10 марта 2020 г.

Роскомнадзор: как правильно обрабатывать данные, полученные тепловизорами при измерении температуры тела


За последние две недели в наше Агентство поступили запросы о порядке обработки оператором персональных данных, полученных при измерении температуры тела в связи с эпидемией коронавируса. Мы подготовили запрос в Роскомнадзор с изложением своей позиции.
Сегодня, 10.03.2020, Роскомнадзор опубликовал соответствующие разъяснения, в которых указывается, что получение согласия работника и посетителя на обработку сведений о состоянии здоровья в данном случае не требуется, полностью подтверждающие нашу позицию https://rkn.gov.ru/news/rsoc/news72206.htm.
Отрадно, что Роскомнадзор проявил оперативность при ответе на столь острые для многих операторов персональных данных вопросы.

6 марта 2020 г.

За утечку данных – драконовский штраф


Дал интервью порталу RSpectr.com https://www.rspectr.com/interview/370/za-utechku-dannyh-drakonovskij-shtraf. Местами, возможно, резко. Но наболело.

Михаил Емельянников (Консалтинговое агентство «Емельянников, Попова и партнеры»): «Законодательное регулирование нужно в тех случаях, когда без него никак не обойтись»
Сегодняшнее законодательство РФ, регулирующее сферу данных, уже не совсем актуально – стремительное развитие технологий значительно опережает нормотворчество. И со временем этот разрыв может только расти. Российский эксперт в области информационной безопасности и защиты прав субъектов персональных данных (ПД) Михаил Емельянников поделился с RSpectr своим видением дальнейшего совершенствования отраслевого законодательства.

RSpectr: Что нужно сделать в первую очередь, чтобы актуализировать закон «О персональных данных»* с учетом современных цифровых реалий?

Михаил Емельянников (М. Е.): Необходимо сделать очень многое. В первую очередь надо править весь понятийный аппарат, потому что, например, определение «персональные данные», которое дано в законе, необоснованно широко и создает постоянные проблемы. С каждым годом информации, относящейся к конкретному субъекту, становится все больше, она разрастается как снежный ком. И как ею управлять, совершенно непонятно.

Следующее, что нужно поменять, – это сделать так, чтобы закон защищал субъекта персональных данных. Пока же основная его направленность – это проверки Роскомнадзором операторов ПД. Это нужно, наверное, но закон писался совершенно не для этого. В частности,

СЕГОДНЯ САМАЯ БОЛЬШАЯ ПРОБЛЕМА – ЭТО НЕВОЗМОЖНОСТЬ ПРИВЛЕЧЬ К ОТВЕТСТВЕННОСТИ ОПЕРАТОРА ЗА УТЕЧКУ ПД

В законе нет соответствующей нормы. И в итоге мы регулярно читаем в СМИ о грандиозных утечках, в том числе из банков.

Допустим, кредитное бюро Equifax (утечка данных, о которой компания сообщила в сентябре 2017 года, стала одной из самых масштабных в истории. – Прим. RSpectr.) до сих пор выплачивает компенсации своим клиентам. Причем суммы колоссальные. А у нас миллионы записей банковских клиентов попадают в интернет – и ничего.

Затем,

СОВЕРШЕННО НЕЯСНО, ЗАЧЕМ ВВЕДЕНО ПОНЯТИЕ ОПЕРАТОРА ПД, В ТО ВРЕМЯ КАК ЛЮБОЕ ЮРИДИЧЕСКОЕ ЛИЦО И ЛЮБОЙ ИНДИВИДУАЛЬНЫЙ ПРЕДПРИНИМАТЕЛЬ, ЕСЛИ СЛЕДОВАТЬ ЗАКОНУ, ЯВЛЯЕТСЯ ТАКОВЫМ

Зачем нужны тогда реестры? Зачем нужны уведомления Роскомнадзора?

Кроме того, наш закон о ПД существенно ограничивает использование, например, современных облачных технологий. В частности, надзорные органы рассматривают cloud-вычисления как исполнение поручения об обработке ПД в любом случае, независимо от того, есть там доступ персонала или нет, а поручение требует согласия субъекта. Скажем, мы создали у себя CRM-систему, которая перевалила за миллион субъектов ПД, я физически не могу перенести ее в облако, потому что невозможно собрать миллион согласий. Это все тормозит бизнес, позволяет давить на него.

Поэтому в том виде, в каком он есть, закон работает практически только в одну сторону: позволяет Роскомнадзору проводить проверки и штрафовать компании. Дело было задумано очень хорошее, но практика показывает, что вышло все совсем по-другому.

Я считаю, что законодательное регулирование нужно в тех случаях, когда без него никак не обойтись. Это касается, например, проблемы утечки данных. Не нужно, на мой взгляд, регулировать вопросы, связанные с уведомлением Роскомнадзора и отнесением юридического лица к операторам персональных данных. Потому что это ничего не улучшает, ни с точки зрения защиты прав субъекта, ни с точки зрения организации надзорной деятельности. Потому что проверять можно и внесенных в реестр, и не внесенных в реестр.

СПРАВКА

Михаил Юрьевич Емельянников,

управляющий партнер Консалтингового агентства «Емельянников, Попова и партнеры»

· В области информационной безопасности работает более 30 лет: в государственных структурах, на стороне заказчиков и на стороне исполнителей.

· Под его руководством была создана система информационной безопасности крупнейшей телекоммуникационной компании России. Специализируется на решении комплексных проблем управления рисками в информационной сфере на стыке правовых, организационных и технических мер.
Сооснователь Консалтингового агентства «Емельянников, Попова и партнеры», в котором под его руководством за последние 9 лет были выполнены сотни проектов по защите персональных данных и реализации режима коммерческой тайны.
Постоянный консультант транснациональных, иностранных и российских компаний по вопросам соответствия бизнеса законодательству РФ о информационной безопасности. В течение ряда лет – член экспертных групп, советов, комиссий при Совете Федерации, Минкомсвязи, Роскомнадзоре, Национального совета по финансовым рынкам.
Ведет блог http://emeliyannikov.blogspot.com.

RSpectr: Как вы думаете, какая ответственность должна быть за утечку ПД?
М. Е.: Решение совершенно простое – установление драконовского штрафа за утечку. В десятки и сотни миллионов рублей. Это во-первых. И во-вторых,

НЕОБХОДИМО ВВЕДЕНИЕ ОБЯЗАННОСТИ ВЫПЛАЧИВАТЬ КОМПЕНСАЦИИ ВСЕМ ТЕМ, ЧЬИ ДАННЫЕ ПОПАЛИ В ОТКРЫТЫЙ ДОСТУП, КАК ЭТО СДЕЛАНО ВО МНОГИХ СТРАНАХ МИРА

Тогда бы нерадивые банки, которые направо и налево торгуют базами или отказываются потом признавать эти факты, крепко задумались, стоит ли это делать.

И я вас уверяю, они истратят колоссальные деньги, но утечки прекратятся, потому что платить такие штрафы никто не захочет. А сейчас в России штраф за утечку как за нарушение конфиденциальности – это 50 тысяч рублей. Ну подумаешь, 50 тысяч – заплатим! Да и наложить его можно только в случае, если данные обрабатывались без использования средств автоматизации, например, носители просто выбросили на свалку.

Как поставлена работа в хорошем, правильном банке? Там USB-порты отключены у всех сотрудников, в них просто не на что данные клиентов скопировать. То есть шаги элементарные, но зачастую не хватает простейших мер безопасности.

Приведу пример. Громкий скандал был у производителя процессоров Advanced Micro Devices (AMD). Когда из компании ушел вице-президент, он забрал с собой четырех ведущих инженеров, которые в течение двух недель качали все, что можно из корпоративной информационной системы. И уже задним числом, когда AMD обратилась в суд с требованием прекратить использование данных, выяснилось, что эти сотрудники с рабочего места гуглили, как скачать большие объемы данных через USB-порт и прочее. Ведь всего этого можно было довольно просто избежать.

Вот посмотрите, как построен европейский GDPR**, это огромный регламент, в разы по объему превышающий наш закон «О персональных данных». Но при этом в нем нет статьи с техническими требованиями, которые обязан выполнять любой оператор ПД. Организации защищают персональные данные так, как считают нужным. Но если у них произошла утечка, и они попытаются ее скрыть, то их сначала оштрафуют на 2% годового оборота или на 10 млн евро за сокрытие факта, а потом на 20 млн евро или на 4% годового оборота за непринятие надлежащих мер.

RSpectr: Существуют различные типы данных, но понятийный аппарат не закреплен законодательно. Что делать?

М. Е.:
Нужно создавать сильные рабочие группы из крупных экспертов, которые бы получали финансирование за свою деятельность.

Данные – это новая область для российского права. И даже юристы часто не всегда хорошо различают понятия больших и персональных данных.

RSpectr: Как Вы относитесь к инициативам по легализации торговли «деперсонифицированными» данными?


М. Е.: Дело в том, что деперсонифицированные данные не должны соотноситься ни с одним субъектом. Чем они ценны для коммерсанта? Они нужны, например, банку, чтобы осуществить андеррайтинг, рассчитать проценты по кредиту, по вкладу, посмотреть, в каких регионах какие категории населения кредитоспособны, каков массовый денежный объем, который можно получить на вклады и депозиты. Но это не та статистика, которая продается. Наиболее ценны данные, которые собираются о человеке в интернете. Их также называют деперсонифицированными, но на самом деле такая информация относится к конкретному физическому лицу. Я считаю, что надо гораздо строже наказывать за такую торговлю, а не легализовывать.

Ряд общественных организаций предлагает даже доплачивать деньги за то, что человек предоставляет свои данные бизнесу. Но надо понимать, что как только субъект дает согласие на продажу его ПД третьим лицам, он теряет над ними контроль. И когда человек увидит катастрофические последствия его решения, он уже повлиять ни на что не сможет. У него не получится отозвать свое согласие, потому что данные будут «гулять» по рынку от одного оператора к другому и остановить это движение будет уже невозможно.

RSpectr: В настоящее время активно внедряются системы распознавания лиц – разных видов и целей. Как такие системы биометрической идентификации согласуются с нынешним законодательством о ПД?

М. Е.:
Никак не согласуются. Создание таких систем идентификации в настоящий момент полностью незаконно. По одной простой причине. Да, действительно в ФЗ «О персональных данных» указано, когда обработка биометрических ПД может вестись без согласия субъекта, – в случаях, предусмотренных законодательством об обороне, о безопасности, о противодействии терроризму, о противодействии коррупции, об оперативно-разыскной деятельности и так далее. Но ни в одном из этих документов нет ни одного слова про биометрические данные.

Значит, исходя из того, как строится правовая система РФ, сначала в соответствующие законы надо внести изменения. Определить: кто устанавливает правила, как хранить и использовать эти данные. И только после этого создавать системы распознавания лиц.

То, что видеокамеры ставятся в городе, в автобусах, на дверях подъездов в огромном количестве – находится в рамках правового поля. Но как только вы эту систему видеонаблюдения сопрягаете с базой изображений лиц, даже с благими намерениями борьбы с преступностью, – это становится нарушением закона «О персональных данных».

Евросоюз сейчас временно запретил развитие систем распознавания лиц. Аналогичный закон принят в Калифорнии (США), потому что это действительно уже стало большой проблемой.

RSpectr: Повсеместная цифровизация и защита ПД – как это сочетается между собой и не является ли утопией сохранение конфиденциальной информации в условиях тотального проникновения IT-технологий?

М. Е.:
С одной стороны, данные используются все больше и остановить это нельзя. И вот тут как раз государство должно ввести четкие правила регулирования их оборота. С другой – мы должны понимать, что незаконное использование этих данных во вред субъекту, даже с целью таргетирования рекламы, должно пресекаться и влечь очень серьезную ответственность.

Естественно, что часть конфиденциальности мы уже утратили, будем терять ее и дальше. Придется этим жертвовать, если мы хотим пользоваться современными услугами и различными удобными сервисами, тем более бесплатно (поисковик, электронная почта и т. д.). Но тут должен появиться некий барьер, за который оператору заступать нельзя под угрозой серьезного штрафа, который приведет к прекращению экономической деятельности компании.

Кроме того,

ГОСУДАРСТВУ НУЖНО ЗАНИМАТЬСЯ СОЦИАЛЬНОЙ РЕКЛАМОЙ И РАЗЪЯСНЯТЬ ГРАЖДАНАМ, С КАКИМИ ОПАСНОСТЯМИ ОНИ МОГУТ СТОЛКНУТЬСЯ, НЕ СЛЕДУЯ ОСНОВАМ ЦИФРОВОЙ ГРАМОТНОСТИ

Например, как противодействовать мошенникам, которые применяют методы социальной инженерии для кражи денег со счетов. Нужно объяснять людям очень многое. Я понимаю, что реклама на федеральных телеканалах стоит больших денег, но такая разъяснительная работа является обязанностью государства.



* Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ.

** GDPR – General Data Protection Regulation – Общий регламент по защите персональных данных, вступил в силу 25.05.2018 в Европейском Союзе.

31 января 2020 г.

День открытых дверей в Роскомнадзоре

28 января, в Международный день защиты персональных данных, Роскомнадзор провел традиционный трехчасовой семинар в рамках дня открытых дверей. Регистрация на него закончилась через полтора дня после открытия, зал ситуационного центра был заполнен, даже дополнительные стулья принесли.
Семинар открыла заместитель руководителя ведомства А.А. Приезжева (главная тема – гармонизация российского законодательства с новой редакцией Конвенции ETS-108), затем начальник управления защиты прав субъектов персональных данных Ю.Е. Контемиров подвел итоги надзорной деятельности за 2019 год. Проверок проведено на 11 больше, чем в 2018 году (989), а вот предписаний выдано больше на 31 (799), протоколов о нарушениях составлено нa 15% меньше, чем в прошлом году (5437). Как я понимаю, большая их часть – по статье 19.7 КоАП и связана с уведомлениями. Ведомство оценивает это в целом как рост результативности проверок с 80% до 84%. Повысилась и результативность мероприятий систематического наблюдения. В ходе их проведения выявлено 611 случаев нарушения обязательных требований, то есть примерно в каждом третьем мероприятии (всего их было 2103).
По статье 13.11 КоАП составлено 215 протоколов, что привело к назначению штрафов на один с небольшим миллион рублей. Количество протоколов выросло по сравнению с прошлым годом тоже на треть. Распределение штрафов по разным частям статьи 13.11 - на диаграмме.
Заметно (на 22,4%) выросло число обращений граждан, до 50 тысяч за год. Жалуются, как обычно, в основном на сайты и банки (по 23%). Число подтвержденных при проверке неправомерных действий операторов выросло до рекордных 7,2%, так что жалуются граждане, в основном, зря.
За год Роскомнадзор подал 41 исковое заявление о блокировке сайтов за нарушения законодательства о персональных данных, в Реестре нарушителей уже 3395 сайтов.
Требования о локализации баз персональных данных выполняют 99% проверенных операторов.
Заместитель начальника управления А.Х. Гафурова рассказала о работе с обращениями граждан более подробно, в этом направлении без существенных перемен.
Далее Ю.Е. Контемиров остановился на организации проверок. Из важного и неожиданного: трехлетний интервал между проверками территориально обособленных подразделений (в разных субъекта Федерации) исчисляется отдельно по каждому подразделению. Не очень понятна идея – проверяться ведь должен оператор-юрлицо. Еще раз напомнил, что проверок по персональным данным в планах проверок нет, их надо смотреть в планах деятельности территориальных органов.
Для общего сведения: неразмещение планов на сайте, проведение проверок в иные сроки, чем указано на сайте, отсутствие согласования планов с прокуратурой, несвоевременное вручение акта проверки или отсутствие записи в журнале учета проверок – не основания для отмены их результатов.
А вот непредставление акта проверки оператору, проведение внеплановой проверки по исполнению ранее выданного предписания по вопросам, в предписании не отраженным, влекут отмену результатов.
В ходе проверки консультации не оказываются, пояснения причин квалификации нарушения не предоставляются, акт проверки оператор увидит только после его подписания членами комиссии, контрольные сроки исполнения предписания не меняются ни в каких случаях.
Еще из интересного – сведения о заемщике и поручителе по кредиту должны указываться на разных носителях (листах бумаги), потому как цели их обработки заведомо несовместимы. Мне всегда казалось, что цель здесь всегда одна – принятие решения банком о предоставлении кредита. Видимо, был не прав.
Или вот такое нарушение – использование для обработки персональных данных работников госучреждения, не являющихся госслужащими, формы № 6676-р, в которой сведений больше, чем предусмотрено трудовым законодательством.
Рассказал Контемиров и о создающихся центрах компетенции территориальных управлений Роскомнадзора в федеральных округах и рабочих группах при них, которые будут глубоко разбираться с конкретными вопросами и готовить по ним методические материалы. Пригласил желающих поучаствовать в их работе.
Наиболее интересные ответы надзорного ведомства на вопросы операторов.
Место нахождения баз данных надо указывать точно, по фактическому адресу, как это сделать для облаков – не раскрывалось.
Часть 4 статьи 9 про одну цель и одного обработчика будет меняться. Можно будет давать дополнительное согласие на обработку персональных данных в целях, не указанных при их сборе. А вот обязательное согласие субъекта на поручение обработки его данных останется в законе.
Обработка файлов cookie на сайте с использованием метрических служб (Яндекс Метрика, Google Analytics) – это обработка персональных данных и  должна сопровождаться получением согласия посетителей на это (баннер), размещением информации о том, как это делается (Политика в отношении файлов cookie) и локализацией собираемых и обрабатываемых данных на территории России.
Не всякий источник общедоступных данных – общедоступный источник (без комментариев).
Обезличивать персональные данные оператор по своему усмотрению не может, нужны основания в нормативном правом акте (без комментариев), хэширование – не обезличивание вообще, и поэтому на передачу хэшированных данных иному лицу нужно согласие субъекта.
Скорингом могут заниматься только бюро кредитных историй и использовать для этого только информацию, которой они располагают в силу закона (намек на незаконность использования данных из социальных сетей).
На хранение в личных делах работников копий документов (паспортов, свидетельств о рождении и браке и пр.) нужно согласие работников, если оператор не может доказать, что эти копии нужны для исполнения требований закона.
Аренда серверов и стоек, перенос данных в ЦОДы и облака, передача документов с персональными данными на хранение иному лицу – поручение обработки персональных данных, договор должен соответствовать части 3 статьи 6 закона 152-ФЗ.
Отправка электронного письма с персональными данными адресату в другую страну – трансграничная передача, для этого нужны законные основания.
В качестве лица, ответственного за организацию обработки персональных данных, можно привлекать юридическое лицо и физическое лицо, не являющееся работником оператора.
Согласия на обработку персональных данных, полученные в письменной форме, можно отсканировать и хранить в электронной форме, а подлинники уничтожить с целью облегчения процесса хранения (не советую, в суде будет сложно, если что).
Если персональные данные без использования средств автоматизации обрабатывают работники иной организации, таких работников тоже надо знать и уведомить о такой обработке (ПП-687), но это может сделать и их работодатель.
Самое важное, наверное, все. Быстро, бодро, предельно кратко.

1 января 2020 г.

С наступившим високосным 2020!

Уважаемые зашедшие на огонек читатели!
С наступившим 2020 годом вас!
Пусть високосный год будем позитивным и богатым на положительные эмоции.
Счастья, мира и понимания в семьях.
Новых вершин и прорывов в бизнесе, новых идей и их успешной их реализации.
Понимающих и готовых помочь друзей, компетентных коллег и заказчиков, которые нацелены на результат и современные сервисы.
Новых путешествий и новых личных открытий по всему миру, он близок и доступен, как никогда.
Здоровья на все, что задумано и делается!
И пусть удача, без которой мало что происходит, весь год будет с вами.

3 декабря 2019 г.

Новый закон: штрафы за невыполнение требований по обработке информации в Интернете


Вчера, 2 декабря, Президент РФ подписал закон № 405-ФЗ, вводящий миллионные штрафы за нарушения, так или иначе связанные с обработкой информации в Интернете.
Самые широко и громко обсуждаемые нововведения –штраф в размере до 6 млн за невыполнение требований о локализации персональных данных в период их сбора и штраф до 18 млн – за рецидив этого нарушения (максимальные суммы штрафов – для юридических лиц, конечно).
Сразу посыпались комментарии – теперь за хранение персональных данных за рубежом будут нещадно карать, конец всем облакам и прочим SaaS.
Давайте разбираться. Начнем с того, что такого запрета в законе нет. В части 5 статьи 18 закона 152-ФЗ, действующей с 1 сентября 2015 года, написано совсем другое: «При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».
Итак, речь идет исключительно о периоде сбора персональных данных, ограничения накладываются на 9 из 18 способов обработки, приведенных в п.3 ст.3 закона 152-ФЗ, и не затрагивают, например, использование персональных данных. А дальше читаем многочисленные разъяснения регулятора (страница «Обработка и хранение персональных данных в РФ. Изменения с 1 сентября 2015 года» на официальном сайте Минкомсвязи) и надзорного органа («Комментарий к Федеральному закону от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях», сайт http://pd-info.ru/).
В качестве квинтэссенции всех этих разъяснений – цитата с сайта Минкомсвязи: «Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр.».
Нововведения, как представляется, направлены в первую очередь на иностранные компании, которые отказываются локализовывать собираемые данные россиян в базах на территории России, но активно работают с ними (в первую очередь – такие, как Facebook и Twitter). Механизм блокировок показал свою неэффективность, ищутся другие пути воздействия. Правда, как взыскивать штраф с таких компаний, тоже непонятно. Похоже, Facebook, в отличие от Twitter, 3 тысячи рублей штрафа за непредставление сведений (ст.19.7 КоАП) так и не оплатил, так что надежд на получение миллионов тоже не много.
Помимо дополнения статьи 13.11 КоАП про локализацию частями 8 и 9, новый закон содержит еще целый ряд дополняющих Кодекс об административных правонарушениях положений.
Штрафы в сотни тысяч и миллионы рублей введены за повторные нарушения, допущенные организаторами распространения информации в Интернете (ст.13.31 КоАП, три состава рецидивов), владельцами аудиовизуальных сервисов (ст.ст. 13.35, 13.36 и 13.37 КоАП, три состава рецидивов), организаторами сервиса обмена мгновенными сообщениями (мессенджеров) (ст.13.39 КоАП), оператором поисковой системы (ст.13.40 КоАП, три состава рецидивов).
Ждем практику правоприменения новых видов ответственности.

26 ноября 2019 г.

Что было интересного на X Международной конференции Роскомнадзора. Часть 1


Как и обещал, публикую пост про прошедшую недавно X юбилейную Международную конференцию «Защита персональных данных».
С одной стороны, мероприятие прошло практически в том же формате, что и предыдущие – приветствия, пленарка, две панели с фиксированными выступлениями, свободный микрофон с регуляторами. Из нового – два выступления, заявленные в формате TED, мое и Евгения Калинина из DPO Сбербанка.
Ряд интересных моментов отметил для себя в вступлении Роскомнадзора А. Жарова. От 19% до 34% роста ВВП в России к 2025 году обеспечит таргетирование предложений конкретным пользователям, что в денежном выражении составит 4,1–8,9 трлн руб (данные McKinsey). Вот и ответ о причинах утечек персональных данных, большом желании заняться парсингом в соцсетях и прочем. Глобальный рынок больших данных в 2020 году в мире составит $70 млрд. В выступлении Жарова и последующих выступлениях (и моем тоже, грешен) достаточно много говорилось о государственном регулировании оборота больших и персональных данных, обеспечении интересов государства, бизнеса и субъектов, но дискуссий и столкновений мнений формат конференции не предполагал, кроме как заочных, что не позволило сделать обсуждение этих действительно крайне важных вопросов интересным и полезным.
Роскомнадзор пообещал в следующем году подготовить предложения по законодательной регламентации внутреннего контроля за обработкой персональных данных и установлении административной ответственности за распространение, приобретение и последующее использование персональных данных, полученных преступным путем. Инициативы интересные, но, на мой взгляд, сложно реализуемые. Регламентация внутреннего контроля возможна только в больших компаниях, в СМБ ей заниматься попросту некому (вспомним квалификацию лиц, ответственных за обработку в этом сегменте). А ответственность за использование ворованных баз данных без какой-либо ответственности за утечки выглядит странной. Кроме того, надо будет доказывать наличие злого умысла при покупке и заведомую известность покупателю факта незаконного получения данных продавцом. Это как вводить ответственность за покупку на рынке краденой картошки или мяса.
А вот предложение Эдгарса Пузо из Ассоциации европейского бизнеса об исключения из закона согласия субъекта на поручение обработки его данных третьему лицу поддерживаю на 146%. Во-первых, и так ответственность перед субъектом в любом случае несет оператор, а, во-вторых, учитывая позицию Роскомнадзора, что любое размещение ИСПДн в дата-центре или облаке – это поручение обработки, законный перенос систем в облако становится практически невозможным, поскольку получить согласие всех cубъектов, чьи данные находятся, например, в переносимой CRM-системе, просто технически невозможно. Даже с системами кадрового учета, где необходимо получение согласия экономически зависимых работников, возникают проблемы с их получением, что же говорить про остальные. Возможно, надо все-таки внимательнее посмотреть на идеологию GDPR и институт «законного интереса» оператора (контролера). GDPR к согласиям работников, кстати, относится, мягко говоря, прохладно именно ввиду их зависимости от работодателя.
Был очень интересный и поучительный обзор по штрафам по GDPR и утечкам за 2019 год от Кристины Боровиковой из KPMG, но вот перевод штрафов в рубли мне лично только мешал, приходилось пересчитывать обратно.
В выступлении Андрея Слепова, партнера «БАЙТЕН БУРКХАРДТ», прозвучала очень интересная, но спорная мысль, о необходимости получения согласия лица, ответственного в компании за организацию обработки персональных данных, на размещение его персональных данных в общедоступном источнике – Реестре операторов Роскомнадзора. Уже после выступления в дискуссии он ссылался на общие и специальные нормы, а я – на п.11 части 1 ст.6 152-ФЗ.
О своем выступлении «Персональные данные в цифровой экономике: газ или тормоз?» постараюсь написать отдельно, поскольку формат TED выступления не предполагает использования детальной презентации с раскладыванием «по полочкам».
На секции, которую меня пригласили вести, выступающие проявили просто фантастическую дисциплину, не вылезая за временные границы, что позволило даже задать им несколько вопросов. Один из главных вопросов, который у меня был, получил однозначный ответ уже в выступлении Дмитрия Шевцова, начальника 2 Управления ФСТЭК России. Он подтвердил возможность иных способов оценки соответствия средств защиты информации в ИСПДн, этот вопрос я задавал в прошлом году и Елене Торбенко из ФСТЭК. Для наглядности привожу слайд из презентации Д. Шевцова:
Один из главных, потому что нам с нашими заказчиками часто приходится спорить с интеграторами, которые предлагают выбросить все несертифицированные СЗИ и поставить на несколько миллионов (а иногда и десятков миллионов) «правильных» средств защиты, категорически не соглашаясь ввязываться в оценку путем проведения испытаний и приемки, и в обоснование компенсирующих мер в соответствии с Методическим документом ФСТЭК России от 11.02.2014 «Меры защиты информации в государственных информационных системах». Интеграторов, конечно, понять можно, но заказчиков подталкивать к бессмысленным тратам как-то нехорошо.
Интересно, хотя и очень сжато (10 минут!) А.М. Сычев, Первый заместитель директора Департамента информационной безопасности Банка России, рассказал о том, как видит Центробанк противодействие социальной инженерии, на которую в 2018 году приходится 97% несанкционированных операций, совершенных с использованием платежных карт, а объем украденных средств клиентов составил 1,3 млрд рублей. Попутно он не согласился со мной, что основная часть «социальных инженеров» работает в объединенном колл-центре колоний и спецпоселений, высказав мысль, что желающих легко заработать много и в других местах.
Проблема действительно серьезная, согласен с Артемом Михайловичем, что нужны и законодательные меры, и повышение осведомленности клиентов, и работа банков. Я предложил задействовать социальную рекламу на телевидении, как наиболее действенную для самой пострадавшей категории –пожилых людей. Захлестнувшая страну этой осенью волна телефонных мошенничеств, изощренность и информированность мошенников требует самой незамедлительной ответной реакции, и думать об этом надо не только Банку России, а государству в целом. В том числе изыскать деньги для информирования населения о проблеме.  
Александр Савельев из Высшей школы экономики выступил с очень интересной мыслью о законодательном введении такого частноправового механизма защиты прав субъектов, как компенсация, основанием для взыскания которой является доказанный факт нарушения законодательства, безотносительно последствий этого нарушения для субъекта, размер которой назначается судом с учетом конкретных обстоятельств и может варьироваться от 10 тысяч до 5 млн. рублей по аналогии с тем, как это сейчас предусмотрено ГК РФ для случаев нарушения исключительных прав на результаты интеллектуальной деятельности.
Об интересном на традиционном Круглом столе «Свободный микрофон с регуляторами», который я вел, и в котором приняли участие Ю.Е.Контемиров (Роскомнадзор), представители Минкомсвязи, ФСБ, ФСТЭК, Банка России, Совета Европы и Евросоюза,расскажу в отдельном посте. Надеюсь, скоро.

15 октября 2019 г.

Что интересного будет на X Международной конференции Роскомнадзора


7 ноября в МИА «Россия сегодня» пройдет X юбилейная Международная конференция «Защита персональных данных».

На сайте конференции размещена почти полная программа мероприятия. Как и все последние годы, среди участников – много иностранцев, которые говорить будут прежде всего о GDPR и его могучем движении по Европейской экономической зоне.

В программе – пленарная панельная дискуссия, модерировать которую будет руководитель Роскомнадзора А.А. Жаров, на которую выносятся действительно очень острые вопросы – персональные данные в условиях цифровизации, экономика персональных данных и их использование в предпринимательской деятельности (тут и интересный законопроект подоспел про обезличенные данные и обезличенные персональные данные), локализация и трансграничность потоков данных. Если будут выступления по делу – может быть очень интересно.

Потом будут две международные экспертные встречи «Экономика данных». В первой встрече будут участвовать преимущественно зарубежные гости и Ю.Е. Контемиров, и во второй - представители ФСБ, ФСТЭК, Банка России, а также Huawei, AliExpress, IXcellerate и др., а модерировать встречу предложили мне. Выступления на этих встречах традиционно очень короткие, по 10 минут, и на вопросы обычно времени никто из выступающих не оставляет.

Зато наиболее интересным для слушателей персонам вопросы можно и нужно будет задать на Круглом столе «Свободный микрофон с регуляторами». В этом году, кроме представителей российских органов власти, вовлеченных в процесс, впервые в нем обещают принять участие гости из Европейского надзорного органа по защите данных (очень рассчитываю выяснить их позицию относительно применимости GDPR к российским компаниям) и Группы защиты данных Совета Европы (а тут самое время выяснить про ETS-108 в новой редакции).

Традиционно обращаюсь к читателям блога с предложением присылать мне вопросы, самые интересные обещаю озвучить на Круглом столе. И еще одна просьба к тем, кто планирует прийти, пробыть до конца конференции и задать свой вопрос из зала. Времени в этот раз будет немного меньше, чем обычно, всего 1 час, поэтому просьба вопрос продумать и сформулировать заранее. Иногда на его постановку уходит времени больше, чем на ответ. Если вопросы будут, в перерыве желающие их задать могут подойти ко мне и сформулировать свой вопрос, шансы его озвучить повышаются, но при условии, что я тоже соглашусь с его актуальностью. Просьба в любом случае – без обид.

И есть два новшества, которые кажутся интересными. В конце каждой из двух экспертных встреч будут выступления в модном сейчас формате TED (Technology, Entertainment, Design), на которые отводится по 30 минут. Первым будет выступать зажигательный и зажигающий Алексей Волков из Сбербанка (редкая возможность в последнее время послушать его блестящие выступления), второе выступление – мое. К чести организаторов, они вновь не стали ограничивать или даже обговаривать содержание наших выступлений или просить об их премодерации. Для меня выступление в этом формате первое, готовлюсь, оплошать нельзя.

Так что до встречи на конференции со всеми причастными. Как обычно, уверен, – скучно не будет.

24 сентября 2019 г.

Дьявол в деталях. Поменялась форма согласия гражданина на обработку биометрии

Распоряжением Правительства РФ от 13.09.2019 № 2063-р внесены изменения в форму согласия на обработку персональных данных, необходимых для регистрации гражданина в единой системе идентификации и аутентификации (ЕСИА), и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических персональных данных в единой информационной системе персональных данных (ЕБС).
Фактически введена новая уточненная форма согласия, не очень отличающаяся от старой, но тем не менее…
В новой форме перечень категорий данных, на обработку которых дается согласие, стал закрытым, как и предусмотрено п.5 части 4 ст.9 ФЗ «О персональных данных». Самое смешное, что несмотря на название Распоряжения и вводимой им формы согласия, упоминание об иных сведениях, предусмотренных федеральными законами, а также необходимых для размещения данных в учетной записи в ЕСИА, из формы согласия исключены.
ИНН теперь надо предоставлять при его наличии, чего раньше не было и фактически делало невозможным регистрацию лиц, не получивших ИНН.
Простое упоминание «изображение лица, голос (биометрические персональные данные)» заменено на детальное разъяснение, как эти данные получаются и зачем.
Согласие по-прежнему дается одновременно трем операторам: Минкомсвязи, ПАО «Ростелеком» и организации (банку), собирающей биометрические данные.
В согласии на обработку Минкомсвязи удалено упоминание об использовании собираемых данных для оказания государственных и муниципальных услуг (и это правильно, они к данному согласию никакого отношения не имеют).
В согласии ПАО «Ростелеком» добавлено согласие на обработку, помимо биометрических, еще и контактных данных, что совершенно неправильно. Архитектура ЕБС, оператором которой является Ростелеком, изначально создавалась как полностью обезличенная, то есть не предполагающая идентификацию субъекта. Оператор хранит математические шаблоны (слепки) голоса и лица, идентификатор из ЕСИА, и все. Его задача – выдать вероятность совпадения полученных данных с шаблонами у владельца идентификатора, без установления личности. Наличие у Ростелекома (оператора связи, напомню) номера телефона и адреса электронной почты при современных технологиях делает идентификацию владельца голоса и лица не простой, а очень простой. К тому же, функционал ЕБС (определение владельца голоса и лица не по шаблону, а по изображению и записи, а вовсе не определение степени соответствия), предусмотренный Постановлением Правительства РФ от 28.12.2018 № 1703 об утверждении Правил предоставления оператором ЕБС в МВД России и ФСБ России сведений, содержащихся в этой системе, не соответствует целям, заявленным при сборе данных и на которые дается согласие субъекта. Все это подтверждает давно очевидную мысль о том, что ЕБС имеет несколько иное предназначение, чем декларировалось при ее создании. Зачем Ростелекому иметь контактные данные субъектов, если он должен решать только задачу оценки соответствия, не понятно, если другие задачи – совершенно очевидно. 
Согласие теперь явно допускает поручение обработки персональных данных нескольким лицам (это было и раньше, но не так очевидно).
Ранее согласие действовало до дня его отзыва, но не более 50 лет, теперь упоминание про 50 лет исчезло. Это подразумевает, что, если субъект согласие не отозвал, данные будут храниться вечно? Зачем? Да и формулировка про 50 лет при возможности использования биометрических данных для идентификации не более, чем в течение 3 лет (Приказ Минкомсвязи от 25.06.2018 № 321) полностью противоречит принципам обработки, установленным ФЗ «О персональных данных»: «Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом». Как мы видим, закон не предусматривает продление срока хранения подзаконными актами и согласием субъекта . Дискуссию о правовой природе согласия и наличии признаков договора в нем пока оставим в стороне, так как закон должен трактоваться буквально, согласия как основания в нем нет. 
Да и отзыв согласия вовсе не ведет к уничтожению данных в ЕСИА и ЕБС, они просто не могут использоваться для удаленной биометрической идентификации, они все равно будут там храниться «не менее 50 лет» (тот же Приказ Минкомсвязи № 321). 
В заключение - о позиции Минкомсвязи и Роскомнадзора «одно согласие – одна цель – один оператор – один обработчик». В согласии, установленном Правительством РФ, три оператора и неограниченное количество обработчиков. Как это соотносится с практикой проверок и судебной практикой, поддерживавшей позицию Роскомнадзора, очень надеюсь поинтересоваться на круглом столе «Свободный микрофон с регуляторами», который буду проводить по приглашению Роскомнадзора 7 ноября на Х юбилейной Международной конференции «Защита персональных данных», проходящей под патронажем надзорного ведомства.

6 августа 2019 г.

Резервное копирование и восстановление данных в организациях, поднадзорных Банку России


На сайте нашего партнера, компании Veeam, опубликована моя довольно объемная статья, в которой проанализированы вопросы организации резервирования информационных систем, в том числе резервного копирования данных, и восстановления деятельности при сбоях и чрезвычайных ситуациях в кредитных и некредитных финансовых организаций, а также субъектов национальной платежной системы, деятельность которых регулируется и контролируется Банком России.
В статье определены финансовые организации, на которые распространяются требования Банка России (их очень много), рассмотрены требования к резервированию и восстановлению данных, установленные законодательством РФ (и их тоже немало), и ответственность за их невыполнение, а также требования в отношении резервного копирования и восстановления деятельности, установленные в нормативных документах Банка России.
С полным текстом статьи можно ознакомиться по ссылке https://www.veeam.com/ru/wp-bank-backup-recovery.html

18 июня 2019 г.

Селфи с паспортом уходят в астрал

Про опасность представления кому бы ни было селфи с паспортом сказано уже очень много – и в СМИ, и на самых разных ресурсах Интернета. Но, тем не менее, проблема не только остается, но и усугубляется.
Удостоверяющий Центр АО «Калуга Астрал» 1 октября прошлого года объявил о введении нового Регламента по проверке документов. Об этом уже писали в октябре прошлого года.
Главное изменение нового Регламента АО «Калуга Астрал» – обязательное предоставление селфи с паспортом генерального директора любой компании (кроме бюджетных организаций), получающего или ранее получившего электронную подпись и сертификат в удостоверяющем центре (УЦ). Без такой фотографии получить электронную подпись нельзя.
Предоставление собственного фото с паспортом – это очень серьезный риск для субъекта персональных данных стать объектом мошенничества. Селфи с паспортом активно используются для мошеннических действий, в первую очередь – для получения онлайн кредитов в микрофинансовых организациях, но не только. Есть и черный рынок в даркнете с такими селфи, и профессиональные их скупщики, например, «Профсоюз селлеров» или «Форум вилочников». Недавняя история с водителем-убийцей на каршеринговом мерседесе, полученном на подставное лицо, или получение кредитов в банках – наглядные иллюстрации. Об этом написано очень много, достаточно погуглить и почитать, например это, это или это.
К сожалению, «предоставление селфи с паспортом» впрямую коснулось и нашего агентства. Я честно пытался решить вопрос по-хорошему, обратившись в техподдержку, а затем – к руководителю центра компетенции УЦ АО «Калуга Астрал», но по-хорошему не получилось. Поэтому публикую этот пост и, по-видимому, далее мы направим жалобы в различные инстанции - в Минкомсвязи, Роскомнадзор и прокуратуру.
Итак. Без селфи получить подпись и сертификат нельзя. В качестве аргумента руководитель центра компетенции УЦ ссылается на статью 18 Федерального закона № 63-ФЗ «Об электронной подписи». Читаем. «При обращении в аккредитованный удостоверяющий центр заявитель … представляет следующие документы либо их надлежащим образом заверенные копии и сведения:
1) основной документ, удостоверяющий личность;
2) номер страхового свидетельства государственного пенсионного страхования заявителя - физического лица;
3) идентификационный номер налогоплательщика заявителя - физического лица;
4) основной государственный регистрационный номер заявителя - юридического лица;
5) основной государственный регистрационный номер записи о государственной регистрации физического лица в качестве индивидуального предпринимателя заявителя - индивидуального предпринимателя;
6) номер свидетельства о постановке на учет в налоговом органе заявителя - иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации) или идентификационный номер налогоплательщика заявителя - иностранной организации;
7) доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц».
Это все. Точка. Перечень закрытый. Права УЦ запрашивать какие-либо дополнительные документы закон не предусматривает. Часть документов УЦ должен получить самостоятельно из государственных информационных ресурсов. Сведения о выданном квалифицированном сертификате направляются в Единую систему идентификации и аутентификации (ЕСИА). На этом процедура заканчивается.
Но в УЦ «Калуга Астрал» мне довольно агрессивно сообщили, что в части 2 статьи 18 закона № 63-ФЗ указаны обязательные документы, перечень документов, необходимый для выпуска электронной подписи, является открытым, и УЦ по своему усмотрению имеет право запрашивать дополнительные документы (такие, как фотография с паспортом). Весьма интересное понимание норм закона, а точнее явное его нарушение.
Мой вопрос о правомерности в таком случае запроса УЦ, например, справок из псих- и нарко- диспансеров, сведения о номере платежной карты с CVV2 и прочих документов был просто проигнорирован.
Особенно умилило такое обоснование возможности истребования селфи, как наличие лицензии ФСТЭК РФ на деятельность по разработке и (или) производству средств защиты конфиденциальной информации. Здесь сделаем паузу для осознания такой интересной идеи.Аргумент о необходимости представления селфи весьма интересный, он изложен в разъяснении на сайте партнера УЦ, ссылка на который дана выше: «в связи с участившимися случаями мошенничества при выдаче электронных подписей и для минимизации рисков сотрудников УЦ и Партнёров». Основанием для таких действий компания считает (внимание!) предложение Минкомсвязи о дополнении Уголовного кодекса статьёй, устанавливающей уголовную ответственность за умышленное нарушение обязанностей, предусмотренных законодательством в области электронной подписи, в частности, введением в УК РФ новой статьи 200.6 «Умышленное нарушение обязанностей, предусмотренных законодательством Российской Федерации в области электронной подписи». Законопроект такой есть, (совсем не там, куда ведет ссылка в публикации), но касается он, в основном, закона 63-ФЗ, в том числе в части уточнения порядка идентификации заявителя ( и про селфи там, естественно, нет ни слова), а уголовная ответственность предусматривается для должностных лиц аккредитованного удостоверяющего центра и должностных лиц доверенного лица аккредитованного УЦ за умышленное нарушение порядка выдачи (вручения) квалифицированного сертификата ключа проверки электронной подписи.
То есть, мы не хотим попасть под уголовку, поэтому будем нарушать ваши права, незаконно требовать документы, несущие для вас реальную угрозу. Железная логика.
Между тем, законопроект не только не принят, но даже и не внесен в Думу и застрял на этапе размещения на портале https://regulation.gov.ru/, не дойдя даже до этапа оценки регулирующего воздействия. Да и не имеет это значения в данном случае, он все равно не про селфи.
 Те, кому требуется электронная подпись, смогут выбрать другой УЦ, в который не требуется отправлять селфи с паспортом и подвергать себя ненужным рискам.
Выход с идентификацией есть очень простой – использование ЕСИА. Для биометрической идентификации клиентов банка ее решили практически мгновенно. Были бы воля и желание. И закон нарушать не придется.
P.S. На запрос о перечне документов нам прислали, в том числе, и фото дамы с паспортом и заявлением в руках в качестве образца селфи. Так что шлите селфи в астрал…

17 мая 2019 г.

Доставленный вам спам готовы блокировать за ваши деньги


Получили СМС-сообщение из объединенного колл-центра колоний и спецпоселений с сообщением об «открытии Карты Банка № 1» (так в тексте). В сообщении – все как обычно и как положено: картинка с логотипом банка № 1, фото здания головного офиса и адресом его сайта, линк на липовый домен где-то в США с использованием сочетания krt (ну, ясен пень, карту же открывают!), линк ведет, как и положено, совсем на другой адрес… Сообщение обычное, не первое, и, к сожалению, наверняка не последнее. Но сегодня я не о фишинге.
Наш добрый Андроид тут же сделал подкупающее предложение заблокировать и сообщить о спаме, при этом номер телефона и сообщения будут отправлены в Google, и, возможно, нашему сотовому оператору, при этом может взиматься дополнительная плата, обозначенная величиной %1$s. Заманчиво.
Операционка (или приложение?) знают, что доставили спам, и предлагают за неназванные деньги, которые непонятным способом должен получить Google, с этим спамом лениво побороться за наш же счет.
Как-то уж совсем не кошерно получается.
Параллельно наш телеком-оператор предлагает в смс ту же услугу антиспама за 4 рубля в день, хотя на сайте написано, что с октября 2014 года это делается бесплатно.
В общем, грустная история. «Мы будет пропускать спам, блокировать его за ваши деньги, хотя знаем, что это рассылки незаконные».
И как обычно, спасение утопающих…, люди, будьте бдительны, и все такое.

25 апреля 2019 г.

Чем гриф «Коммерческая тайна» похож на кролика в шляпе фокусника


Готовили мы очередной обзор правоприменения законодательства о коммерческой тайне и ноу-хау для нашего заказчика и наткнулись на подтверждение наших опасений с связи с изменением с 1 октября 2014 года порядка обеспечения конфиденциальности секретов производства их обладателем.
Пять лет назад я писал в своем блоге о том, что законодатели, внося очередную порцию изменений в четвертую часть Гражданского кодекса, для защиты секретов производства предложили обладателю исключительного права на такие секреты принимать разумные меры для соблюдения конфиденциальности, в том числе путем введения режима коммерческой тайны. То есть режим коммерческой тайны в отношении ноу-хау перестал быть обязательным, но какой объем и состав мер является разумным неизвестно до сих пор. Это приводит к ожидаемым коллизиям при разрешении в судах споров, связанных с секретами производства.
Суд по интеллектуальным правам рассмотрел в кассации два очень похожих дела с интервалом в год составом, в котором совпадают двое судей из трех.
Дело 1. В октябре 2017 года ООО «Галс» пытался оспорить предписание УФАС Новосибирской области о прекращении нарушения антимонопольного законодательства. Нарушение заключалось, по мнению антимонопольного органа, в использовании информации, составляющей коммерческую тайну (ИКТ) и секреты производства обратившихся в УФАС с жалобой ООО «Рельеф Плюс» и ООО «Перевал», создании и реализации продукции, сходной до степени смешения с продукцией заявителей.
История для нашей страны довольно банальная. Нанятый руководитель ООО «Рельеф Плюс» через какое-то время уволилась с работы, прихватила с собой ведущих специалистов двух аффилированных компаний и очень быстро наладила производство продукции, аналогичной (по мнению заявителей и судов – тождественной) той, которые выпускались на предприятии, которым бывший директор руководила.
Пострадавшие посчитали, что для этого незаконно использовались секреты производства, охраняемые ими в режиме коммерческой тайны. Истец же утверждал, что меры, предусмотренные законом, для установления режима коммерческой тайны, в полном объеме реализованы не были, в частности, на технологической документации отсутствовал гриф «Коммерческая тайна» с указанием правообладателя.
Суд с этим не согласился, использовав для обоснования своей позиции довольно интересную аргументацию: «довод кассационной жалобы об отсутствии соответствующего грифа на материальных носителях, содержащих сведения, составляющие коммерческую тайну, не может сам по себе являться основанием для признания необоснованными выводов судов об отнесении рассматриваемой по настоящему делу информации к разряду коммерческой тайны, поскольку в силу части 5 статьи 10 Закона о коммерческой тайне меры по охране конфиденциальности информации признаются разумно достаточными, если исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя, либо обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны». 
Неожиданный вывод. Часть 5 касается исключительно состава мер по охране конфиденциальности. А вот часть 2 той же статьи закрепляет, что режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 данной статьи. А там как раз нанесение грифа на носители. Не исследовал суд и других аспектов установления коммерческой тайны – состав и содержание мер, направленных на ограничение доступа к информации, составляющей коммерческую тайну, установление порядка обращения с этой информацией и организацию контроля за соблюдением такого порядка, наличие договора между ООО «Рельеф Плюс» и ООО «Перевал» на предоставление ИКТ и ноу-хау, ведение учета лиц, получивших доступ к ИКТ, наличие договора с генеральным директором, устанавливающего обязанности по обеспечению охраны конфиденциальности ИКТ, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны конфиденциальности этой информации.
Общий вывод по Делу 1: Использование грифа «Коммерческая тайна» на документах, содержащих соответствующую информацию, необязательно, как и полнота реализации мер по установлению режима коммерческой тайны, установленных законом.
Дело 2. Через год, как я уже писал выше, суд, в состав которого входили двое из трех судей, принявших первое рассматриваемое решение, разрешал в кассации спор между ООО «КРОНВЕТ» (далее – Общество) и ФГБНУ Федеральный научный центр «Всероссийский научно-исследовательский и технологический институт птицеводства» Российской Академии Наук (ВНИИТИП).
ООО «КРОНВЕРК» заказал разработку технологии для производства вакцины против инфекционного бронхита кур, а ВНИИТИП, который технологию и разрабатывал, передал ее для производства ФКП «Щелковский биокомбинат» на основании возмездного лицензионного договора. Истец просил запретить использовать секрет производства и взыскать с ответчика убытки в виде упущенной выгоды.
Мирно конфликт разрешить не удалось, ВНИИТИП отказался выполнить полученные требования Общества. Иски в Арбитражный суд Санкт-Петербурга и Ленинградской области и Тринадцатый арбитражный апелляционный суд были оставлены без удовлетворения. Суды сделали вывод о том, что секрет производства создан совместно работниками истца и ответчика, поэтому использование его последним не является нарушением прав истца. Выяснилось, что работники Общества, готовившие ТЗ на технологию, одновременно оказались и работниками ВНИИТИП, ее разрабатывающими. О статье 771 ГК РФ, обязывающей исполнителя научно-исследовательских работ, опытно-конструкторских и технологических работ, обеспечить конфиденциальность полученных результатов, суды почему-то не вспомнили.
В доказательство своих прав на ноу-хау ООО «КРОНВЕТ» представил регистрационное удостоверение лекарственного препарата для ветеринарного применения, выписку из согласованных с Россельхознадзором Технических условиях с описанием секрета производства и Положение Общества о коммерческой тайне.
В отношении секрета производства судами был сделан вывод о том, истцом не были созданы необходимые условия для соблюдения режима коммерческой тайны ввиду невыполнения им всех положений статьи 10 Закона о коммерческой тайне, что является самостоятельным основанием для отказа в иске. В обоснование этой позиции Суд по интеллектуальным правам сослался на пункт 57 Постановления Пленума Верховного Суда и Высшего Арбитражного Суда от 26.03.2009 № 5/29 «О некоторых вопросах, возникших в связи с введением в действие части четвертой Гражданского кодекса Российской Федерации» и процитировал недействующее к тому времени уже 4 года определение секрета производства, содержащее императивную норму «в отношении которых обладателем таких сведений введен режим коммерческой тайны». За прошедший с прошлого дела год судьи напрочь забыли используемую в материалах дела действующую. формулировку ГК «обладатель таких сведений принимает разумные меры для соблюдения их конфиденциальности, в том числе путем введения режима коммерческой тайны».
Только хардкор, только коммерческая тайна, и точка!
По мнению судов, истцом в нарушении вышеуказанных норм права не были выполнены следующие меры по охране конфиденциальности информации, а именно: (следим за рукой, кладущей платочек в пустую шляпу и извлекающую из него кролика) грифом «Коммерческая тайна» маркировано только служебное задание на выполнение опытно-технологических работ. Анализа иных мер по охране ИКТ в материалах дела нет.
Доводы заявителя кассационной жалобы о том, что Технические условия, содержащие описание секрета производства (технологию производства вакцины) были оформлены в соответствии с Законом о коммерческой тайне, а также что суды не применили подлежащую применению норму статьи 10 Закона о коммерческой тайне, суды проигнорировали.
Постойте, а как же необязательность грифа при наличии разумных и достаточных мер для соблюдения конфиденциальности, о чем пришли к выводу те же судьи год назад? А никак.
Самое грустное, что документы на передачу технологии по лицензионному договору подписывали работники ВНИИТИП, которые одновременно были и работниками ООО «КРОНВЕТ».
Общий вывод по Делу 2: Нет грифа – нет исключительных прав на секрет производства.
Мне одному показалось, что участие в деле государственного органа и даже государственного учреждения сильно влияет на позицию судей?
В заключение выпишем рецепт. К судам надо готовиться, изучать практику правоприменения, аналогичные дела и заручиться заключением специалиста или эксперта по предмету спора. Иначе убеждать судей в своей правоте довольно сложно.