4 марта 2019 г.

19 марта: Резервное копирование и восстановление данных в организациях, поднадзорных Банку России


19 марта пройдет вебинар, уникальный по своему контенту, на котором будут рассматриваться непростые вопросы резервного копирования и восстановления данных в организациях, контроль и надзор за которыми осуществляет Банк России.
Вебинар ориентирован на представителей банков и микрофинансовых организаций, страховых компаний, негосударственных пенсионных фондов и управляющих компаний различных фондов, акционерных обществ и эмитентов ценных бумаг, кредитных кооперативов, рейтинговых агентств и ломбардов, и не только.
Никто не уделяет так много внимания вопросам резервного копирования информации и ее восстановления, как Банк России. Учитывая, что полномочия банка России по нормативному регулированию, осуществлению контрольной и надзорной деятельности весьма широки, а возможные наказания за невыполнение установленных требований очень серьезны, организациям, находящимся в зоне влияния Банка России, в первую очередь, необходимо качественно и в соответствии с установленными требованиями решать вопросы обеспечения непрерывности и восстановления деятельности, в том числе связанные с восстановлением данных в случае их уничтожения, несанкционированной модификации, вредоносного воздействия. А таких организаций очень много.
Ситуация осложняется тем, что многие такие организации в соответствии с принятыми законами относятся к субъектам критической информационной инфраструктуры, невыполнение требований информационной безопасности на которых влечет ответственность вплоть до уголовной.
На вебинаре выступит Михаил Емельянников, один из ведущих российских экспертов по информационной безопасности и государственного регулирования вопросов защиты информации ограниченного доступа, постоянный консультант транснациональных, иностранных и российских компаний по вопросам соответствия бизнеса законодательству Российской Федерации, автор многочисленных публикаций по наиболее острым проблемам применения законодательства в ведущих специализированных изданиях.
В выступлении М. Емельянникова будут рассмотрены положения законодательства, требования Банка России, ФСТЭК России, направленные на организацию резервного копирования и восстановления данных, предусмотренная законодательством РФ ответственность за их невыполнение. Участники вебинара получат исчерпывающую информацию о функциональных возможностях продуктов Veeam, обеспечивающих выполнение установленных законодательством требований. 
Вебинар организован компанией Veeam и пройдет 19.03.2019, 11:00-13:00.
Для участия в вебинаре необходима предварительная регистрация.

28 февраля 2019 г.

Жизнь субъекта персональных данных в новом цифровом доме из Сколково


В понедельник РБК сообщил о новой инициативе АНО «Цифровая экономика» (далее – АНО ЦЭ для краткости) – внести изменения в ряд законов с целью облегчения доступа к сведениям, составляющим банковскую, налоговую, врачебную тайну и тайну связи. Цитировать и приводить сведения о проекте буду по публикации РБК, поскольку на сайте АНО ЦЭ найти ничего не удалось (кстати, удивительно недружелюбный интерфейс организации, которая должна определять, как жить в цифровом мире). 
Естественно, нововведения необходимы «для развития современных технологий», а вы думали, зачем? Как технологиям без тайн граждан дальше развиваться-то? В прошлом году я комментировал другую инициативу, фонда «Сколково», в соответствии с которой один раз выпустив персональные данные из рук дав согласие на обработку персональных данных, субъект полностью теряет над ними контроль, а сами данные переводятся в категорию рыночного товара, спекулировать которым может кто угодно.
Новая инициатива АНО ЦЭ делает этот товар гораздо более привлекательным, с секретами, нижним бельем и местами расположения скелетов в шкафах дома субъекта. Обоснование – как всегда в таких проектах, на грани фола. «Эксперты предлагают разрешить банкам передавать третьим лицам сведения о своих клиентах с их согласия. Сейчас такой возможности у кредитных организаций нет, даже если это в интересах самих клиентов». Что ж так сразу-то – «такой возможности нет»? Клиент дал согласие на передачу иному лицу – банк передал. Тем более, что прецеденты есть. Вот, например, в письме Банка России от 29.09.2014 № 41-2-2-8/1757 за подписью И.О. директора Департамента банковского регулирования А.А. Лобанова указывается, что передача информации, составляющей банковскую тайну физического лица, третьим лицам (за исключением лиц, упомянутых в ст. 26 Федерального закона «О банках и банковской деятельности») допускается исключительно при наличии письменного согласия физического лица, что подтверждается судебной практикой (Постановление Шестого арбитражного апелляционного суда от 14.02.2013 № 06АП-41/2013 по делу № А73-12065/2012). 
Таким образом, возможность передавать банковскую тайну иным лицам с согласия субъекта в законе есть и сегодня, тем более что инициаторы законопроекта говорят, что такая передача допускается только по запросам клиентов банка. Да и письменное согласие не нужно, закон допускает для данного случая его получение в любой доказываемой форме. 
Чтобы создавать и развивать услуги связи, по мнению авторов инициативы, надо разрешить операторам связи передавать третьим лицам сведения о геолокации абонентов, их поле, возрасте, даже … «структуре расходов на услуги связи», ну, и до кучи «и другие». Например, разрешить третьим лицам осматривать почтовые отправления и просматривать передаваемые по сетям связи сообщения.

Данные о налогах физлиц надо разрешить размещать не только в личных кабинетах налогоплательщиков на сайте ФНС, но и на портале госуслуг. Вообще-то портал создавался как интерфейс для доступа к сведениям различных ведомств, зачем дублировать базу данных, если через портал можно зайти в личный кабинет на сайте налоговой службы, совершенно не понятно. Объяснение авторов стандартное – пользователю будет удобнее. 
Ну, и, наконец, создателям сервисов телемедицины не обойтись без доступа к врачебной тайне пациентов. Никаких упоминаний об обязательном для таких случаев обезличивании в публикации нет. Зато обоснование заслуживает полного цитирования: «Если происходит утечка, то ответственным остается должностное лицо. Но оно может уволиться, утратить доступ к информации, то есть перестать быть ответственным. Организации, предоставляющие телемедицинские либо специализированные услуги (например, связанные с диагностикой заболеваний), вынуждены нести дополнительные расходы, оплачивая такую ответственность отдельным сотрудникам». Что, правда оплачивают? Серьезно? И далее: «ответственность за защиту информации сегодня больше связана с инфраструктурой информационной безопасности, чем с компетенциями отдельных людей, и потому вполне логично передать ответственность организации». А как это связано с доступом к врачебной тайне третьих лиц в случаях, не установленных частью 4 статьи 13 ФЗ «Об основах охраны здоровья граждан в РФ»?
В целом идея закона совершенно понятна, и никакие слова-маскировки ее не спрячут: нефть 21 века (так теперь любят в выступлениях называть персональные данные) дорога и дорожает, возможности торговать ею надо расширить, и бизнесу будет дан новый толчок. Заживем, одним словом.
Для принятия этих законопроектов необходимо внести изменения в Конституцию, гарантирующую неприкосновенность частной жизни, право на личную и семейную тайну и получение доступа к тайне связи только по решению суда.
А пока посмотрим, как примерно будет выглядеть цифровой дом, который строят в Сколково с использованием подобных законопроектов.
«Доброе утро. Пора на работу. С вами говорит Единый цифровой информатор. Напоминаем, что сегодня день начисления заработной платы на вашу платежную карту. Ожидаемый размер начисления – 67 007 рублей 18 копеек, остаток средств на карте на 09.00 вчерашнего дня - 34 317 рублей 23 копейки. Напоминаем вам, что до 1 апреля вам необходимо оплатить налоги на недвижимость и транспортное средство в размере 65 324 рубля 89 копеек.
Анализ вашей деятельности за последние сутки. Кредит на проведение ремонта дачи, проект заявления на который вами подготовлен и хранится в папке «Личное» облачного диска, одобрен не будет ввиду того, что ваш кредитный рейтинг по данным БКИ «Займи много» составляет 0,6754349 из-за задержки очередного платежа по потребительскому кредиту Быттехник-банка на срок 18 суток в декабре 2012 года. Вы зря потратили время на просмотр страниц туристических агентств о турах в Италию. Ваш социальный рейтинг составляет на сегодня 0,456898, вам может быть одобрен тур только на территорию России восточнее Урала. Ваш вчерашний визит в медицинский центр «Здоровье – наше все», находящийся по адресу ул. Открытая, дом 13, также был бесполезен, так как ваша платежеспособность не позволит получить долгосрочное лечение по установленному диагнозу в данном центре. Однако клиника «Лечим сами» проанализировала результаты ваших анализов и предлагает месячный курс лечения высокоэффективными БАДами стоимостью 18 350 рублей. Целесообразность лечения подтверждена частнопрактикующим доктором Опонопко И.И. Закупка одобрена Единым цифровым информатором и оплачена с вашей карты, БАДы будут доставлены в ближайшую субботу по адресу жительства с 05.00 до 23.30. Просим не покидать жилище до приезда курьера.
Анализ потребительских желаний. В связи с наступлением весеннего сезона обращаем ваше внимание, что срок рекомендуемого использования демисезонных туфель, купленных вами 12.02.2017, в связи с использованием в климатической зоне «Москва» химических реагентов сверх допустимой нормы концентрации, истек. Одобрена и оплачена покупка новых полуботинок коричневого цвета производства ООО «Рособувь» арт. РО23869/8765-ИИ-7865400. Обувь будет доставлена завтра в торгомат по адресу… Код доступа… Срок получения – 1 сутки. Напоминаем вам, что в случае, если товар не будет вами своевременно получен, его стоимость не возвращается. Истек предельный срок эксплуатации беспроводного робота-пылесоса, установленный его производителем. Ввиду недостаточности средств на вашем счете одобрена и оплачена покупка в кредит на один год проводного пылесоса производства ООО «Сосем все». Для его получения вам необходимо обратиться в ближайший магазин «Цифромощь» (список магазинов на сайте торговой сети).
Вами изменены предпочтения посещения сайтов сети Интернет. За прошедший месяц зафиксированы посещения сайтов онлайн-игр общей продолжительностью 36 часов 23 минут 16 секунд и сайтов интим-развлечений общей продолжительностью 5 часов 03 минут 54 секунды. Ваш тарифный план оператором связи изменен на план «Играй с девушками» с 00 часов 27 февраля.
Остаток средств на вашем счете на 09.00 сегодня – минус 4 345,13 рубля. Задолженность будет погашена автоматически при поступлении на счет заработной платы. Пени за использование вами денежных средств Единого цифрового информатора составляет составят 43 рубля 45 копеек.
За прошедшие сутки Быттехник-банк, которому вы дали согласие на обработку ваших персональных данных 15.07.2008, при получении кредита, передал ваши данные 759 организациям на территории России и 43 организациям за рубежом. С полным списком организаций, которым переданы ваши персональные данные, вы можете ознакомиться в личном кабинете на сайте банка. Хорошего вам дня!»
Добро пожаловать в новый дивный мир цифровой экономики.

18 февраля 2019 г.

Правительство определило правила контроля и надзора за соответствием обработки персональных данных требованиям законодательства


После пяти попыток и трех с половиной лет Постановлением Правительства РФ от 13.02.2019 № 146 утверждены «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных», которые 15 февраля опубликованы на Официальном интернет-портале правовой информации.
С проектами произошел просто какой-то казус. Предыдущий проект был «завернут» при регистрации Минюстом из-за отсутствия в названии «государственный контроль и надзор» слова «федеральный», которое используется в том случае, если правила контроля и надзора определяют президент или правительство. Именно с этим словом проект висит до сих пор на официальном сайте раскрытия информации о подготовке нормативных правовых актов. А документ вышел без него. И Положение превратилось в Правила. Но не в названии суть.
Я не буду сравнивать пять версий документа и анализировать, что и когда менялось, смысла нет. Самое важное – чем Правила отличаются от действующего Административного регламента Роскомнадзора, и что в них нового.
В Правилах четко и однозначно указано, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона «О персональных данных». Поэтому никаких экспертов и экспертных организаций при Роскомнадзоре для «обследования и определения уровня защищенности негосударственных информационных систем персональных данных», о которых я писал четыре года назад. Они в правилах вообще не упоминаются.
Контроль и надзор осуществляется все-таки за соблюдением закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, как написано в части 1.1 статьи 23 закона, а не законодательства Российской Федерации в области персональных данных, как написано в части 1 той же статьи. Почувствуйте разницу. Снова придется возвращаться к вопросу о полномочиях по контролю и надзору за соблюдением требований главы 14 Трудового кодекса.
К плановым и внеплановым проверкам и принятием мер по пресечению и (или) устранению последствий выявленных нарушений добавились две новые формы надзорных мероприятий: контроль без взаимодействия с операторами (который в планах деятельности территориальных управлений Роскомнадзора называется «мероприятиями систематического наблюдения») и профилактика нарушений. Систематическое наблюдение ведется года так с 2015, но нормативно не регулировалось, а вот профилактики не было совсем.
Закреплена сложившая практика определения проверок не в планах проверок, а в планах деятельности территориальных органов. Разница колоссальная: планы проверок согласовываются с прокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет, изменения вносятся приказом надзорного органа легко и просто. Посмотрите, например, здесь. Год только начался, а в план внесены изменения уже 13-ю приказами.
Допустимая периодичность плановых проверок в отношении оператора по-прежнему составляет 3 года, но появились исключения, когда проверка может проводиться раз в два года: операторов ИСПДн, являющихся ГИСами; обрабатывающих спецкатегории и биометрию; осуществляющих трансграничную передачу персданных в государства, не обеспечивающие адекватную защиту прав субъектов персональных данных (вниманию дочек американских, японских, китайских компаний и пользователей дешевой инфраструктуры в Бангалоре); и, наконец, обрабатывающих персональные данные по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации (вниманию представительств и филиалов иностранных компаний, не образующих в России юрлиц). Как эти иностранные органы и лица могут быть зарегистрированы в России, я не знаю.
Из принципиально нового. Все-таки появилось такое основание внеплановых проверок (только выездных), как обращения граждан при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора, определенных статьями 14-17 закона «О персональных данных», чего надзорный орган добивался давно, и что далеко выходит за пределы закона 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Появилось и еще одно новое основание для внеплановых проверок – нарушение, выявленное в ходе мероприятия систематического наблюдения.
Таким образом, ситуация меняется радикально – внеплановые проверки, которых было очень мало ввиду жестких ограничений закона и Административного регламента, могут стать основным видом надзорной деятельности. Сдерживающим фактором может стать необходимость согласования проверок по новым основаниям с прокуратурой. Посмотрим.
Наконец-то вслед за законом, в котором изменения были сделаны в 2016 году, исправлена совершенно удивительная формулировка Административного регламента об уведомлении о плановых проверках («не позднее, чем в течение 3 рабочих дней до начала ее проведения»): теперь это надо делать не позднее чем за 3 рабочих дня до даты начала ее проведения. Уведомить о проверке теперь официально можно по электронной почте, что давно делается на практике, а также «иным доступным способом».
Срок проведения внеплановой проверки сокращен до 10 рабочих дней, но может быть продлен на такой же период.
Установлены основания для продления сроков плановых и внеплановых проверок. Их четыре:
·         получение в ходе проведения проверки от правоохранительных органов, органов прокуратуры, из иных источников документов, свидетельствующих о нарушении оператором требований;
·         обстоятельства непреодолимой силы (затопление, наводнение, пожар и тому подобное) на территории, где проводится проверка;
·         непредставление оператором в ходе проведения проверки необходимых документов;
·         выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки
персональных данных.
Последнее основание применимо к деятельности любой большой компании, но продление сроков проверки, во всяком случае, в ЦФО, давно стало обыденным делом.
Еще из нового. Теперь применять принадлежащую Роскомнадзору технику и оборудование можно только в ходе мероприятий систематического наблюдения.
Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований, надзорный орган может только в установленном законодательством Российской Федерации порядке. Что это за порядок – загадка, как 12 лет назад, когда закон вступил в силу.
Протоколы об административном правонарушении теперь можно составлять по материалам систематического наблюдения, так что оператор сможет о привлечении к ответственности узнать, только получив повестку в суд.
Однозначно зафиксировано, что запрос о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в надзорный орган, не является документарной проверкой.
Срок представления материалов для документарной проверки сокращен с 10 до 5 дней, если они представляются в электронной форме, то должны быть подписаны усиленной квалифицированной электронной подписью. Как ее может проверить надзорный орган, по-прежнему неясно.
Если документы, в том числе дополнительно запрашиваемые (для их представления отводится теперь всего 3 дня, а не 10, как в действующем Административном регламенте), не предоставляются оператором в надзорный орган в установленный срок, документарная проверка может, как и ранее, превратиться в выездную.
Назначить выездную проверку физлица, не являющегося индивидуальным предпринимателем (например, нотариуса), нельзя совсем.
Остальным проверяемым лицам на предоставление запрашиваемых при выездной проверке документов отводится не менее 2-х дней. Нынешний перечень запрашиваемых документов занимает 6 листов. То есть 6 листов только наименований документов, которые надо предоставить за два дня! Один из операторов, проверку которого мы сопровождали, подготовил и передал больше 400 документов. 
В Правилах прямо установлено, что в случае действий (бездействия) оператора, препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки и подробно расписывается сценарий действий при таком воспрепятствовании.
Ну, и, наконец, что в Правилах так и не появилось, хотя этого очень ждали:
·         риск-ориентированный подход при определении операторов, у которых планируется проверка;
·         использование проверочных листов (списков контрольных вопросов), предусмотренных законом 294-ФЗ, который с 1 сентября 2015 года не регламентирует проверки соблюдения законодательства о персональных данных;
·         сроки оформления актов проверок после их окончания;
·         основания и порядок признания проверок недействительными (статья 20 закона 294-ФЗ).
Ждем теперь изменения Административного регламента.

23 января 2019 г.

Суд проигнорировал позицию Конституционного суда или не знал о ней?


Непрецедентность российского права заходит достаточно далеко: постановление Конституционного суда фактически игнорируется районным и городским судами.
26 октября 2017 года Конституционный суд Российской Федерации принял крайне важное Постановление № 25-П по делу о проверке конституционности пункта 5 статьи 2 Федерального закона «Об информации, информационных технологиях и о защите информации» в связи с жалобой гражданина А.И. Сушкова.

Сушков, начальник департамента по договорно-правовой работе ЗАО «Стройтрансгаз», был уличен в отправке на свой почтовый ящик в сервисе Mail.ru документов, относящихся, как написано в постановлении КС РФ к служебной (конфиденциальной) информации, а также персональных данных работников ЗАО, которая была расценена работодателем как разглашение охраняемой законом тайны. Юрист-руководитель был уволен по основаниям, предусмотренным подпунктом «в» пункта 6 части 1 статьи 81 Трудового кодекса, предусматривающего возможность расторжения трудового договора работодателем в случае однократного грубого нарушения работником трудовых обязанностей, выразившегося в разглашении им охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей ему известной в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.
Попытки Сушкова оспорить увольнение в судах оказались безуспешными – Савеловский районный суд г. Москвы и судебная коллегия по гражданским делам Московского городского суда согласились с аргументами работодателя и не удовлетворили требования уволенного работника, а затем Московский городской суд и Верховный суд отказали ему в приеме на рассмотрение кассационной жалобы. Сушков считал, что передача информации с корпоративного адреса электронной почты на личный адрес не может рассматриваться как разглашение охраняемой законом тайны. Суды же полагали обратное. Аргументация, принятая судами, известна давно, и такие увольнения были к этому времени не единичны, в картотеке нашего агентства самое раннее такое дело датируется 2010 годом, когда Московский областной суд отказал в удовлетворении кассационной жалобы уволенной работницы ОАО «АРКТЕЛ» на решение Химкинского городского суда Московской области, признавшего увольнение по идентичным обстоятельствам правомерным.   
Позиция работодателей и судов основывалась на определении обладателя информации в статье 2 Федерального закона № 149-ФЗ и положениях Пользовательского соглашения почтового сервиса. Обладатель информации определяется как лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам, в Пользовательском соглашении указывается, что владелец сервиса вправе по своему собственному усмотрению изменять (модерировать) или удалять любую публикуемую Пользователем информацию, в том числе информацию и материалы, нарушающие установленные запреты, включая личные сообщения и комментарии, приостанавливать, ограничивать или прекращать доступ к любым Сервисам Mail.Ru в любое время по любой причине или без объяснения причин.
Договор, содержащий право разрешать или запрещать доступ к информации есть, это Пользовательское соглашение, значит, обладателем информации после отправки письма становится владелец почтового сервиса, и информация ему разглашена.
Определения того, что такое разглашение информации, в «трехглавом» законе нет, но оно есть, например, в законе «О коммерческой тайне»: «действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору». Так что все вроде бы просто.
Не добившийся удовлетворения своих требований в судах Сушков обратился в Конституционный суд с жалобой на нарушение его конституционных прав, гарантированных статьями 19 (часть 1), 23 (часть 2) и 55 (часть 3) Конституции Российской Федерации, определением обладателя информации в «трехглавом» законе, которое влечет возможность привлечения работника, воспользовавшегося услугами владельца почтового сервиса, к дисциплинарной ответственности за разглашение охраняемой законом тайны.
Суд с неконституционностью определения не согласился, но сделал несколько очень важных заключений:
·    само по себе наличие у конкретного лица доступа к информации не означает, что данное лицо становится ее обладателем по смыслу Федерального закона «Об информации, информационных технологиях и о защите информации», то есть что оно вправе совершать в отношении этой информации действия, являющиеся прерогативой обладателя информации;
· условия пользовательского соглашения не могут трактоваться как предоставляющие правообладателю интернет-сервиса право самостоятельно – и тем самым в нарушение статьи 23 (часть 2) Конституции Российской Федерации – разрешать или ограничивать доступ к информации, содержащейся в передаваемых с его помощью электронных сообщениях;
· владелец публичного почтового сервиса обязан соблюдать тайну связи; дословно: «отсутствие в федеральном законодательстве прямого указания на обязанность именно правообладателя интернет-сервиса, посредством которого осуществляется отправка и получение электронных сообщений, обеспечивать тайну связи не может рассматриваться как свидетельство отсутствия у него такой обязанности».
На основании этих выводов Конституционный суд постановил, что правоприменительные решения по делу гражданина Сушкова А.И. подлежат пересмотру с учетом выявленного в Постановлении конституционно-правового смысла пункта 5 статьи 2 Федерального закона «Об информации, информационных технологиях и о защите информации».
Прямо этого в Постановлении не написано, но отсутствие статуса обладателя информации у владельца почтового сервиса и его обязанность соблюдать тайну связи ставит под сомнение факт разглашения информации отправителем электронного письма. Однако, это и не освобождает его от дисциплинарной ответственности, поскольку такая отправка позволяет рассматривать как нарушение прав и законных интересов обладателя информации действия гражданина, осуществившего – вопреки установленному правовыми, в том числе локальными, актами (с которыми гражданин был ознакомлен) и (или) договорами запрету – передачу информации с адреса электронной почты, контролируемой обладателем информации, на свой (личный) адрес электронной почты, если обладатель информации принял все необходимые меры, исключающие несанкционированный доступ к этой информации третьих лиц, поскольку такая отправка нарушает законные права и интересы обладателя охраняемой информации, который в результате не может в полной мере определять условия и порядок доступа к ней в дальнейшем, то есть осуществлять прерогативы обладателя информации.
Таким образом, уволить за однократное грубое нарушение в этом случае нельзя, поскольку условие расторжения трудового договора – именно разглашение и его надо доказать, а вот привлечь к иной дисциплинарной ответственности не только можно, но и нужно.
Тем не менее Тушинский районный суд города Москвы 17 апреля 2018 года и Судебная коллегия по гражданским делам Московского городского суда в апелляционном определении 18 сентября 2018 года отказали в удовлетворении иска уволенной при полностью аналогичных описанным выше обстоятельствах работнице ООО «Системный софт» за отправку на свой почтовый ящик в gmail.com файла с данными клиентов для обзвона и скриптом для соответствующего телефонного диалога, с которыми она, как написано в письменных объяснениях, хотела поработать дома. Суд согласился, что отправленные файлы содержат информацию, составляющую коммерческую тайну работодателя.
В судебных решениях первой и второй инстанции не анализируется полнота принятия работодателем мер, предусмотренных статьей 10 закона «О коммерческой тайне», для установления режима коммерческой тайны. Так, в материалах судов отсутствуют сведения о том, был ли проставлен гриф «Коммерческая тайна» с указанием ее обладателя и его адреса в соответствующих электронных документах. Более того, как видно из аргументов ответчика, включенных в судебные акты, нанесение такого грифа локальными актами работодателя вообще не предусматривалось, а использовался гриф «Конфиденциально». Вместо регулирования отношений, связанных с коммерческой тайной, трудовым договором, как это предусмотрено пунктом 4 части 1 статьи 10 ФЗ «О коммерческой тайне», с уволенной работницей было подписано некое «Соглашение о конфиденциальной информации», юридический статус которого не ясен.
Кроме того, суды посчитали факт отправки на почтовый ящик gmail.com передачей коммерческой тайны третьему лицу – корпорации Google, причем вывод, как в и в деле Сушкова, сделан на основании анализа пользовательского соглашения.
Постановление Конституционного суда, которое рассматривалось в первой части поста, к этому времени было опубликовано, и в нем Конституционный суд не соглашался с позицией именно судебной коллегии Мосгорсуда. В судебных материалах позиция Конституционного суда даже не упоминается.
Не знали? Забыли? Проигнорировали?


20 ноября 2018 г.

IX международная конференция Роскомнадзора: самое интересное. Часть 2


Как обещал, продолжение про IX международную конференцию Роскомнадзора. Часть 1 здесь.
В заключение по традиции проходил круглый стол «Свободный микрофон с регуляторами» - мероприятие, на котором предоставляется редкая возможность задать вопрос представителям всех надзорных органов. К представителям Роскомнадзора (Ю. Контемиров), ФСБ России (А. Бодров), ФСТЭК России (Е. Торбенко) присоединился А. Сычев из Центробанка.
К сожалению, на Круглый стол не пришли представители Минкомсвязи России, а министерство все-таки, как указано в Положении о нем, – федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных. Вопросов к уполномоченному органу было много, особенно в связи с реализацией программы «Цифровая экономика» и многочисленными законодательными инициативами в области персональных и больших пользовательских данных. Ответы на них получить не удалось.
По приглашению Роскомнадзора модерировал круглый стол я и заранее готовил и собирал вопросы для регуляторов, но получил их немного. Вопросов, в том числе из зала, было много, традиционно больше всего – к Роскомнадзору, но и остальные участники вниманием не были обделены.
Как и обещал, пишу, на мой взгляд, о наиболее интересном или на что стоит обратить внимание. Курсивом – мои комментарии к некоторым ответам.
Ю. Контемиров (Роскомнадзор). 
Роскомнадзор надзирает за законодательством о персональных данных в целом, включая нормы других законов, таких, например, как глава 14 Трудового кодекса.
За этот год всеми территориальными управления Роскомнадзора составлено 98 протоколов по административным правонарушениям, квалифицируемым по статье 13.11 КоАП РФ в новой редакции. Для сравнения – по статье19.7 (неуведомление об обработке или неполучение ответа на запрос) протоколов составляется 7 тысяч и более в год.
Законодательство о персональных данных в совокупности с Постановлением Правительства РФ № 687 регулирует любую обработку персональных данных, в том числе неавтоматизированную в полном объеме (мною был приведен пример с вывешиванием списков должников за услуги ЖКХ в подъезде, написанным от руки; этот случай тоже подпадает, поскольку есть алгоритм выявления неплательщиков из общего списка должников).
Дееспособность в отношении персональных данных у их субъекта наступает в 14 лет, и к согласию на обработку персональных данных, подписанному самостоятельно ребенком 14 лет и старше, претензий не будет. Это первое, на мой взгляд, публичное заявление надзорного органа по этому вопросу. Я писал об этом еще два с половиной года назад и высказывал именно эту позицию.
Подписывать согласие на обработку в электронной форме можно любой электронной подписью, предусмотренной законом 63-ФЗ, а не только усиленной квалифицированной, как недавно настаивало Минкомсвязи.
Типовые формы, предусматривающие внесение в них персональных данных (их несоответствие п.7 Постановления № 687 выявляется в последнее время практически при каждой проверке), должны соответствовать требованиям п.7, только если они созданы оператором самостоятельно. На формы, разработанные госорганами и органами управления внебюджетных фондов в рамках их полномочий, эти требования не распространяются (мною были приведены примеры рецепта на лекарство и форм ПФР). Это был самый неожиданный для меня ответ, поскольку в Постановлении № 687 прямо требуется от госорганов привести свою работу в соответствие постановлению в течение месяца, а прошло 10 лет. Но позиция ведомства такова, и она высказана.
Сам по себе (без привязки к конкретному субъекту) номер телефона или госзнак автомобиля – не персональные данные.
А. Сычев (Банк России)
Кредитно-финансовое учреждение может самостоятельно определять, относить ли конкретную информационную систему банка к ИСПДн или нет. Но смысла уклоняться от отнесения к ИСПДн нет, поскольку требования к банковским системам жестче, чем к персональным данным. Ю. Контемиров прокомментировал, что вопросы отнесения или неотнесения к ИСПДн конкретных систем Роскомнадзор не проверяет.
Сроки оснащения подразделений банков системами биометрической идентификации сдвигаться не будут, несмотря на проблемы с приобретением модуля HSM, размещением клиентских программ в App Store и работоспособностью решения «Ключ Ростелеком». Однако топ-менеджментом Банка России высказываются и иные точки зрения на этот процесс (см., например, здесь). Создание ЕБС – это мощный толчок рынку средств ИБ, который должны поддержать заказчики (банки в данном случае).
Подготовлено и передано на регистрацию в Минюст Указание Банка России об осуществлении надзора за соблюдением банками порядка размещения и обновления сведений в Единой биометрической системе. Так что Банк России скоро станет для кредитных финансовых учреждений основным надзорным органом при работе с биометрией. Если учесть наличие Приложения Б, определяющего для банков состав оргмер при обработке персональных данных в ГОСТе Р 57580.1–2017 по безопасности финансовых операций, а также вспомнить письмо Центробанка от 14.03.2014 № 42-Т «Об усилении контроля за рисками, возникающими у кредитных организаций при использовании информации, содержащей персональные данные граждан», контроль, похоже, будет выходить за пределы использования биометрии. 
А. Бодров (ФСБ) и Е. Торбенко (ФСТЭК)
Модель угроз безопасности действительно законом и НПА по персональным данным не предусмотрена, вместо нее можно составить просто перечень актуальных угроз, но такой подход усложнит жизнь тем, кто должен согласовывать угрозы с регуляторами.
А. Бодров. Разъяснения на сайте ФСБ о необязательности сертификации средств шифрования при массовой передаче данных в сети Интернет не распространяется на персональные данные, поскольку к ним требования об использовании средств защиты, прошедших процедуру оценки соответствия, установлены законом. На мою реплику о том, что в разъяснении исключения не упоминаются, ответ был простым – этого делать и не надо, действует прямая норма закона.  
От ответа на вопрос о необходимости получения лицензии ФСБ на работу со средствами шифрования для поднятия протокола TLS с алгоритмом RSA представитель ведомства уклонился, указав на то, что это компетенция Центра по лицензированию, сертификации и защиты гостайны ФСБ. Я предложил на круглый стол на следующей конференции пригласить и их, организаторы обещали. А. Сычев в своем комментарии обратил внимание на необходимость более активной работы по внедрению российских алгоритмов в протокол TLS, в том числе – за рубежом.
Е. Торбенко. Подход Приказа № 239 по безопасности КИИ о возможности оценки соответствия средств защиты информации в форме испытания и приемки можно применять и при построении системы защиты персональных данных, но владелец системы должен осознавать свою ответственность за качество и обоснованность такой оценки. А. Бодров отметил, что ФСБ по-прежнему считает допустимой только оценку соответствия в форме сертификации в своей системе.
Сертификация прикладного программного обеспечения, используемого для обработки персональных данных, не требуется, если оно не реализует функции защиты от актуальных угроз. Но любой заказчик вправе потребовать такую сертификацию от поставщика или исполнителя, если считает ее необходимой.
В блоге Сергея Борисова приведены ответы регуляторов на круглом столе и выложена ссылка на его аудиозапись круглого стола.

16 ноября 2018 г.

IX международная конференция Роскомнадзора: самое интересное. Часть 1


8 ноября прошла IX международная конференция «Защита персональных данных», которую часто и справедливо называют коротко – конференция Роскомнадзора. Попытаюсь коротко рассказать о самом интересном, естественно, с моей точки зрения.
Несколько раз на конференции представители Роскомнадзора (Ю. Контемиров и А. Гафурова) упоминали новую редакцию Конвенции Совета Европы ETS-108, в числе первых стран, ее подписавших была Россия, которая также участвовала в подготовке текста новой редакции. Было заявлено, что модернизация директивы не повлечет серьезных изменений в организации защиты персональных данных в России, а подписание позволит России попасть в перечень стран, соответствующих GDPR. Стоит учесть, что предстоит еще ратификация новой редакции, сдача ратификационной грамоты и ее прием Советом Европы, на что в прошлый раз ушло 8 лет.
Из значимых последствий подписания Конвенции – в России должна появиться обязанность операторов уведомлять об утечках и ответственность за попытки уклониться от ее выполнения. О новой редакции Конвенции надо писать отдельно (при случае постараюсь написать пост), главное – она стала максимально близка к GDPR, однако механизм ее вступления в силу будет довольно сложным и длительным.
Из других новаций, о которых сообщил надзорный орган – скорое появление ресурса, на котором можно будет отзывать согласие на обработку персональных данных (как я понимаю, любое и у любого оператора). Это совсем не радует, поскольку означает, что появится ресурс, где будет собираться информация о том, кому и на что каждый субъект давал согласие. Меня такие ресурсы, если честно, очень пугают.
Как всегда, смелым, интересным и довольно вольнодумским было выступление замминистра Минкомсвязи Алексея Волина. Он говорил о том, что регулирования у нас в стране слишком много, и это не содействует развитию, лучше что-то недорегулировать, чем перерегулировать, и надо развивать, а не запрещать. О том, что гражданам надо самостоятельно делать выбор между комфортом, для чего передать свои персональные данные оператору, и приватностью, отказываясь от комфортных сервисов, граждан надо готовит к жизни в цифровом мире. Нынешнее определение персональных данных архаично, слишком широко, это понятие надо сужать. Законы должны быть не для сумасшедших, которые ими пользуются, а для нормальных людей, привел в пример запрет на объявление фамилий опаздывающих пассажиров в Шереметьеве. И наконец, что защита персональных данных требует, в первую очередь, саморегулирования, а не госрегулирования. Его бы слова в уши и законодателям и регуляторам.
К нему позже примкнул Дмитрий Тер-Степанов из АНО «Цифровая экономика», призывавший регуляторов не мешать развитию технологий.
О проблемах рынка технической защиты конфиденциальной информации говорил Максим Фатеев, вице-президент Торгово-промышленной палаты России. Рынок растет, но для малых и микропредприятий соблюдение лицензионных требований неподъемно, в регионах очень не хватает специалистов.
Неожиданно выступил Илия Димитров из «Опоры России», заявивший, что GDPR – документ о мире, который был 15 лет назад, а регулирование надо строить на прогнозе развития на 10-15 лет вперед и при реализации таких программ как «Цифровая экономика», управлять таким прогнозом. Именно Евразийский экономический союз должен создать информационный кодекс для нового мира, и тогда весь мир ринется размещать свои данные у нас в стране. Этот кодекс должен быть цифровым и сам проверять, выполняется он ли или нет. Тут я окончательно перестал понимать предложения оратора, особенно учитывая текущую практику принятия законов по лоскутному принципу (где порвалось, там и залатаем).
Владислав Онищенко из Аналитического центра при Правительстве РФ сообщил, что наличие многочисленных тайн в российском законодательстве (их действительно очень много, с этим трудно не согласиться) мешает свободному обмену информацией и ее использованию в экономической деятельности. Надо упростить и алгоритмизировать обмен данными в госорганах, а пока они только собираются за счет налогоплательщиков, однако используются из-за ограничений неэффективно. Он выразил сомнение в реальности отзыва согласия на обработку ранее использованных персональных данных. Что произойдет после отзыва? Данные надо «вырезать», пересчитать без учета данных отозвавших согласие субъектов? Если они существуют только в электронном виде, как проверить, что удалены? Новые проблемы создаст переход на полностью электронные документы. В качестве примера была приведена электронная трудовая книжка. Человек проработал на предприятии 15 лет, а в реестре запись только о 10 годах. Как восстанавливать правду, доказывать, что допущена ошибка?
В целом представители органов власти и находящихся рядом с ним организаций порадовали смелостью и новаторством, но вот результаты деятельности в жизни выглядят пока очень отличающимися от декларируемых принципов.
После достаточно официальной, но живой пленарной части, почему-то названной дискуссией (дискутировали выступающие с отсутствующими оппонентами, но не друг с другом) была двухчасовая секция по GDPR, которую я модерировал. Организация такого обсуждения – это знаменательное и достаточно неожиданное событие, поскольку ровно год назад в этом же зале с высокой трибуны было сообщено, что GDPR России не касается совсем.
А. Гафурова из центрального аппарата РКН немного рассказала о новой редакции ETS-108 и последствиях присоединения к ней России, остановилась на применимости GDPR к деятельности российских операторов. К сожалению, регламент приходилось выдерживать очень жесткий (10-15 минут на выступление), и позадавать вопросы выступающим не могли ни модератор, ни слушатели из зала. А их было очень много и у меня, и у тех, с кем успел обменяться мнениями после сессии. В частности, А. Гафурова постоянно говорила о гражданах ЕС, рассматривая Регламент, а в нем все-таки речь идет о лицах на территории Евросоюза, что совсем не одно и тоже. Было три выступления от надзорных органов (DPA) – из Венгрии, Италии и Болгарии. Как показалось, для них сейчас реализация Регламента – крайне серьезная проблема, и на многие вопросы ответов нет, некоторые даже приостановили консультации, не имея готовых рецептов.   
Порадовали выступления российских участников, они достаточно глубоко влезали в тонкости Регламента и давали весьма полезные рекомендации.
Вадим Перевалов из Baker McKenzie рассмотрел регулирование вопросов передачи персональных данных в договорах, как содержащих, так и не содержащих поручение на обработку, в страны, обеспечивающие и не обеспечивающие адекватную защиту, по обязательности и необязательности отдельных положений таких договоров.
Об общем и различном в регулировании 152-ФЗ- и GDPR вопросов использования персональных данных для директ-маркетинга рассказала Анастасия Петрова из «Алруд». Она обратила внимание на наличие иного, чем в российском законе, основания для рекламных рассылок – законного интереса контролера и проанализировала, когда им можно руководствоваться.
Евгений Ким из EY остановился на участниках процесса приведения обработки в соответствие Регламенту и некоторых наиболее сложных проблемах – трансграничной передачи за пределы ЕС, получения согласия на такую передачу, необходимости назначения сотрудника по защите данных (DPO).
Артем Дмитриев (PwC) провел сравнительный анализ оснований для обработки персональных данных в GDPR и российском законе, подробно остановившись на таком основании как законный интерес оператора, плохо работающем у нас, но более предпочтительном, чем согласие субъекта в Евросоюзе.
Наконец, Евгений Калинин с использованием очень эффектной презентации рассказал о проделанной Сбербанком работе по оценке применимости GDPR к деятельности крупнейшего российского банка.
Секция получилась, на мой взгляд, очень интересной – никакой джинсы и рекламы, коротко, но глубоко, все по делу. Вот дискуссии только не хватало и вопросов-ответов. Жаль. Было бы еще интереснее.
Об «Открытом микрофоне с регулятором» – в следующий раз. И так слишком много букв.
Продолжение следует. Часть 2.

22 октября 2018 г.

8 ноября: конференция Роскомнадзора


8 ноября на IX Международной конференции «Защита персональных данных», ежегодно проводимой при поддержке Роскомнадзора, я уже традиционно буду вести секцию «Открытый микрофон с регулятором». Обещают быть (и будут наверняка) представители Роскомнадзора (Ю.Е. Контемиров), ФСТЭК (Е.Б. Торбенко), ФСБ (А.Г. Бодров), может, быть, кто-то еще.
Повод для поста традиционный: если вы что-то хотели, но стеснялись не могли спросить, есть возможность это сделать – присылайте вопросы мне, если они будут интересными и общественно значимыми, я переадресую их участникам секции. У меня, конечно, и своих вопросов много, но одна голова – хорошо, а много – несравненно лучше.
Буду модерировать еще две секции – по GDPR, где расскажу о нашей оценке применимости Регламента к деятельности российских компаний, и по информационной безопасности в привязке к персональным данным.
Так что до встречи на конференции!

10 октября 2018 г.

Что нового в учебном курсе «Защита персональных данных»


Законодательство – инструмент гибкий. Оно все время меняется, учитывает новые вызовы и проблемы, реагирует на появление новых технологий. Происходит это, конечно, медленнее, чем изменения в окружающем мире, но рано или поздно происходит.
Мой авторский курс «Защита персональных данных» (КП32) проводится в Учебном центре «Информзащита» уже более 10 лет, с 2007 года. Только в закон «О персональных данных» за это время изменения вносились 20 раз, появились новые законы, затрагивающие сферу персональных данных, менялась правоприменительная и судебная практика. И все это постоянно находит отражение в учебном курсе. Каждому его проведению предшествует доработка и корректировка, один и то же, полностью совпадающий вариант презентаций дважды не использовался никогда.
Вот и 12-13 ноября в Учебном центре «Информзащита» мною будет представлен обновленный вариант курса-долгожителя.
В нем сразу две премьеры – новые разделы «Биометрическая идентификация» и «Новый европейский регламент защиты персональных данных GDPR».
В первом из новых разделов анализируется законодательные и иные нормативные правовые акты, принятые для создания Единой биометрической системы и предоставления возможности клиентам банков идентифицироваться удаленно, без визита в новый банк, клиентом которого он ранее не являлся. Документов много, порядка 15, и не все еще приняты в окончательном варианте. Слушатели курса получат базовые сведения, необходимые для того, чтобы понять, как функционирует система биометрической идентификации, как в ней должны защищаться данные. Будут рассматриваться три основных вопроса:
   цель создания биометрической системы, полномочия и обязанности участников Единой биометрической системы;
   защита данных при проведении первичной и удаленной биометрической идентификации; контроль и надзор за соблюдением установленных требований;
   согласие субъекта на обработку персональных данных при проведении биометрической идентификации.
В заключение этого раздела проанализируем основные проблемы и риски, возникающие при удаленной биометрической идентификации.
Раздел о GDPR в курс введен для того, чтобы помочь российским предприятиям и организациям разобраться в том, когда им необходимо руководствоваться новым европейским регламентом защиты персональных данных, и какие основные действия предпринять, чтобы ему соответствовать. Традиционных для обсуждения GDPR пугалок про громадные штрафы не будет, а вот кто уже попал или сильно рискует попасть под раздачу, в том числе в России, разберемся.
В заключение: приходите, скучно не будет. В курсе можно участвовать очно и дистанционно.

26 сентября 2018 г.

И снова про биометрию. И снова без энтузиазма

Биометрическую идентификацию, похоже, будут пытаться впихнуть внедрить везде, где можно, а лучше и там, где нельзя. Модно, дорого, опасно. Да, главное, - дорого.

Вот и в метро предлагают ездить по предъявлению лица и автоматически списывать деньги с привязанной к лицу карте.

Говорят, быстрее проходить будем. Так и вижу площадь трех вокзалов, спускающиеся в недра «Комсомольской» толпы народа со всего мира, которых распознают по лицу и списывают деньги за проезд. Ага-ага.

Поговорили на эту тему на питерском телевидении.

В общем, в заключение на собрании выступил заяц и выразил общее опасение. Но скоро выступит лев и выразит общее мнение. Мало не покажется. История старая, но не теряющая актуальности. Кстати, вопрос: за чей счет будет банкет?




31 августа 2018 г.

Атака на обезличивание


Некоторое время назад я зарекся комментировать законопроекты и проекты иных нормативных правовых актов – слишком часто конечный результат достаточно радикально отличался от проекта, и анализ именно проекта особого смысла в конечном итоге не имел.
Но здесь особый случай. На Федеральном портале проектов нормативных правовых актов появились проекты трех документов, на которые необходимо обратить внимание именно сейчас, пока они не приняты в предлагаемой редакции.
Минкомсвязи выступила с инициативой жестко отрегулировать обезличивание персональных данных. Суть предложения проста и прямолинейна: обезличивать персональные данные можно будет только в случаях, прямо установленных законодательством Российской Федерации и в соответствии с требованиями и методами, установленными Роскомнадзором. Точка.
Если любой оператор, а не только орган власти или местного самоуправления, как сейчас, данные не обезличивает в установленных законом случаях или обезличивает их неправильно, это страшное деяние влечет административную ответственность, для чего Минкомсвязи предлагает уточнить редакцию части 7 статьи 13.11 КоАП РФ. При этом административная ответственность за обезличивание данных в непредусмотренных законом случаях не устанавливается, но может квалифицироваться по части 1 статьи 13.11 – обработка персональных данных, не предусмотренная законом.
Зачем это предлагается сделать? В Пояснительной записке к законопроекту указывается, что нововведение предлагается «во исполнение поручения Президента Российской Федерации от 23 ноября 2015 г. № Пр-2414 в целях защиты интересов субъектов персональных данных». С этим распоряжением отдельная детективная история. Вот что выдает результат поиска на сайте Президента:
Ни Консультант, ни Гарант про это распоряжение тоже ничего не знают. Найти его силами Гугла и Яндекса тоже не удалось. Буду благодарен читателям блога, которые располагают текстом документа и смогут поделиться им со мной.
Тем не менее, Приказом Роскомнадзора от 30.11.2015 № 154, «в соответствии с поручением Президента Российской Федерации от 23 ноября 2015 г. № Пр-2414» территориальным органам Роскомнадзора было поручено провести внеплановые проверки деятельности операторов связи, оказывающих телематические услуги связи и услуги подвижной радиотелефонной связи на предмет выявления незаконной деятельности по обработке данных сторонними компаниями в сетях российских операторов связи. Опять-таки, приказ совсем не про обезличивание.
Но вернемся к сути предлагаемых поправок. В упоминавшейся выше Пояснительной записке указывается, что «согласно Закону о персональных данных обезличивание персональных данных может также осуществляться операторами, не являющимися государственными и муниципальными органами в законодательно установленных случаях». А вот этого в законе нет, совсем нет.
Обезличивание упоминается в законе «О персональных данных» ровно четыре раза: в пункте 3 статьи 3, где дается определение обработки персональных данных, и в пункте 9 той же статьи, дающем определение термина «обезличивание»; в части 7 статьи 5, наделяющей оператора полномочиями обезличить, а не уничтожить персональные данные по достижении целей обработки или в случае утраты необходимости в достижении этих целей; и в пункте 9 части 1 статьи 6, разрешающей обрабатывать персональные данные без согласия субъекта в статистических или иных исследовательских целях, за исключением целей директ-маркетинга, при условии обязательного обезличивания персональных данных. Все. Никаких установленных законом случаев обезличивания. Более того, предлагаемая норма прямо противоречит части 7 статьи 5.
Теперь про цель принятия поправок в закон – защиту интересов субъектов персональных данных. Долго думал. И так не придумал, как же обезличивание может нарушить права субъекта, если данные у оператора больше с субъектом не соотносятся и установить его личность оператор более не может.
Предлагаемая поправка наотмашь бьет науку и бизнес. Исследования, неважно, медицинские, социологические или любые иные, построены на статистическом анализе данных об огромном количестве людей, которые именно для защиты их интересов обезличиваются соответствующими организациями. Но, например, в законе «Об основах охраны здоровья…» обезличивание предусматривается только в Единой государственной информационной системе в сфере здравоохранения, но ничего нет про право обезличивать данные медицинских и исследовательских учреждений. Перепись населения производится с использованием обезличенных переписных листов, но в законе «О всероссийской переписи населения» это тоже не установлено, лишь в Приказе Росстата от 17.04.2018 № 179 указано, что «хранение данных должно осуществляться при условии обязательного обезличивания персональных данных». Но приказ – не закон и не основание для обезличивания в предлагаемом варианте поправок.
Наконец, методики банковского и страхового андеррайтинга, расчета процентов, премий и выплат основаны, естественно, на статистике, требующей обезличивания и длительного хранения огромного количества персональных данных клиентов, касающихся исполнения договоров банковского обслуживания и страхования. Но в законах «О банках и банковской деятельности» и многочисленных законах, регламентирующих страховое дело (их очень много!) вопросы обезличивания никак не регламентируются.
Принятие законопроекта потребует внесения изменений в огромное количество законодательных актов для легализации обезличивания персональных данных в различных сферах деятельности, а до их принятия действия операторов по обезличиванию будут противоречить закону.\
Законопроект идет вразрез с мировой практикой регулирования обработки персональных данных. В европейском регламенте GDPR псевдонимизация является базовой мерой проектируемой защиты данных (Data protection by design) и должна применяться всегда, когда и где это возможно.
Тем временем, на том же портале http://regulation.gov.ru появился проект другого документа – Указания Банка России «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента». Документ требует отдельного анализа, но, пока он не принят, обратим внимание только на один момент.
В нем как раз предусматривается обезличивание данных о владельцах предполагаемых дроперских счетов, но вместо обезличивания используется совсем другой термин – хэширование, в частности, номера документа, удостоверяющего личность в целях идентификации лица, и СНИЛС. Передача фамилий, имен и отчеств плательщиков и получателей средств не предполагается.  В сегодняшнем комментарии «Ведомостям» я уже высказывал точку зрения, что такая обработка персональных данных не требует согласия субъекта и не противоречит закону, но там другая загвоздка.  
В соответствии с позицией Минкомсвязи и 8 Центра ФСБ России, «хеширование не входит в число методов обезличивания персональных данных». Кроме того, структурированность форматов текстовой информации сокращает множество входных значений хэш-функции, и, как следствие, область значений функции хеширования, что в совокупности приводит к возможности возникновения угрозы подбора нарушителем персональных данных для конкретного субъекта методом перебора.
Из всего этого делается категоричный вывод: «Таким образом применение хеширования для обезличивания персональных данных является нелегитимным».
Подводим итоги. Хочется надеяться, что инициативы Минкомсвязи в отношении обезличивания не найдут поддержки, и законопроект не будет принят. И очень надеюсь, что указание Банка России будет принято, и в отношении хэширования как способа обезличивания будет создан прецедент.