28 марта 2012 г.

ФЗ-152: требования к государственным и муниципальным органам определены

В соответствии с частью 3 ст.18прим ФЗ «О персональных данных» Постановлением Правительства Российской Федерации от 21.03.2012 № 211 утвержден «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Постановление опубликовано на сайте Правительства и появилось в «Консультанте».
Читать придется внимательно, но есть несколько моментов, бросающихся в глаза даже при беглом прочтении. Разделю их на несколько групп, по своему усмотрению, конечно.
Революционное. Похоже, в недрах регуляторов появилось нечто принципиально новое, касающееся обезличивания персональных данных.
В Перечне мер по этому поводу сразу три новшества.
(1) Подпункт з) пункта 1 Перечня требует осуществлять обезличивание персональных данных, обрабатываемых в информационных системах персональных данных государственных и муниципальных органов, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ, в соответствии с требованиями и методами, установленными уполномоченным органом по защите прав субъектов персональных данных. Ждем нового документа от Роскомнадзора, который наконец-то раскроет секрет, что такое обезличивание.
Подпункт б) того же пункта 1 обязывает утвердить (2) правила работы с обезличенными данными и (3) перечень должностей служащих государственного или муниципального органа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных.
Крепко задумался. Каких таких особых правил требует работа с обезличенными данными, которые нельзя соотнести с конкретным субъектом, и зачем ограничивать к ним доступ, формируя перечень должностей? Это «ж-ж-ж» неспроста…
Неожиданное. В тексте документа появилось принципиально новое понятие - оператор информационной системы персональных данных. И только в случае, если гос- или муниципальный орган является оператором этой системы, на него возлагается принятие правовых, организационных и технических мер по обеспечению безопасности персональных данных, выполнение установленных Правительством Российской Федерации требований к защите персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных. В ФЗ-152 это - прямая обязанность оператора персональных данных, неразрывно связанного с определением целей обработки. Чтобы это значило? Чем отличается оператор персданных от оператора системы? Не сигнал ли это к давно обсуждаемому переводу государственных и муниципальных систем в облака, где ответственность за выполнением мер безопасности переложат на провайдера?
Предписано утверждать типовую форму согласия на обработку персональных данных служащих государственного или муниципального органа. Государственные служащие в соответствии с ФЗ «О государственной гражданской службе Российской Федерации» при поступлении на службу заключают государственный контракт, а муниципальные служащие, в соответствии с ФЗ «О муниципальной службе в Российской Федерации», поступают на службу на условиях трудового договора в соответствии с трудовым законодательством с учетом некоторых особенностей.
В соответствии со ст.6 ФЗ-152 согласия субъекта, имеющего договор с оператором  (в том числе трудовой), на обработку персональных данных оператору не требуется. Означает ли требование Перечня о наличии типовой формы согласия служащего на обработку персданных, что государственный контракт и трудовой договор муниципального служащего договорами в понятиях ФЗ-152 не являются? Интересно, будем разбираться.
Вызывающее задумчивость. Перечень локальных актов, издаваемых оператором, весьма велик. Из текста вроде бы следует, что надо принимать как самостоятельные все указанные документы. Многовато получается. Правила обработки персональных данных в гос- и муниципальных органах теперь должны устанавливать процедуры, направленные на выявление и предотвращение нарушений законодательства и определять для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований. Т.е. фактически дается структура локального акта оператора. С высокой вероятностью она начнет транслироваться на всех остальных операторов. Проще, наверное, при разработке документов ориентироваться именно на эту структуру. 
Постановлением предусмотрено уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных и наличие исключений для такого уведомления, установленных Федеральным законом «О персональных данных». Учитывая, что отношения госслужащего с органом власти не рассматриваются, как трудовые, а у гос- и муниципальных органов нет договоров с субъектами, оснований для исключение не видно никаких.  Будем смотреть, какие гос- и муниципальные органы под исключения подпадут и почему.
Ожидаемое. Закреплено требование о разработке перечней обрабатываемых персональных данных, отсутствующее в законе, но вполне естественное, если исходить как из его буквы, так и из духа. Списки допущенных к обработке персданных лиц предусмотрено формировать не поименно, а по должностям, как во всех действующих положениях органов госвласти.
Окончательно легализовано Постановление Правительства № 687 про неавтоматизированную обработку, весьма перпендикулярное к новой редакции ФЗ-152. Ожидаемо, но грустно.
В общем, вопросов новый документ вызывает много. И ситуация с правоприменением не проясняется. Будем ждать и смотреть.

23 марта 2012 г.

Биометрические персональные данные. Я все сказал. Но это не точка

«Хао! Я все сказал!» - про биометрические персональные данные. Все, что думал. Все что хотел. Но на этой неделе пост про биометрию неожиданно стал самым читаемым из моих постов за все время существования блога. И самым обсуждаемым. В копилку аргументов, что считать, а что не считать этими самыми биометрическими персональными данными, добавляю несколько относительно свежих примеров.
На сайте Управления Роскомнадзора по Республике Татарстан на простой вопрос «Является ли снимок веб-камерой биометрическими данными?» дается сложный ответ. Привожу его почти полностью, он того стоит: «Описанный Вами пример - это не автоматическая идентификация. Для того, чтобы она таковой стала, на рабочем месте сотрудника банка нужно поставить систему распознавания лиц, в которую, нужно загрузить данные биометрии (фотографию), соответствующую ГОСТу. Тогда система автоматически будет считывать лица клиентов банка, распознавать и идентифицировать их. Сотрудником банка веб-камерой делается снимок, изображение сверяется с владельцем документа (удостоверяющего личность – паспорта, водительского удостоверения и т.п.), с целью аутентификации (подтверждения), т.е. всё, что касается собственно личности. Идентификации в Вашем случае не происходит. В данном случае снимок веб-камерой биометрическими данными не является (снимок не соответствует ГОСТу)».
Я, если честно, не знаю, где в законе написано про автоматическую идентификацию. Про использование данных для установления личности субъекта, которое подробно и описывается в ответе – читал и понял. И про ГОСТ ничего в законе я тоже не нашел.
Практика же правоприменения идет своим путем. К позиции краснодарских коллег: «ОАО «ОТП Банк» не было представлено письменное согласие гр. А. на обработку его биометрических персональных данных, обработка которых осуществляется ОАО «ОТП Банк» путем предоставления копии паспорта гр. А. при заполнении заявления на получение потребительского кредита», невзирая на мнение центрального аппарата и коллег из Татарстана, примкнули инспекторы из Марий Эл: «При снятии ксерокопии паспорта гражданина они [сотрудники «МПБ Идельбанк»], не получив его согласия, изготовили с паспорта копию его фотографического изображения. Обработка этих персональных данных без согласия гражданина запрещена законом».
И они не одиноки. Считают фотографию биометрическим персональными данными в Управлении Роскомнадзора по Приморскому краю, Владимирской области , похоже (точно утверждать не могу), - в области Ивановской.
И про ГОСТ ни в одном из актов-предписаний – ни гу-гу.
Ничего не буду комментировать. Думайте и решайте сами.
И считайте это еще одной иллюстрацией к проблеме выработки единого подхода к применению законодательства в странах с непрецедентной правовой системой.

15 марта 2012 г.

О государственных электронных услугах: стало ли легче их потребителю?

Электронные государственные услуги – дело хорошее. Сидишь себе у компа, и, не отрывая одно место от другого, решаешь все сложные проблемы – справки там получаешь или анкеты заполняешь, чтобы потом, в назначенное время, только подойти и забрать результат.
Если все, конечно, работает. И если справку, полученную в электронном виде, потом кто-нибудь примет. Но, скорее всего, не примет никто. Печати на ней нет и подписи. А чтобы разобрать электронную подпись (информацию в электронной форме, которая присоединена к другой информации в электронной форме и которая используется для определения лица, подписывающего информацию), надо не очки надевать, а использовать средство электронной подписи, которое понимает формат, используемый при подписании. У разных производителей он разный. Ну, и так далее. Об этом – в сюжете телеканала «Утро России»

(или здесь).
А в качестве наглядной иллюстрации – порядок предоставления уведомлений в Роскомнадзор. В данном случае – в Управление по Приморскому краю. Можно, конечно, и в электронном виде представить. Но! Как разъясняет надзорный орган «Обработка уведомления, поданного через портал, начинается только после того, как в Управление Роскомнадзора по Приморскому краю поступает распечатанная с портала и подписанная оператором бумажная версия уведомления (при распечатке на уведомлении выводится уникальный номер уведомления и ключ)».
И к чему тогда электронные услуги, если для потребителя услуг ничего не меняется? Бумагу с подписью несите! 

13 марта 2012 г.

Опубликовано Постановление Правительства о лицензировании деятельности по ТЗКИ

В Российской газете и Российской бизнес-газете опубликовано широко обсуждавшееся специалистами новое Постановление Правительства № 79 "О лицензировании деятельности по технической защите конфиденциальной информации".

11 марта 2012 г.

Плач Миноса и Минотавра на стене лабиринта, или Тайны в законе о госуслугах

Если бы критский царь Минос и его незаконный приемыш Минотавр могли читать российские законы, выгнали бы они в шею своего Дедала и не ждали, пока он сварганит себе крылья и улетит с сыночком сам, бросили бы водить по лабиринту невинных семь пар, сели на стену и горько заплакали от зависти. 
Потому как разобраться в наших законах – это вам не по лабиринту, да еще с нитью Ариадны, бродить.
В рамках одного проекта разбирался с вопросами охраны конфиденциальности различного рода сведений при оказании государственных услуг, в первую очередь – электронных. Т.е. вникал в «одиозный», как пишут православные борцы с ним, Федеральный закон № 210-ФЗ «Об организации  предоставления государственных и муниципальных услуг».
Чтобы не быть голословным, для начала – цитата, полная, без купюр, части 5 ст.7 закона. Прочитайте внимательно:
«5. Для обработки информации, которая связана с правами и законными интересами заявителя, доступ к которой ограничен федеральными законами, за исключением персональных данных и сведений, составляющих государственную и налоговую тайну, и которая имеется в распоряжении органов, предоставляющих государственные услуги, органов, предоставляющих муниципальные услуги, иных государственных органов, органов местного самоуправления либо подведомственных государственным органам или органам местного самоуправления организаций, участвующих в предоставлении предусмотренных частью 1 статьи 1 настоящего Федерального закона государственных и муниципальных услуг, такими органами и организациями в целях представления указанной в настоящей части информации в орган, предоставляющий государственную услугу, орган, предоставляющий муниципальную услугу, либо подведомственную государственному органу или органу местного самоуправления организацию, участвующую в предоставлении государственных и муниципальных услуг, предусмотренных частью 1 статьи 1 настоящего Федерального закона, либо многофункциональный центр на основании межведомственных запросов таких органов или организаций для предоставления государственной или муниципальной услуги по запросу заявителя требуется получение согласия заявителя. Согласие может быть получено и представлено как в форме документа на бумажном носителе, так и в форме электронного документа».
Вы все поняли? Точно? А теперь прочитайте еще раз, еще более внимательно, и опять все. Понимание совпало? Я вам завидую. У меня с первого раза никак не получается.
Итак, коротко и по-русски, что понял я.
Для оказания конкретному гражданину государственной или муниципальной услуги, в случаях, если это оказание требует получения информации от другого органа власти (управления) информации, доступ к которой ограничен федеральными законами, или передачи такой информации, необходимо получить от заявителя конкретно выраженное согласие на обработку (в том числе передачу от одного органа другому в рамках межведомственного обмена) такой информации. Этого не требуется в трех случаях: когда обрабатываемые в рамках услуги сведения являются персональными данными, составляют государственную или налоговую тайну.
Такими сведениями ограниченного доступа при оказании госуслуг могут быть, например, тайна усыновления, врачебная тайна, банковская тайна, тайна переписки, тайна завещания и другие, неправомерный доступ к которым преследуется по закону.
А что с персданными, гостайной и тайной налоговой? Про гостайну в этом законе – ни слова, но это и не страшно. Мы про нее все знаем из закона «О государственной тайне» и понимаем, что она обрабатывается по особым, созданным специально для нее правилам. Вот и хорошо, одной проблемой меньше.
С персданными немного сложнее. По этому поводу есть две части той же статьи.
В части 4 статьи 7 написано, что органам и организациям, предоставляющим госуслуги, для обработки персональных данных, в том числе для передачи  в другие органы и организации в целях предоставления услуги, а также регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг и на региональных порталах государственных и муниципальных услуг не требуется получение согласия заявителя как субъекта персональных данных в соответствии с требованиями статьи 6 Федерального закона № 152-ФЗ "О персональных данных". Но вот засада. В п.4 части 1 ст.6 152-ФЗ про регистрацию на региональных порталах государственных и муниципальных услуг нет ни слова, там только – про единый портал. Зато в статье 9 того же 152-ФЗ содержится поручение Правительству определить порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, которого, в соответствии со ст.6, не нужно вовсе. Это первое.
И второе. Кто и как проведет грань между персональными данными (любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)) и иными данными, доступ к которым ограничен федеральными законами – врачебной, банковской и прочим тайнам, о которых речь шла выше? Когда согласие нужно, а когда нет? Ну, например, при предоставлении предусмотренных частью 6 ст.7 справок, заключений и иных документов, выдаваемых организациями, входящими в государственную, муниципальную или частную систему здравоохранения. Это персональные данные или врачебная тайна? То же самое – про остальные сведения ограниченного доступа, относящиеся к определенному или определяемому  субъекту. Вопрос на засыпку ко всем юристам, читающим мой блог.
Вторая статья закона про персональные данные – еще веселее. В части 3 установлено, что в случае, если для оказания государственной или муниципальной услуги необходимо представление документов и информации об ином лице, не являющемся заявителем, заявитель дополнительно представляет документы, подтверждающие наличие согласия указанных лиц или их законных представителей на обработку персональных данных указанных лиц, а указанные документы могут быть представлены в том числе в форме электронного документа. Второй вопрос на засыпку – как это представить в электронном виде? Ответа пока не видно.
А теперь, и про налоговую тайну. Это – в части 5 ст.7. Опять-таки, если коротко и по-русски, все органы, участвующие в предоставлении услуг, в том числе – налоговые, предоставляют друг другу информацию, которая относится к налоговой тайне, без согласия субъекта. И это не является разглашением налоговой тайны. Результат – весьма занятный. Зайдите на сайт налоговой инспекции по адресу https://service.nalog.ru/debt/. Зная фамилию, имя, ИНН (рассчитывать на конфиденциальность этих сведений трудно) и регион проживания (субъект РФ, даже не домашний адрес), о задолженности гражданина перед налоговиками можно узнать все. Как-то это не очень вяжется с соблюдением тайны частной жизни.
В заключение. Не вводя в дефиниции закона в статье 2 понятия «базовых государственных информационных ресурсов», закон далее активно им оперирует, предоставляя участникам системы оказания государственных и муниципальных услуг неограниченные возможности обмена информацией, необходимой для ведения этих самых базовых ресурсов. Опять перевожу на русский. Без вашего согласия любая информация, включенная в базовые ресурсы, установленные Правительством РФ и высшими органами государственной власти субъектов Федерации, будет представляться держателям  ресурсов в рамках межведомственного обмена. В том числе – отнесенная к налоговой тайне и персональным данным. Что из этого может получиться, я писал в посте про Базовый регистр населения города Москвы.  И отказаться от размещения сведений о вас в этих ресурсах вы никак не можете.
Обещанный рецепт напоследок. Для чтения законов. Делайте это с маркером в руках, выделяя главные слова. Тогда вы узнаете много нового, скрытого в потоке терминов, используемых в законе. В том числе о себе, своих правах и обязанностях.

5 марта 2012 г.

Доколе, Каталина, мы будем жить без служебной тайны?

В середине первого века до нашей эры (до Р.Х.) Цицерон в своей речи осаживал честолюбивого Луция Сергия Каталину: «Доколе, Каталина, будешь ты злоупотреблять терпением нашим?». Почему-то именно это вспомнилось после прочтения в «Ведомостях» о том, что вице-премьер «Сечин выступил за тайну собственной переписки».
Действительно, утечки информации из органов государственной власти, о которых идет речь в статье, а тем более из Правительства РФ – не только не допустимы, но и крайне опасны, вызывая резонанс в общественном сознании. Если можно там – то почему нельзя нам?
 Вот только приводимые изданием слова вице-премьера «Зачастую такая переписка имеет различные грифы, ограничивающие ее открытое использование, а предавать ее огласке указания не давалось» вызывают некоторое недоумение.
С грифами государственной тайны все понятно – разглашение ее составляет уголовное преступление, преследуется по закону и недопустимо ни при каких обстоятельствах. А вот какие еще грифы имелись ввиду? 
Если речь идет про перекочевавший в нашу капиталистическую действительность из советского прошлого гриф «Для служебного пользования» (ДСП), то с ним все совсем не просто. Понятие служебной тайны исчезло из Гражданского кодекса 1 января 2008 г. вместе со ст.139. Определенная в ней коммерческая тайна перекочевала в четвертую часть Гражданского кодекса РФ, а про служебную тайну забыли.
Ситуация усугубляется тем, что Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в ст.3 вторым по значимости принципом правового регулирования отношений, возникающих в сфере информации, информационных технологий и защиты информации определяет возможность установления ограничений доступа к информации только федеральными законами, что подтверждается и ст.5 того же закона: «Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа)».
А закона-то про служебную тайну и нет. Внесенный в думу в декабре 2004 года, раскритикованный Правительством еще в 2006 году, законопроект, после почти семи лет бесславных попыток рассмотрения, 2 декабря 2011 года был окончательно отклонен и снят с повестки дня законодателей.
В заключении Правительства были очень правильные слова: «Необходимость комплексного законодательного регулирования института служебной тайны не вызывает сомнений, поскольку законодательство содержит лишь отдельные положения, регламентирующие получение, использование, распространение и обеспечение доступа к сведениям, составляющим служебную тайну». Но развития они никакого не получили.
Между тем установленная законодательством норма о возможности ограничения доступа к информации только федеральными законами для органов государственной власти и местного самоуправления была подтверждена и в Федеральном законе от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления». Статья 5 недвусмысленно устанавливает два императива:
1. Доступ к информации о деятельности государственных органов и органов местного самоуправления ограничивается в случаях, если указанная информация отнесена в установленном федеральным законом порядке к сведениям, составляющим государственную или иную охраняемую законом тайну.
2. Перечень сведений, относящихся к информации ограниченного доступа, а также порядок отнесения указанных сведений к информации ограниченного доступа устанавливается федеральным законом.
Т.е. требования к ограничению доступа к информации о деятельности органов власти, которая, судя по статье в «Ведомостях», утекала из Правительства, ужесточены – федерального закона мало, для органов власти должен быть еще и перечень таких сведений, установленный законом. И, наверное, это очень правильно: современным требованием, родившимся с развитием демократии, с одной стороны, и электронного правительства – с другой,  является максимальная открытость и прозрачность системы управления, а ограничения должны быть обоснованными и разумными.
Появилась робкая надежда. Может быть теперь, когда к теме служебной тайны повернулись лицом высшие должностные лица,  закон и появится? И станет ясно, в каких случаях пресловутый гриф ДСП может проставляться на документах и что с такими документами с точки зрения защиты надо делать. А вот требования не создавать электронных копий документов, содержащих сведения ограниченного доступа, представляется … ну, не современным, что ли. Представить себе работников аппарата Правительства, макающих перьевые ручки в чернильницы и пишущих от руки документы с потенциально охраняемой информацией сложно. Хотя не так давно, в 1983 году, в кабинете на Старой площади я подписывал обязательство хорошо себя вести в первой загранкомандировке именно перьевой ручкой, макая ее в чернильницу. Но все-таки прошло уже 30 лет. Наверное, лучше бы принять закон и урегулировать наконец отношения. В том, что служебная тайна есть, мало кто сомневается. Вот только никто сегодня не может точно знать, что это. Пока нет закона. И это очень плохо.
 Ждем законопроекта, но уже от Правительства?