальных данных.
Вводится очень интересное определение ККТ – «электронные вычислительные машины, иные компьютерные устройства и их комплексы, обеспечивающие запись и хранение фискальных данных в фискальных накопителях, формирующие фискальные документы, обеспечивающие передачу фискальных документов в налоговые органы через оператора фискальных данных и печать фискальных документов на бумажных носителях в соответствии с правилами, установленными законодательством Российской Федерации о применении ККТ».
Фискальные данные – это сведения о расчетах, об организации или индивидуальном предпринимателе, осуществляющих расчеты, о ККТ, применяемой при осуществлении расчетов, и, как обычно, «иные сведения», сформированные ККТ или оператором фискальных данных.
Появилось понятие «средство формирования фискального признака» - это программно-аппаратное шифровальное (криптографическое) средство защиты фискальных данных, обеспечивающее возможность формирования фискального признака.
Такая ККТ должна быть у всех организаций России, осуществляющих расчеты, кроме случаев, прямо установленных статьей 2 закона. Например, новую ККТ не будут использовать банки, но только при использовании банкоматов и систем ДБО, или киоски, торгующие мороженым и газировкой в розлив (хотите продавать бутылки – ставьте ККТ). Не нужна она в церквях при продаже свечей и заказе отпевания или венчания и т.д.
Записывать фискальные данные ККТ будет не на какой-то тривиальный жесткий диск, а на фискальный накопитель – программно-аппаратное шифровальное (криптографическое) средство защиты в опломбированном корпусе, содержащее ключи фискального признака, обеспечивающее возможность формирования фискальных признаков, запись фискальных данных в некорректируемом виде (с фискальными признаками), их энергонезависимое долговременное хранение, проверку фискальных признаков, расшифровывание и аутентификацию фискальных документов, подтверждающих факт получения оператором фискальных данных фискальных документов, переданных ККТ, направляемых в ККТ оператором фискальных данных, а также обеспечивающее возможность шифрования фискальных документов в целях обеспечения конфиденциальности информации, передаваемой оператору фискальных данных.
Кассовые чеки, после полного вступления закона в силу, мы будем получать не в виде клочка бумаги, а как смс-сообщение или письмо на электронную почту, а также размещать их на неких ресурсах сети интернет, откуда покупатель сможет скачать их самостоятельно. Сами понимаете, для этого продавцу надо дать контактные данные, а он их будет где-то и как-то хранить. Каждая точка розничной торговли станет оператором в отношении персональных данных покупателей, которые пока для них анонимы в большинстве случаев (пока, например, не придут с паспортом сдавать товар обратно). Про шифрование трафика, содержащего кассовые чеки, в законе ничего нет.
Фискальные данные немедленно после расчета направляются в электронном виде в налоговые органы через операторов фискальных данных, которые будут хранить эти данные в специально создаваемых базах фискальных данных.
Вопреки растиражированной информации о том, что в каждом кассовом чеке, направляемом в налоговые органы, будут персональные данные покупателя, такого требования в законе нет –размещаемый на кассовом чеке абонентский номер либо адрес электронной почты покупателя персональными данными не является. Но зато на чеке есть должность и фамилия лица, осуществившего расчет с покупателем, которая вместе с данными о пользователе ККТ вполне подходит под определение персональных данных со всеми вытекающими отсюда для пользователя ККТ последствиями.
Соответственно, появляются абсолютно новые направления бизнеса – деятельность операторов фискальных данных и экспертных организаций.
Операторами являются организации, получившие разрешение на обработку фискальных данных. Каждый пользователь ККТ (владелец магазина, например) должен заключить возмездный договор как минимум с одним оператором фискальных данных. Сведения о заключении, расторжении и изменении условий каждого такого договора оператор направляет в налоговые органы через кабинет ККТ в форме электронного документа, подписанного, естественно, усиленной квалифицированной электронной подписью.
Экспертные организации – это те, кто организует и проводит экспертизы моделей ККТ и технических средств оператора фискальных данных или соискателя разрешения на такую деятельность. Все такие организации должны быть включены в специальный реестр.
Исходя из требований к ККТ, к фискальным накопителям и к фискальным данным, представляется, что такие операторы и экспертные организации без лицензий ФСБ и ФСТЭК обойтись никак не могут. Но в законе о лицензиях, как обычно, ни слова. Опять пойдут трактовки и позиции.
ККТ должна обеспечить передачу фискальных данных и прием квитанций об их получении оператором в зашифрованном виде.
К фискальным накопителям требований безопасности, и весьма жестких, предъявляется еще больше:
·         обеспечение противодействия угрозам безопасности информации фискальных данных (значит, должна быть для таких данных модель угроз; она, кстати, уже есть, и очень толковая, составленная на основании проведенного эксперимента по внедрению новой ККТ, но, на мой взгляд, требует доработки после внесения в законопроект изменений и принятия окончательного варианта закона);
·         шифрование фискальных документов, передаваемых оператору в электронной форме, и расшифровывание полученного от оператора подтверждения;
·         формирование фискального признака документов с использованием ключа фискального признака документов и фискального признака сообщений длиной не менее 256 бит, проверку фискального признака подтверждения с использованием ключа фискального признака сообщений;
·         обеспечение аутентификации и проверка достоверности подтверждений оператора, защищенных фискальным признаком подтверждения;
·         обеспечение невозможности коррекции записей и фискальных данных в своей памяти.
Фискальные накопители должны работать с любой моделью ККТ, для чего устанавливаются протоколы информационного обмена.
Встраивание криптографии в ККТ и фискальные накопители – тема крайне интересная, но в законе совершенно не раскрытая. Алгоритмы шифрования, сертификация ФСБ, лицензия разработчиков, параметры протокола информационного обмена, безопасность среды функционирования СКЗИ в составе ККТ и накопителя, порядок создания и утверждения модели угроз – это только небольшая часть проблем, которые видны при прочтении закона. Да и методику экспертизы ФНС должна утвердить ФНС, о согласовании ее с ФСБ и ФСТЭК тоже не упоминается, что не очень правильно, учитывая изложенное выше.
Правда, прямое указание на необходимость сертификации в ФСБ применяемой в фискальных накопителях СКЗИ есть в проекте «Требований к контрольно-кассовой технике, порядке и условиях регистрации, перерегистрации и снятия с регистрационного учета контрольно-кассовой техники в налоговых органах, а также порядок и условия применения контрольно-кассовой техники», который предполагается утвердить постановлением правительства, но, как и модель угроз, документ нуждается в переработке в связи с внесенными в законопроект при его принятии изменениями.
Времени на решение всех этих проблем совсем нет. Полное счастье наступит 1 июля 2017 года, когда можно будет использовать только ККТ, соответствующую новым требованиям, за исключением отдельных случаев. Осталось меньше года.
За невыполнение новых требований к ККТ и обработке фискальной информации тем же 290-ФЗ в КоАП РФ добавлено 12 новых составов административных правонарушений и установлена конкретная ответственность. Отсутствие ККТ влечет штраф в размере от трех четвертых до одного размера суммы расчета, осуществленного с использованием наличных денежных средств и (или) электронных средств платежа без применения ККТ, а рецидив приводит к дисквалификации руководителя и административной приостановки деятельности продавца на срок до 90 суток.
Ну, а мы, простые покупатели, готовимся к очередному повышению цен в рознице. Новую (наверное, сертифицированную) ККТ продавцам надо будет купить, обслуживать, оплачивать услуги операторов. Естественно, за наш с вами счет. А за чей же еще?
Если кому-то интересны детали встраивания в бизнес создание ККТ, фискальных накопителей, операторской и экспертной деятельности – обращайтесь, поможем разобраться.



13 июля 2016 г.

Базы и банки данных в новых законах. Часть 1. Шагреневая кожа налоговой тайны

Нынешний состав Государственной Думы закончил свою работу ударным принятием новой порции законов, которые также ударно одобрил Совет Федерации. В нескольких постах прокомментирую изменения, прямо затрагивающие вопросы информационной безопасности.
В первую очередь проанализируем изменения, которые касаются регламентации создания, ведения и опубликования баз и банков данных граждан и юридических лиц, а также организации к ним доступа.
Начнем с изменений Налогового кодекса РФ, в котором существенно изменено содержание понятия налоговой тайны. Изменено, читай, в очередной раз сужено. Шагреневая кожа информации ограниченного доступа продолжает сжиматься.
Федеральным законом от 01.05.2016 № 134-ФЗ «О внесении изменений в статью 102 части первой Налогового кодекса Российской Федерации» откорректирована статья 102 «Налоговая тайна».
Самое важное, на мой взгляд, в новой редакции закона: теперь к налоговой тайне не могут относиться три дополнительных группы сведений:
·       о среднесписочной численности работников организации за календарный год, предшествующий году размещения указанных сведений в интернете;
·       об уплаченных организацией в календарном году, предшествующем году размещения указанных сведений в интернете, суммах налогов и сборов (по каждому налогу и сбору) без учета сумм налогов (сборов), уплаченных в связи с ввозом товаров на таможенную территорию Евразийского экономического союза, сумм налогов, уплаченных налоговым агентом;
·       о суммах доходов и расходов по данным бухгалтерской (финансовой) отчетности организации за год, предшествующий году размещения указанных сведений в интернете.
И еще одно крайне важное новшество. В статье 102 появилась новая часть 1.1, раскрывающая механизм размещения информации, которая не составляет налоговую тайну, в глобальной сети. В соответствии с ней сведения о суммах недоимки и задолженности по пеням и штрафам (по каждому налогу и сбору), налоговых правонарушениях и мерах ответственности за их совершение, о специальных налоговых режимах, применяемых налогоплательщиками, и участии налогоплательщика в консолидированной группе налогоплательщиков, среднесписочной численности работников, уплаченных суммах налогов и сборов (по каждому налогу и сбору) и суммах доходов и расходов, размещаются в форме открытых данных на официальном сайте ФНС в сети интернет, за исключением сведений, составляющих государственную тайну. Сроки и период размещения таких сведений, порядок их формирования и размещения утверждаются самой же ФНС.
То есть теперь скрывать размер полученных юридическим лицом доходов просто бессмысленно – вся информация о доходах становится открытой и общедоступной. Теперь мы не будем, как привыкли, читать в публикациях сакральную фразу «раскрыть размер полученных доходов имярек отказался, сославшись на коммерческую тайну». И, соответственно, относить все эти сведения к коммерческой тайне никак нельзя, так как они подпадают под определение пункта 11 статьи 5 закона «О коммерческой тайне», устанавливающего, что не могут относиться к этой категории сведений ограниченного доступа сведения, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Так что организациям, в которых установлен режим коммерческой тайны, целесообразно проанализировать перечень сведений, к ней отнесенных, чтобы не оказаться нарушителями закона и не попасть под риск оспаривания правомерности установления режима из-за включения в перечень сведений, которые там присутствовать не могут.
ФНС с размещением информации определилась на редкость оперативно: эти данные появятся на сайте службы до 1 июля 2017 года.
Формирование так любимых многими рейтингов компаний разных сегментов экономики станет простым и доступным для всех желающих: заходишь на сайт ФНС, вводишь название компании и все, как на ладони.
Новым законом также существенно откорректированы определения ряда категорий сведений, ранее уже исключенных из понятия налоговой тайны.
Для общедоступных сведений, в том числе ставших таковыми с согласия их обладателя-налогоплательщика, появилось важное уточнение: «Такое согласие представляется по выбору налогоплательщика в отношении всех сведений или их части, полученных налоговым органом, по форме, формату и в порядке, утверждаемым федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов». Ждем, когда ФНС эти формы, формат и порядок определит. А без них – налогоплательщик пока никак не может раскрыть свои данные по собственной инициативе.
В отношении нарушений законодательства, также исключенных из понятия налоговой тайны, появилось уточнение – «в том числе суммах недоимки и задолженности по пеням и штрафам при их наличии». То есть обращено внимание на то, что сам факт выставления пени – уже свидетельство нарушения закона, и об этом узнают все желающие контрагенты должника, поскольку эта информация, как я написал выше, раскрывается на сайте фискальной службы.

14 июня 2016 г.

Противопоказания для коммерческой тайны: что нельзя относить к этой категории сведений

Как известно, режима коммерческой тайны без создания перечня информации, составляющей коммерческую тайну, не бывает (статья 10 закона «О коммерческой тайне»). Поэтому неизбежно встает вопрос о том, какие сведения нельзя относить к коммерческой тайне. Вопрос очень важный, потому что ошибки при формировании такого перечня могут привести к отказу в защите прав обладателя информации при рассмотрении споров в суде и даже к опротестованию всего перечня, и, как следствие, к признанию режима коммерческой тайны не установленным.
Первый источник, к которому мы обращаемся, естественно, это сам Федеральный закон «О коммерческой тайне», где есть статья 5, которая так и называется: «Сведения, которые не могут составлять коммерческую тайну». Статья определяет группы сведений, в отношении которых лицами, осуществляющими предпринимательскую деятельность, не может быть установлен режим коммерческой тайны. Всего в законе 11 групп таких сведений:
1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;
2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности [т.е. в лицензиях, разрешениях и т.п.];
3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;
4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;
5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест [как видно из текста, речь идет о системе оплаты, а не о ее размере, как для отдельных работников, так и о фонде заработной платы в целом, но об этом читайте ниже];
6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;
7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений [по смыслу закона здесь подразумевается обладатель ИКТ-субъект хозяйствования, юрлицо или индивидуальный предприниматель];
8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности [а не об условиях закупок вообще];
9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации [обратите внимание, этот пункт касается только некоммерческих организаций];
10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;
11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.
Последняя, так горячо любимая нашими законодателями бланкетная норма, как обычно, создает массу проблем тем, кто хочет соответствовать закону - придется читать неопределенное количество законов, да еще регламентирующих самые разные направления деятельности. Самый наглядный пример – Федеральный закон «О бухгалтерском учете», редакция которого, вступившая в силу с 1 января 2013 года, содержит норму: «В отношении бухгалтерской (финансовой) отчетности не может быть установлен режим коммерческой тайны» (часть 11 статьи 13). Особую пикантность ситуации придает тот факт, что ранее действовавший закон содержал прямо противоположное требование («Содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности является коммерческой тайной»). Об этом я писал  после выхода закона.
Общие запреты на ограничение доступа к определенным категориям информации устанавливает часть 4 статьи 8 «трехглавого закона» «Об информации, информационных технологиях и о защите информации». Из охраноспособной в режиме коммерческой тайны информации там можно выделить, пожалуй, только нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, из чего следует, что не стоит закрывать грифом локальные акты работодателя, устанавливающие и ограничивающие права и свободы работников, как бы этого не хотелось (привет сторонникам скрытого использования DLP-систем) и об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну).
Поэтому все ссылки на коммерческую тайну при попытках закрыть сведения о результатах торгов, аукционов, закупок организациями, получающими средства из бюджета, о ходе освоения этих средств прямо противоречат закону, но журналисты почему-то молча их глотают и не требуют раскрытия в ходе интервью с важными покупателями, подрядчиками и прочими освоителями бюджетных средств, как здесь, например http://www.business-class.su/news/2015/04/27/permskie-pozharnye-otkazalis-predostavit-dokumenty-ufas-soslavshis-na-kommercheskuyu-taynu. У пожарников, живущих на бюджете, вдруг появляется коммерческая тайна, да еще в отношении безвозмездного договора оказания услуг.
Есть и гораздо более сложные проблемы.
Статья 91 закона «Об акционерных обществах» обязывает общества предоставлять акционерам доступ к документам, предусмотренным пунктом 1 статьи 89 этого закона, а там, между прочим, документы, подтверждающие права общества на имущество, находящееся на балансе общества; протоколы заседаний совета директоров (наблюдательного совета) общества, ревизионной комиссии (ревизора) общества и коллегиального исполнительного органа общества (правления, дирекции); заключения ревизионной комиссии (ревизора) общества, аудитора общества, государственных и муниципальных органов финансового контроля и (бинго!) внутренние документы общества. Под последнюю категорию, при желании, можно подтянуть вообще все, что угодно.
Аналогичные нормы содержатся и в статье 50 закона «Об обществах с ограниченной ответственностью», обязывающей предоставлять участникам общества доступ к соответствующим документам.
Не буду сейчас рассматривать коллизию с доступом к документам бухгалтерского учета, она сложная и заслуживает отдельного рассмотрения.
Многочисленные суды различных инстанций, вплоть до Конституционного, подтверждали неограниченность этого права акционера, независимо от количества имеющихся у него акций. Общее резюме по этому поводу содержится в Информационном письме Президиума ВАС РФ ОТ 18.01.2011 № 144 «О некоторых вопросах практики рассмотрения арбитражными судами споров о предоставлении информации участникам хозяйственных обществ»: «Судам следует исходить из того, что ни Закон об акционерных обществах, ни Закон об обществах с ограниченной ответственностью не содержат положений, ограничивающих право участника требовать предоставления информации и документов за период деятельности хозяйственного общества, в течение которого данное лицо не являлось участником этого общества».
Так что прежде чем поставить гриф «Коммерческая тайна» на протоколе совета директоров, стоит оценить, а кто может получить к нему доступ на законном основании, особенно если это совет директоров публичного общества.
Много ограничений на отнесение к коммерческой тайне в законах и нормативных правовых актах для холдинговых компаний, естественных монополий, предприятий коммунального комплекса, предприятий, использующих недра и др. Не забываем о требованиях раскрытия и обязательного опубликования сведений – они также с момента опубликования или раскрытия не могут быть информацией, составляющей коммерческую тайну.
И еще немного дровишек в топку.
Статьи 3, 5 и 9 «трехглавого закона» вводят норму, согласно которой доступ к информации может быть ограничен только федеральными законами. Но наряду с рассмотренной статьей 5 закона «О коммерческой тайне» по-прежнему действует Постановление Правительства РСФСР от 05.12.1991 № 35 «О перечне сведений, которые не могут составлять коммерческую тайну», последние изменения в которое были внесены в 2002 году. Это не закон, но, тем не менее, оно устанавливает ограничения, выходящие за рамки указанных в законе «О коммерческой тайне», в частности, запрещая относить к информации, составляющей коммерческую тайну, документы о платежеспособности, сведения о заработной плате (о не о ее системе, как в законе), сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью. Сегодняшний статус постановления в связи с ограничением, указанным в его преамбуле: «в процессе приватизации», однако этот процесс, похоже, может идти вечно, во всяком случае, до тех пор, пока есть что приватизировать.
И еще по поводу заработной платы. В отношении каждого конкретного работника она явно не может быть отнесена к коммерческой тайне, поскольку каждый вправе получить содержащую эти сведения справку по форме 2НДФЛ и распоряжаться далее ею по своему усмотрению, хоть на заборе повесить.
Федеральный закон от 01.05.2016 № 134-ФЗ внес изменения в статью 102 части первой Налогового кодекса Российской Федерации, в соответствии с которыми не являются налоговой тайной сведения о среднесписочной численности работников организации за календарный год, об уплаченных организацией суммах налогов и сборов (по каждому налогу и сбору), о суммах доходов и расходов по данным бухгалтерской (финансовой) отчетности организации за год. Более того, эти данные ФНС размещаются в интернете, поэтому закрывать их в организации не только нет смысла, но и противоречит закону.
Так что при составлении Перечня информации, составляющей коммерческую тайну, лучше перебдеть, чем недобдеть. И Консультант с Гарантом (или наше агентствоJ) вам в помощь!

23 мая 2016 г.

Дееспособность несовершеннолетнего в отношении своих персональных данных

В нескольких последних проектах, выполняемых нашим агентством, мы столкнулись с одной и той же проблемой – с какого возраста наступает дееспособность субъекта в отношении распоряжения своими персональными данными - передачи их третьим лицам, выражении согласия на обработку и т.д. Ответ оказался совсем непростым и неоднозначным.
В соответствии с частью 6 статьи 9 закона «О персональных данных» в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. Для операторов, имеющих дело с несовершеннолетними субъектами, – это головная боль и постоянный риск нарушить закон, конституционные права несовершеннолетнего, оказаться ответчиком по иску родителей и т.д.

Возникают эти ситуации довольно часто. Самая распространенная – принятие пользовательского соглашения и получение доступа к контенту на сайте, к платным или бесплатным информационным услугам, к рассылкам и т.п. Усугубляется ситуация анонимностью интернета, невозможностью в большинстве случаев идентифицировать пользователя и установить его возраст. Но здесь риски для оператора хоть и есть, но не очень большие. А есть ситуации с перспективой существенной материальной ответственности.
Надо ли брать согласие на обработку персональных данных в отношении учащихся учебных заведений, если обучение не предусматривает заключение договора? Если да, то у кого – у учащегося или его родителей? С какого возраста?
Кроме учащихся, есть многочисленные группы несовершеннолетних - участников творческих и спортивных соревнований, юные актеры и модели, имеющие вполне профессиональные контракты, и многие другие.
Так что делать?
Если кто не знает, Гражданский кодекс РФ вводит три возраста дееспособности.
Гражданская дееспособность, т.е. способность гражданина своими действиями приобретать и осуществлять гражданские права, создавать для себя гражданские обязанности и исполнять их возникает в полном объеме, в соответствии с частью 1 статьи 21 ГК РФ, с наступлением совершеннолетия, то есть по достижении 18-летнего возраста. Если законом допускается вступление в брак до достижения 18 лет, гражданин, не достигший 18-летнего возраста, приобретает дееспособность в полном объеме со времени вступления в брак.
Часть 1 статьи 26 ГК РФ предусматривает, что в возрасте от 14 до 18 лет юноши и девушки вправе совершать сделки, за исключением перечисленных в части 2 той же статьи, только с письменного согласия своих законных представителей - родителей, усыновителей или попечителя.
Без согласия законного представителя можно:
1) распоряжаться своими заработком, стипендией и иными доходами;
2) осуществлять права автора произведения науки, литературы или искусства, изобретения или иного охраняемого законом результата своей интеллектуальной деятельности;
3) вносить вклады в кредитные организации и распоряжаться ими;
4) совершать мелкие бытовые сделки и иные сделки, предусмотренные частью 2 статьи 28 ГК РФ – см. ниже.
При этом несовершеннолетние, совершая перечисленные действия, самостоятельно несут имущественную ответственность и за причиненный ими вред.
Ограничить или лишить несовершеннолетнего в возрасте от 14 до 18 лет права самостоятельно распоряжаться своими заработком, стипендией или иными доходами может только суд, при наличии достаточных оснований, и по ходатайству родителей, усыновителей или попечителя либо органа опеки и попечительства, кроме случаев, когда несовершеннолетний успел вступить в брак.
Но и здесь есть нюансы. Статья 27 ГК РФ с красивым названием «Эмансипация» предусматривает, что несовершеннолетний, достигший 16 лет, может быть объявлен полностью дееспособным, если он работает по трудовому договору, в том числе по контракту, или с согласия родителей, усыновителей или попечителя занимается предпринимательской деятельностью.
Объявление несовершеннолетнего полностью дееспособным (эмансипация) производится по решению органа опеки и попечительства с согласия обоих родителей, усыновителей или попечителя, либо при отсутствии такого согласия, – по решению суда.
После такого важного события законные представители эмансипированного чада уже не несут ответственность по его обязательствам, в частности, по обязательствам, возникшим вследствие причинения им вреда.
Наверное, для многих будет неожиданностью узнать, что есть дееспособность и у детишек от 6 до 14 лет. Это указано как раз в упоминавшейся выше части 2 статьи 28. Они могут без участия родителей или иных представителей совершать (1) мелкие бытовые сделки (естественно, кодекс не определяет, что под них подпадает, мы включаем здравый смысл и полагаем, что это покупка мороженого или воздушного шарика, например), (2) сделки, направленные на безвозмездное получение выгоды, не требующие нотариального удостоверения либо государственной регистрации, а также (3) сделки по распоряжению средствами, предоставленными законным представителем или с согласия последнего третьим лицом для определенной цели или для свободного распоряжения.
Но имущественную ответственность по сделкам малолетнего, в том числе по сделкам, совершенным им самостоятельно, несут его родители, усыновители или опекуны, если не докажут, что обязательство было нарушено не по их вине. Эти лица, в соответствии с законом, также отвечают за вред, причиненный малолетними.
Самое интересное, с точки зрения рассматриваемого вопроса, – это сделки за номером (2), направленные на безвозмездное получение выгоды. Под эту категорию вполне подпадает принятие пользовательского соглашения на сайте сети интернет, а оно часто требует в качестве акцепта представления своих персональных данных.
И что же, пусть неграмотный шестилетка занимается этим на законном основании?
Не думаю.
А думаю вот что. Дееспособность в отношении своих персональных данных у субъекта наступает в возрасте 14 лет, когда он лично, а не его представители, получает паспорт, который, в терминах Научно-практического комментария Роскомнадзора, имеет идентификаторы субъекта, присвоенные государством и которые сами по себе однозначно определяют физическое лицо (стр. 16 комментария).
Было бы странно выдавать такой документ и ограничивать его самостоятельное использование обладателем в случаях, когда законом такие ограничения прямо не предусмотрены.
С другой стороны, статья 61 Семейного кодекса РФ предусматривает, что родительские права прекращаются по достижении детьми возраста 18 лет (совершеннолетия), а также и в других установленных законом случаях приобретения детьми полной дееспособности до достижения ими совершеннолетия. А статья 64 Семейного кодекса устанавливает, что родители являются законными представителями своих детей и выступают в защиту их прав и интересов в отношениях с любыми физическими и юридическими лицами, в том числе в судах, без специальных полномочий. Значит, действия, предусмотренные частью 6 статьи 9 закона «О персональных данных», в отношении 17-летнего абитуриента или бегуна-полумарафонца должны выполнить его родители?
Все не так просто.
Часть 2 статьи 54 закона «Об основах охраны здоровья граждан в Российской Федерации» дает право несовершеннолетним в возрасте старше 15 лет, больным наркоманией несовершеннолетним в возрасте старше 16 лет на информированное добровольное согласие на медицинское вмешательство или на отказ от него. С согласием на трансплантацию в качестве реципиента еще хуже, но об этом писать не буду – страшно.
В соответствии со статьей 9 закона «О гражданстве Российской Федерации», для приобретения или прекращения гражданства Российской Федерации ребенком в возрасте от 14 до 18 лет необходимо его согласие, что точно требует представления персональных данных. Про согласие родителей в законе нет ничего.
Статья 58 закона «Об актах гражданского состояния» дает право 14-летнему ребенку переменить свое имя, включающее в себя фамилию, собственно имя и (или) отчество, т.е. по своему усмотрению, без родителей, распорядиться персональными данными.
Статья 20 Трудового кодекса РФ в общем случае устанавливает, что вступать в трудовые отношения в качестве работников имеют право лица, достигшие возраста 16 лет, а в случаях и в порядке, которые установлены Кодексом, также лица, не достигшие указанного возраста. С момента начала трудовых отношений такие лица приобретают все права, предусмотренные главой 14 ТК РФ как субъекты персональных данных.
Аргументы можно приводить и дальше, их в наших законах много.
Поэтому резюмирую. Дееспособность в отношении своих персональных данных, в том числе право выражать согласие на их обработку и предоставлять иным лицам по своему усмотрению наступает в возрасте 14 лет.
Хорошо бы по этому поводу услышать мнения регулятора и надзорного органа, но, увы, они пока молчат.

12 мая 2016 г.

Про прослушку телефонов в офисе и конституционные права

Поскольку в течение вчерашнего дня увидел массу цитат своего комментария «Коммерсанту» по поводу систем прослушивания работодателем сотовых телефонов работников, который является не совсем точной моей цитатой, а, ввиду отсутствия в России, не смог откликнуться на многочисленные предложения дать комментарии телеканалам, излагаю свое видение ситуации в этом посте.
При решении вопроса об организации работодателем контроля использования работником средств хранения, обработки и передачи информации, в том числе средств подвижной радиосвязи (сотовой телефонной связи), необходимо исходить из императивной нормы части 2 статьи 23 Конституции РФ: «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения».
Реализация этого конституционного права обеспечивается статьей 138 Уголовного кодекса РФ, предусматривающей ответственность за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. При этом использование служебного положения или специальных технических средств, предназначенных для негласного получения информации, (оба обстоятельства присутствуют в этой ситуации) рассматривается как отягчающее обстоятельство.
Кроме того, статья 137 Уголовного кодекса РФ рассматривает как преступное деяние незаконное собирание сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, что вполне может быть применимо к негласной прослушке телефонных переговоров.
Необходимо отметить особую деликатность этой проблемы, решение которой должно обеспечивать баланс интересов как работника, имеющего право на неприкосновенность частной жизни, так и работодателя, рассчитывающего на рациональное использование рабочего времени и предоставленных работнику средств производства, в том числе телефонов и компьютеров.
Примером установления такого баланса является решение Европейского суда по правам человека от 12 января 2016 года по делу «Барбулеску против Румынии», рассматривавшего допустимость нарушения приватности работника, исходя из норм Европейской конвенции о правах человека, стороной которой является и Россия, предусматривающих уважение личной и семейной жизни каждого, а также его корреспонденции.
При этом вмешательство в осуществление этого права допускается только в случаях, когда оно предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности, или защиты прав и свобод других лиц, к которым могут быть отнесены и работодатели.
Во всех случаях незаконной будет негласная прослушка сотовых телефонов в рабочих помещениях при отсутствии предупреждения о записи и анализе телефонных переговоров, которое должен получить абонент, в том числе и посетитель офиса – владелец мобильного телефона, не являющийся работником, а также контроль звонков с телефонов, не находящихся в собственности работодателя, входящих звонков всем, включая работников, поскольку и, при наличии внутренних правил прослушивания, абонент, не являющийся работником, ничего об этом не знает и имеет право не знать.
В этих условиях прослушивать сотовые телефоны, не нарушив закон, практически невозможно.
Анализирует содержание телефонных переговоров обладателя мобильного телефона робот или человек, никакого значения не имеет, поскольку в конечном итоге работник службы безопасности работодателя получает доступ к конкретному разговору, то есть к сведениям, составляющим тайну связи.
Не будем забывать, что в отличие от электронной почты, мобильная связь –лицензируемый вид деятельности, и возможность использования соответствующего оборудования для прослушки работодателем, не имеющим лицензии на оказание услуг связи, – это большой вопрос.
Это – если очень коротко. Чувствую, придется в эту тему глубже окунуться в моих выступлениях на PHDays 18 мая в Москве и IT & Security Forum 26 мая в Казани. Желающих подискутировать приглашаю сделать это лично.

4 апреля 2016 г.

5 апреля: Резервное копирование. Запросы бизнеса и требования закона

Завтра (5 апреля) мы вместе с Veeam Software Russia, Александром Ширмановым и Марией Сидоровой расскажем, почему резервное копирование, в отличие от многих других требований безопасности, так понятно бизнесу, что по этому поводу написано в законах, приказах ФСТЭК и документах Банка России, чем опасна красная кнопка Delete и на какую ее лучше заменить. И познакомимся с новым сертифицированным решением, умеющим отлично резервировать данные в виртуальной среде, попутно выяснив, в каких случаях без сертификации не обойтись. 
Регистрация на вебинар пока открыта https://go.veeam.com/webinar-fstec-certification-v8

9 марта 2016 г.

Обсудим особенности обработки персональных данных в негосударственных пенсионных фондах

16 марта пройдет семинар по персональным данным, на этот раз – для негосударственных пенсионных фондов, пенсионных администраторов, страховых и управляющих компаний, который мы проводим совместно с Национальной ассоциацией негосударственных пенсионных фондов (НАПФ), а точнее – ее Учебно-методическим информационным центром.
Опыт наших проектов в этих организациях показывает, что их деятельности присуща специфика, существенно отличающая их от других операторов персональных данных, что требует отдельного анализа и обоснования правовых оснований обработки персональных данных, их допустимого состава.
В первую очередь, это связано с категориями субъектов, чьи данные обрабатываются в фондах. Помимо обязательных для всех операторов работников, их родственников, соискателей вакантных должностей, посетителей, представителей контрагентов и субъектов персональных данных, значительное количество сведений относится к вкладчикам, участникам фонда и клиентам по негосударственному пенсионному обеспечению, страхователям и застрахованным лицам, правопреемникам участников фонда и застрахованных лиц, выгодоприобретателям, а также агентам фонда, действующим на основании договора и обязавшихся совершать по поручению фонда действия как от своего имени, но за счет фонда, так от имени и за счет фонда. Для каждой такой категории необходимо определить наличие предусмотренных законом оснований для обработки данных, необходимость получения согласия и его форму, состав сведений, необходимых и достаточных для достижения предопределенных целей обработки, но не выходящих за установленные ими пределы.
Да и перечень законов и иных нормативных правовых актов, содержащих основания обработки персональных данных, помимо традиционного закона «О персональных данных» и Трудового и Гражданского кодексов РФ дополняется большим количеством документов, устанавливающих те или иные нормы, к примеру:
·         ФЗ от 07.05.1998 № 75-ФЗ «О негосударственных пенсионных фондах»;
·         ФЗ от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
·         ФЗ «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений»;
·         ФЗ от 24.07.2002 № 111-ФЗ «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации»;
·         Постановление Правительства РФ от 03.11.2007 № 742 «Об утверждении Правил выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, правопреемникам умершего застрахованного лица средств пенсионных накоплений, учтенных на пенсионном счете накопительной части трудовой пенсии»;
·         Постановление Правительства РФ от 21.12.2009 № 1048 «Об утверждении Правил единовременной выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, средств пенсионных накоплений лицам, которые не приобрели право на установление трудовой пенсии по старости»
·         Постановление Правления ПФР от 31.07.2006 № 192п «О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и Инструкции по их заполнению».
И в каждом из документов содержатся обязательные требования, которые необходимо учесть при организации работы негосударственного пенсионного фонда, разработки локальных нормативных актов, договоров с контрагентами и субъектами персональных данных.
Часть этих норм требует для их реализации дополнительных усилий, а часть, напротив, существенно облегчает деятельность оператора, освобождая его от весьма трудоемких, а иногда и затратных действий по реализации норм закона «О персональных данных». Крайне важными здесь представляются положения статьи 15 закона «О негосударственных пенсионных фондах», к которым в свое время приложил руку и я, в соответствии с которыми фонд не обязан получать согласие вкладчиков-физических лиц, страхователей-физических лиц, участников, застрахованных лиц, выгодоприобретателей на обработку персональных данных, касающихся состояния здоровья указанных лиц и предоставленных ими или с их согласия третьими лицами в объеме, необходимом для исполнения договора, а также право фонда поручить обработку персональных данных указанных выше лиц организациям при определенных условиях.
В ходе семинара будет рассмотрена позиция регулятора и надзорного органа в отношении негосударственных пенсионных фондов – Банка России, связанная с организацией обработки персональных данных и обеспечением информационной безопасности, новые тенденции ее правового регулирования, озвученные на магнитогорском форуме по банковской безопасности
В заключении семинара будет подробно проанализирована система контроля и надзора за соблюдением законодательства о персональных данных, ее изменения, произошедшие после 1 сентября 2015 года, примеры из практики надзорной деятельности, типичные нарушения, выявляемые при проведении надзорных мероприятий и мероприятий систематического наблюдения, а также практика разрешения судебных споров, связанных с персональными данными.
Учитывая, что во многих негосударственных пенсионных фондах подразделений по информационной безопасности традиционно нет, а занимаются описанными выше проблемами самые разные специалисты, мы вместе с НАПФ надеемся, что семинар поможет им разобраться в непростых вопросах и обеспечить соответствие обработки персональных данных всех категорий субъектов закону.