15 августа 2011 г.

Люди, будьте бдительны!

Не могу молчать! Тиграм в клетке не докладывают мяса!
Принятие поправок в ФЗ-152 породило вал комментариев, причем комментировать стали абсолютно  все – кто был в теме 5 лет, кто узнал о случившемся «вступлении в силу закона о защите персональных данных» и кто по этому поводу только что поучился на скоропалительно созданных курсах. Интеграторы и адвокатские бюро, кадровые агентства и объединения производителей софта и вообще все, кому не лень – комментируют.
Среди читателей моего блога – люди совершенно разные. По разным причинам они окунаются в эту отнюдь не прозрачную воду. Хочу выписать всем простой рецепт. Увидев комментарий, который вас поразил своей глубиной и выразительностью, выделите особо впечатляющие слова, скопируйте их, откройте новый текст закона и поищите.
Результат может быть неожиданным.
Для иллюстрации – таблица ниже. Вопреки обыкновению, не указываю названия компаний, имена комментаторов и журналистов. Я рядом во время интервью не стоял и их не слышал. Цепочка «источник-журналист-редактор» очень сложная, и в ней случается всякое. Поэтому – только то, что прочитал и что по этому поводу думаю. То, что прочел я в Интернете, и Вы прочесть можете.

Источник и высказывание
Мой комментарий
Известный интегратор, оказывает услуги в области персданных:
«То и дело от Роскомнадзора поступают недвусмысленные сигналы о необходимости подачи заявки на регистрацию в качестве оператора ПДн. Если компания не подала заявку, она нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом».
Нет в законе регистрации в качестве оператора. Есть уведомление об обработке персданных. Уведомление и регистрация – суть понятия совершенно разные.
Нет такой санкции за неуведомление, как приостановка деятельности организации. Ст.19.7 КоАП «Непредставление сведений (информации)». Максимальное наказание для должностного лица – 500 рублей, для юрлица – 5000 руб. Все.
Депутат Госдумы:
«На сегодняшний день за деятельность по несанкционированной обработке персональных данных предусмотрен штраф от 5 до 500 тысяч рублей».
Введение в заблуждение или некомпетентность.
Ст.13.11 КоАП «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Нарушение влечет наложение штрафа на должностных лиц - от 500 до 1000 рублей; на юридических лиц - от 5 до 10 тысяч рублей». Почувствуйте разницу.
Если имелась в виду ст.137 УК «Нарушение неприкосновенности частной жизни» (прецедентов ее «подтягивания» к персданным пока нет), штраф при использовании служебного положения – от 100 до 300 тыс. рублей. Все равно не 500 тысяч.
Чиновник:
«Чтобы доказать свой ущерб от недобросовестных действий сетевых продавцов, достаточно будет представить в суде скриншот (снимок экрана, показывающий в точности то, что видит пользователь на экране своего монитора) веб-страницы с опубликованными на ней персональными данными».
Бесполезно. Скриншот надо заверить у нотариуса, а это сложно, дорого и долго, делается далеко не всеми нотариусами и принимается судами далеко не всегда (надо доказать принадлежность сайта оператору) – см. дело Кирилла «Медведа 01» Форманчука в Екатеринбурге. И скриншот – не ущерб. Ущерб надо доказывать. См. известное дело «Субъект персданных против МТС» в МАС № КГ-А40/14789-07: «Суд пришел к выводу, что истец не представил доказательств факта причинения ему нравственных и физических страданий действиями ответчика».
Руководитель якобы крупной, но неизвестной компании на рынке ИБ:
«Те компании, которые не выполнят жестких требований закона, не внедрят необходимое оборудование (системы ограничения доступа, криптографическую и антивирусную защиту, программы по отслеживанию несанкционированных вторжений) будут выплачивать не только административные штрафы, но и лишаться лицензий».
Неправда. Роскомнадзор (ст.23 ФЗ-152) может направлять в лицензирующий орган заявление о принятии мер по приостановлению действия или аннулированию соответствующей лицензии только в том случае, если условием лицензии является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных. Все. Других вариантов нет. Пока неизвестны случаи включения этого положения в какие-либо лицензионные условия. Значит, и говорить не о чем.
Известная, крупная юридическая компания:
«Новая редакция Закона вводит правило, согласно которому операторы самостоятельно определяют состав мер, необходимых и достаточных для обеспечения требований Закона и подзаконных актов. При этом устанавливается примерный неисчерпывающий перечень таких мер».
Это не правило, это декларация. Читаем ст.18прим ФЗ-152 в новой редакции. Часть 4: «Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных».
Юрист компании:
«Документ ужесточает ответственность организаций за соблюдение защиты личной информации россиян. Напомним, принятый в 2006 году Федеральный закон "О персональных данных" предоставлял отсрочку по введению этой нормы до 1 января 2010 года. Впоследствии Госдума дважды продлевала этот срок, и в последний раз - до 1 июля 2011 года».
«Закон вводит понятие биометрических персональных данных. Но прерогатива их хранения и использования отдана в основном государственным службам, которые смогут к ним обратиться в случае необходимости установления личности».
Нет в новой редакции никакого ужесточения. И переносилось не ужесточение, а срок приведения в соответствие закону информационных систем. И биометрические данные были в самой первой редакции.
А уж где юрист вычитала про «прерогативу» - только ей известно, в ФЗ-152 этого нет.
Неофит, сходивший на семинар по новой редакции ФЗ-152:
«Оказывается, любой "обиженный" или бывший сотрудник практически любой организации может подложить свинью своим работодателям-уродам. Для этого, нужно всего лишь инициировать их внеплановую проверку Роскомнадзором, составив жалобу. И если у организации конь не валялся в подготовке к требованиям 152-ФЗ "О защите персональных данных", они за месяц должны будут конкретно упереться рогом в землю и нарожать столько ежиков, что будут потом очень долго вспоминать всех своих бывших и "обиженных" сотрудников в долгих матерных выражениях».
Вас обманули. Ни ФЗ-152, ни ФЗ-294 не предусматривает в качестве основания для внеплановой проверки жалобу действующего или бывшего работника, как и любого другого субъекта, на нарушения оператором порядка обработки персональных данных. Соответствующие поправки в закон не прошли.
Появились прецеденты отказа в предоставлении доступа лицам, приехавшим осуществлять внеплановую проверку.
А месяц упирания рогом – вообще плод фантазий авторов семинара. О внеплановой проверке, когда она законна, предупреждают не позже, чем за 24 часа.
Руководитель известной компании на рынке ИБ:
«По новому закону компании, которые нанимают более 10 человек, становятся операторами персональных данных».
«Организации, которые оперируют базами данных объемом свыше 100 тысяч записей, должны будут приобретать дополнительное сертифицированное оборудование. Сертификаты выдает Федеральная служба по техническому и экспортному контролю (ФСТЭК) и ФСБ».
Нет этого в законе. Оператором является даже тот, кто никого не нанимает, но обрабатывает персданные не в личных, а в профессиональных целях – индивидуальный предприниматель, адвокат, нотариус, журналист.
И 100 тыс. записей здесь ни при чем. Независимо от количества записей в базах данных операторы должны применять средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия.
Я читаю, естественно, не все, что пишут о ФЗ-152. Это невозможно. И написал далеко не обо всем, что прочитал и что меня задело. Это просто примеры.
Не верьте на слово. Лучше проверьте, чтобы не наделать ошибок.

31 комментарий:

  1. Михаил,в свою очередь хочу выразить благодарность лично от себя-так как это самая полезная и информативная статья(очень жаль что не по всем вопросам,которые вас задели)что мне далось прочитать среди той воды и мыслями товарищей,которые порой уходят далеко в не нужные(не актуальные) ДЕБРИ!

    ОтветитьУдалить
  2. Свеженькое: Отныне все сайты, продающие железнодорожные билеты, станут передавать всю конфиденциальную информацию по протоколу https, что гарантирует абсолютную защищённость сведений - http://bilets.org/news/173/

    ОтветитьУдалить
  3. М. Ю. Спасибо, отлично!

    ОтветитьУдалить
  4. Что касается оснований для внеплановой. Есть еще требование прокуратуры (п. 3 ч. 2 ст. 10 294-фз), и если написать обращение в прокуратуру, то есть шанс, что они перенаправят в Роскомнадзор потребовав проведение проверки.
    А можно узнать подробности случаев:
    "Появились прецеденты отказа в предоставлении доступа лицам, приехавшим осуществлять внеплановую проверку"

    ОтветитьУдалить
  5. 2toparenko. Алекс, и случилось это сразу после визита с профилактической беседой. Он не первые - gosuslugi.ru, nalog.ru, fssprus.ru. Означает ли это, что OpenSSL, RSA прошли оценку соответствия установленным порядком? Что проведена проверка корректности их встраивания в браузеры? А если нет, зачем это делать остальным операторам? Ответа, я думаю, не будет.

    ОтветитьУдалить
  6. 2Вихорев. Не за что. Просто нет сил все это читать. А уж осмысливать...

    ОтветитьУдалить
  7. Михаил, на счет внеплановых проверок Роскомнадзора, не могу согласится.
    В соответствии со статистикой
    http://23.rsoc.ru/news/p45/news26466.htm
    количество внеплановых проверок примерно равно количеству плановых.

    У меня есть информация от нескольких знакомых, которые реально обращались с жалобами и по их жалобам проводились проверки. Пример: http://log.itsec.pro/

    ОтветитьУдалить
  8. 2Сергей Борисов и bial. а со мной не надо соглашаться. Надо прочитать часть 2 ст.10 ФЗ-294. Там исчерпывающий перечень случаев внеплановых проверок. Подчеркиваю - исчерпывающий. Затем посмотреть законопроект № 454517-5 в части изменений в ФЗ-152 и дополнения его ст.23 прим, сравнить с принятым законом, где этих изменений нет. Затем почитать Отчет о деятельности Роскомнадзора за 2009 г.: "Во втором полугодии отчетного периода необходимо отметить динамику снижения (почти на 50%) количества внеплановых проверок по сравнению с первым полугодием 2009 года. Это напрямую связано с вступлением в силу Федерального закона от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц …при осуществлении государственного контроля (надзора) …Очевидно, что отсутствие в указанном федеральном законе такого основания для проведения внеплановых проверок в области персональных данных как обращения или заявления граждан на действия (бездействие) Операторов резко снизило эффективность защиты их прав и законных интересов".
    Выводы сделайте сами. Я это и рекомендовал.
    И давайте не путать российскую практику с российскими законами. То, что по случаям, не предусмотренным законам, операторов допускают к проверке - дело операторов. И их проблема.
    Про комбинацию с прокуратурой, о которой пишет bial, в ФЗ-294 ничего нет. Не знаю...
    Пример - пожалуйста: http://42.rsoc.ru/news/news26847.htm

    ОтветитьУдалить
  9. Комбинация с прокуратурой четко прописано в 294-ФЗ в указанной выше статье
    Все примеры датированы первой половиной июля, посмотрим, что будет дальше.
    В любом случае существует документарная проверка, рамок которой для Роскомнадзора в области ПД за глаза хватит.

    ОтветитьУдалить
  10. 2beal. А на часть ст.10 ФЗ-294 можете сослаться7 Я в ней, ничего, кроме согласования с прокуратурой, не вижу. В частности, инициации прокуратурой. Документарные проверки тоже бывают плановые и внеплановые. С точки зрения оснований - разницы нет.
    Посмотрим.

    ОтветитьУдалить
  11. 2beal. А по поводу п.3 ч.2 ст.10 - давайте читать до конца статью: "приказ (распоряжение) руководителя органа государственного контроля (надзора), изданный в соответствии с поручениями Президента Российской Федерации, Правительства Российской Федерации". Поручение будет - будет и проверка. Даже без прокуратуры.

    ОтветитьУдалить
  12. Вот спасибо! Это большая беда! Единственное хочется отметить что все ляпы как правило по недоразумению и диагональному прочтению иной раз оказывается даже не последних версий документов.

    ОтветитьУдалить
  13. Касательно "штрафа до 500 т.р." - те, кто говорит про 500 т.р., обычно ссылаются на ст. 19.5 КоАП, подпункт 2. Т.е. это штраф не за само нарущение закона о ПДн, а за неисправление ситуации после проверки. Если после проверки оператору на исправление дали скажем 1 месяц, а он все равно не выполнил - вот тогда будет штраф до 500 т.р.

    ОтветитьУдалить
  14. 2Ширманов. Александр, ч.2 ст.19.5 касается исключительно вопросов экспортного контроля. То, что ФСТЭК занимается и им, вовсе не означает, что на нарушителей ст.13.11, вовремя не устранивших нарушение, можно наложить санкции в соответствии с этой статьей. В данном случае она совершенно неприменима.
    К сожалению, спекуляций интеграторов на эту тему - выше крыши.

    ОтветитьУдалить
  15. Ну уж не знаю каким образом еще донести мысль, сделаю еще одну попытку.
    п. 3 ч. 2 ст. 10 "...и на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям"
    Вот и всё, и никаких поручений правительства ждать не надо.
    Да и пора бы надзору использовать в качестве оснований - угрозу жизни, здоровью. Утекли данные к коллекторам незаконно, а они звонят мне и угрожают, есть реальный шанс получить согласование проверки в прокуратуре при правильно написанном обращении.

    ОтветитьУдалить
  16. 2bial. Не вижу смысла спорить. Мы по-разному читаем закон. Там после поручений стоит слово "и", с которого Вы и начали цитату. "И", а не "или". Это означает, что должны быть выполнены оба условия - и распоряжение, и требование прокурора. Насчет угроз коллекторов и "утекли незаконно" - песня отдельная.

    ОтветитьУдалить
  17. >Утекли данные к коллекторам незаконно

    Весьма спорно (не касаясь законности/не законности методов коллекторов).

    Данные коллекторам могут быть переданы:
    - когда они действуют от имени и по поручению кредитора (см. в ГК РФ комерческий представитель)
    - когда долг продан по цессии

    Оба случая определены ГК РФ и ничего незаконного в них нет. Еще раз повторюсь, что не рассматриваю действия коллекторов по принуждению к выполнению обязательств заемщика т.к. здесь могут быть как полностью законные действия, так и не законные действия...

    ОтветитьУдалить
  18. 2toparenko. согласен, поэтому и написал про отдельную песню. Еще к Вашему комменту добавил бы уступку прав требования, не требующую согласия должника. Но тема обмусоленная, позиция РКН известна, надо ждать решений арбитражных судов.

    ОтветитьУдалить
  19. Заступлюсь за неокрепшего неофита.
    294 ФЗ, ст.10, ч.2,п.2,пп."в":
    2. Основанием для проведения внеплановой проверки является:
    2) поступление в органы государственного контроля (надзора), органы муниципального контроля обращений и заявлений граждан, юридических лиц, индивидуальных предпринимателей, информации от органов государственной власти, органов местного самоуправления, из средств массовой информации о следующих фактах:
    в) нарушение прав потребителей (в случае обращения граждан, права которых нарушены).

    Далее 152 ФЗ, ст.17, ч.1
    Статья 17. Право на обжалование действий или бездействия оператора
    1. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

    В данном случае, нарушение требований 152ФЗ по обработке ПДн приравнивается к нарушению прав и свобод субъекта, что в свою очередь согласуется с указанным подпунктом 294ФЗ.

    ОтветитьУдалить
  20. 2Trotsky. Уважаемый коллега. Рад бы с Вами согласиться, но не могу. Упомянутое Вами "нарушение прав потребителей (в случае обращения граждан, права которых нарушены)" находится в юрисдикции ФЗ "О защите прав потребителей" и предметом контроля Роспотребназора Онищенко, при наличии грамотных юристов подтянуть сюда ФЗ-152 не получится.
    Обжаловать действия/бездействие оператора можно, РКН может истребовать необходимую информацию (ч.4 ст.20, ч.3 ст.23 ФЗ-152), требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных, обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных, в том числе в защиту прав неопределенного круга лиц, и представлять интересы субъектов персональных данных в суде.
    А вот провести внеплановую проверку ПО ЗАКОНУ (я снова выделяю эти слова) не может. Более подробно - см.выше в моем ответе Сергею Борисову и bial.
    Причина - непринятие поправок в связи с ФЗ-294. Не могу утверждать, но, ИМХО, это результат разменов лоббистов. Требования к оператору фактически ужесточаются, возможности контроля не увеличиваются.

    ОтветитьУдалить
  21. Раз уж затронули эту тему, то тут позиция всех надзирающих органов однозначна, что основание действует для всех. Смысла создавать основание исключительно под Роспотребнадзор в непрофильном законе нет никакого, тем более теперь 242-фз расставил всё по местам в части особенностей контроля.
    Ну и соответствующее определение Верховного суда также имеется от 08.09.2010 N 44-Г10-34
    (например тут http://www.resheniya-sudov.ru/2010/164780/)

    ОтветитьУдалить
  22. Михаил, значит административный регламент проведения проверок в области ПДн РКН противоречит 294 ФЗ.
    27. Внеплановые проверки проводятся по следующим основаниям:
    27.4. Нарушение прав и законных интересов граждан действиями (бездействием) Операторов при обработке их персональных данных.
    27.5. Нарушение Операторами требований законодательства Российской Федерации в области персональных данных, а также о несоответствии сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности.

    ОтветитьУдалить
  23. 2bial. Это все наши с Вами предположения. У Вас одни, у меня другие. Еще раз доклад РКН: "Очевидно, что отсутствие в указанном федеральном законе такого основания для проведения внеплановых проверок в области персональных данных как обращения или заявления граждан на действия (бездействие) Операторов резко снизило эффективность защиты их прав и законных интересов".
    Заметьте, не я это сказал (и копирайт не мой):-)

    ОтветитьУдалить
  24. 2Trotsky. Я - не суд, у меня права выносить решение о соответствии НПА закону нет. Я лишь процитировал закон, законопроект и доклад РКН. Все остальное - на Ваше усмотрение.

    ОтветитьУдалить
  25. Насовсем понятно почему наши граждане не развивают тему с ст.137 УК если из того же банка звонят на номер мобильного телефона который официально не передавался в этот банк, то без оперативно-разыскных мероприятий банк не могу получить эту информацию. А там и регуляторы другие, и ответственность другая.

    ОтветитьУдалить
  26. 2Анонимный. Не будучи юристом, не могу настаивать на правильности своей позиции, но, на мой взгляд, приведенный Вами пример, как и большинство инцидентов с персданными, не может быть квалифицирован по ст.137 УК. Главнейшим признаком уголовного преступления является степень его общественной опасности. В данном случае она отсутствует, и деяние, имеющие формальные признаки преступления (незаконный сбор) является малозначительным, поскольку не причиняет вреда охраняемым законом общественным отношениям. Так что вряд ли удастся добиться возбуждения уголовного дела. Да и доказать законность сбора мобильных тлф из общедоступных источников сейчас легко.

    ОтветитьУдалить
  27. Но разве звонки в отношении меня как родственника человека взявшего кредит с всякими несуразностями не являются нарушением. Так же откуда у банка могут быть мои данные при условии, что я их не давал, и они не являются общедоступными. И для меня эти звонки являются отрицательным фактором. Далее коллекторы к примеру при поиски имущества должника проводят оперативные мероприятия по закрытым базам данным, разве это не прерогатива силовых ведомств, и только они должны этим заниматься. И почему они являются малозначимыми, для меня это является очень значимым, может они потом планируют ограбить меня.
    Для выполнения условий договора, наличие у меня какой либо собственности не является основанием для сбора этой информации юридическими лицами.Будет судебное решение, пускай приставы разыскивают и узнают, у банка какое основание?

    ОтветитьУдалить
  28. Вы очень легко относитесь к уголовному праву. Его краеугольным камнем является презумпция невиновности, еще со времен Рима. Ваши ощущения и вина - суть вещи разные. Я бы на Вашем месте начал с другого - пишите запрос в соответствии с ст.14 ФЗ-152. Жестко. С требованием предоставить всю информацию, предусмотренную частью 7. И если для Вас это значимо - далее Прокуратура, Роскомназор и, с его помощью (обязан помочь), - иск в суд.
    Только при одном условии - что Вы не выступали поручителем по кредиту.

    ОтветитьУдалить
  29. a_yefremov

    Улыбнуло! ;) Да, показательная НЕ-компетентность многих ;) Спасибо!

    ОтветитьУдалить
  30. А в чем некомпетентность? В том что я не хочу кому либо передавать излишнюю информацию, или в том что бы наказать организацию за сбор информации обо мне?

    ОтветитьУдалить
  31. По поводу 294-фз и нарушения прав потребителя можно почитать в том числе доклад МЭРТ этого года в 2-х томах. Очень познавательно и довольно подробно.

    http://www.economy.gov.ru/minec/activity/sections/smallBusiness/doc20110517_16

    Этой же позиции придерживается и РКН.

    ОтветитьУдалить