16 июня 2011 г.

Как прекратить торговлю персональными данными

В преддверии 17 июня началось активное обсуждение подготовленного ко второму чтению законопроекта Резника. Поскольку в опубликованном тексте уже ничего изменить нельзя, обсуждать его, как мне кажется, есть смысл уже после принятия. Поэтому сегодня – о другом.
С 9 июня по Интернету кочует перепечатываемая различными СМИ и новостными сайтами информация о рейде ГУВД Москвы и Роскомнадзора в ходе которого на «Горбушкином дворе» изъято 40 дисков «предположительно с базой зонального информационного центра ГУВД Москвы», которыми пыталось торговать неустановленное лицо.
Как сообщает уполномоченный орган по защите прав субъектов персональных данных, «по результатам проведенных мероприятий ГУВД по г. Москве в отношении владельцев торгового павильона возбуждено и направлено в суд дело об административном правонарушении по ст. 7.12 КоАП (нарушение авторских и смежных прав, изобретательских и патентных прав)». Текст во всех источниках практически идентичен, лишь «Ведомости» 14 июня дали свой комментарий к данному событию с привлечением юристов и представителей антипиратских организаций. 
В той же информации на сайте Роскомнадзора сообщается, что в ходе предыдущего рейда было изъято 180 дисков с «тематическими подборками» «Прописка», «Резюме 2009», «ГАИ + Полисы КАСКО и ОСАГО», «В Контакте», «Федеральная таможенная служба», «МОСКОМЗЕМ», «Перелёты авиарейсов Сирена», «Федеральный розыск», «Пенсионный фонд», «Роспотребнадзор» и др. Между тем, подобные новости рождают целый ряд вопросов, которые издания, распространяющие новость, почему-то не задают.
Первый вопрос, простой и очевидный – причем здесь ст.7.12 КоАП, авторские и смежные права? Если база установлена лишь «предположительно», чьи конкретно авторские права нарушены? И даже если ее создатель известен – разве у лиц, внесших в нее записи об адресах граждан и их судимостях, возникают авторские права? Или нарушено авторское право ГУВД Москвы? Его ЗИЦ? Чего только не узнаешь…
Второй вопрос тоже достаточно очевидный. Логично было бы предположить, что контрольные и надзорные органы примут меры к установлению источников утечки персональных данных, виновных в этом лиц, оценке разумности и достаточности принимаемых мер защиты и всего прочего. Тем более, что проведенные проверки привели к существенному повышению активности прокурорского надзора («Прокуратура г. Москвы сообщила Роскомнадзору об инициировании сбора от районных прокуроров информации, касающейся состояния законности и прокурорского надзора в сфере исполнения законодательства о персональных данных» - из той же публикации Роскомнадзора). Но об этом – ни слова. Прокуратура тоже собирается заниматься деятельностью только Царицынского, Савеловского, Митинского рынков и ТК «Горбушкин двор». А вовсе не полицией, из которой утекли сведения о судимостях (ЗИЦ), регистрации автомобилей (ГАИ) и лицах, находящихся в розыске («Федеральный розыск»). Или, например, ФМС (подборка «Прописка»).
Т.е. лечить в который раз предлагается не болезнь, а симптомы.
Между тем, закон и Постановление Правительства № 781-2007 г. обязывают надзорные органы заниматься именно болезнью. Так, ст.19 ФЗ-152 требует от ФСБ и ФСТЭК проверки обязательных требований к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, а ст.23 предписывает Роскомнадзору принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований закона. Логично было бы предположить, что в госорганах, откуда данные утекли, их обработка не соответствует обязательным требованиям и осуществляется с нарушением закона. 
А Постановление Правительства № 781-2007 г. требует от операторов проведения разбирательств и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, которые могут привести к нарушению их конфиденциальности, разрабатывать и принимать меры по предотвращению возможных опасных последствий подобных нарушений.
Может, именно в эту сторону надо направить энергию контролирующих и надзирающих? И тогда торговать на рынках будет нечем.

4 комментария:

  1. >В преддверии 17 июня началось активное обсуждение подготовленного ко второму чтению законопроекта Резника

    Учитывая, что в плане Пленарного заседания пока его нет (по состоянию на 18.00 15.06.2011) не исключена другая дата рассмотрения ;)

    >причем здесь ст.7.12 КоАП, авторские и смежные права?

    Базы данных (согласно ст. 1260 ГК РФ) являются составным произведением и (согласно ст. 1259 ГК РФ) объектом авторского права - см. обсуждение на http://fz-152.org/forum/viewtopic.php?f=9&t=5
    К сожалению проблему базы данных в ИСПДн убрать не удалось...

    В любом случае у ГУВД и прочих есть исключительные права на данную БД т.ч. здесь все нормально. Другой вопрос в том, что они нифига не защитили данные этой БД, которые уже затрагивают не авторские и смежные права.

    >Т.е. лечить в который раз предлагается не болезнь, а симптомы

    Вот здесь полностью поддержу. Но не надо требовать разбирательств - достаточно пару-тройку раз привлечь лично Нургалиева по 13.11 КоАП (хотя бы по 500 руб за каждый случай разглашения в ведомстве или найденной на рынках базе ГИБДД/ГУВД/паспортов/its)... И сразу будет и расследование, и наказанные, и средства будут выделены...

    ОтветитьУдалить
  2. Александр, а я не писал, что рассматривать будут 17 июня. Я лишь отметил активность и предложил обсуждать после принятия. Кстати, на 17 июня вопрос в повестку так и не вошел.
    >Базы данных (согласно ст. 1260 ГК РФ) являются составным произведением<
    Это точно. Обсуждение на сайте читал. Но, обратите внимание, "авторские права на осуществленные ими подбор или расположение материалов (составительство)". Т.е. Вы всерьез считаете, что конкретный полицейский решает, включать ли в базу данные о судимости конкретного гражданина или о сведения о конкретном регистрируемом автомобиле, и после этого у него появляются авторские права? Забавно. Кстати, изменение системы рубрикации базы или удаление пары записей приведет к необходиомости судебного доказывания авторства. Я уже это с абонбазами телефоных компаний проходил.
    Ну, а про Нургалиева - это Вы зря. Прежде чем выписывать 500 руб, надо доказать вину конкретного лица. О чем я и писал.

    ОтветитьУдалить
  3. >Т.е. Вы всерьез считаете, что конкретный полицейский решает, включать ли в базу данные о судимости конкретного гражданина или о сведения о конкретном регистрируемом автомобиле, и после этого у него появляются авторские права?

    Авторские права у него появляются ровно так же как у исполнителя служебного документа - для служебного документа это соответствующая запись (реквизит 27 согласно ГОСТ Р 6.30-2003), а для СУБД это запись об изменении поля базы в подсистеме регистрации и учета. С одной стороны это авторские права - а с другой, чтоб знать кого драть за неправильное исполнение ;)

    Учитывая, что наполнение БД идет "коллективом авторов" (согласно выполнения ими обязательств перед работодателем) обладателм исключительных (смежных с авторскими) прав будет МВД. Соответственно смежные с авторскими права действительно будут нарушены т.к. торговцы на Горбушке не получили санкционированного доступа к базе.

    ОтветитьУдалить
  4. >Прежде чем выписывать 500 руб, надо доказать вину конкретного лица

    А вот здесь идем от определения оператора в ЗоПД и Евроконвенции (ратифицированной 160-ФЗ и имеющей более высокий статус).

    По ЗоПД основным определителем оператора является определение целей и состава обрабатываемых ПДн.
    По Евроконвенции в соответствии с национальным правом наделение полномочиями решать, для какой цели создается автоматизированная база данных, какие категории персональных данных будут накапливаться и какие операции с ними будут осуществляться.

    Соответственно определяет цели/решает для какой цели создается АБД и все остальное Министерство внутренних дел (соответственно своим НПА) => оператором по данной цели будет МВД (подразделения МВД типа ГИБДД/ГУВД/irs не определяют цели и состав обрабатываемых ПДн по данной цели т.ч. не являются операторами).

    Согласно ст.19 ответственность за защиту несет оператор, а не лица, которым оператор поручил обработку. Лица, которым поручена обработка несут ответственность лишь за невыполнение поручения оператора и того, что там изложено - и с этим уже должен разбираться сам оператор ;)

    Ну, а т.к. министр является руководителем оператора, то (если не организовал порядок нахождения конкретного виновника) несет ответственность за нарушения допущенные оператором. Т.ч. вполне применимо наложение штафа по 13.11 КоАП "на должностных лиц - от пятисот до одной тысячи рублей"

    Т.ч. перефразируя незабвенного Лазаря Моисеевича Кагановича "у любого нарушения есть фамилия имя и отчество" ;-D

    ОтветитьУдалить