26 июня 2014 г.

Суверенные базы данных и реестры нарушителей

Зарекся некоторое время назад комментировать проекты законов и прочих нормативных правовых актов, поскольку от окончательной редакции они порой отличаются радикально, если будут приняты вообще.
Про него уже отпостили Алексей Лукацкий и Сергей Борисов, но есть нюансы, которых я в их комментариях не увидел и на которые хотелось бы обратить внимание. Поскольку рожденное в недрах Госдумы не подлежит опубликованию на «Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения», приходится пользоваться личным блогом для этого самого общественного обсуждения.
О сути закона высказались уже многие, сводится она к двум принципиальным моментам – размещению баз с персональными данными россиян только на территории России (с некоторыми допустимыми исключениями) и созданию очередного реестра, теперь - нарушителей прав субъектов персональных данных. Все остальное – некая обвязка к реализации этих двух основных идей.
По поводу размещения баз персональных данных россиян в России. Удивительна не сама идея суверенности баз, об этом разговоры идут очень давно, а как раз эти самые исключения. Предполагается, что на территории России будет все, но кое-что можно хостить и за ее пределами, а именно – сайты госорганов (пункт 2 части 1 ст.6 152-ФЗ, отдельно выделю базы данных судебных приставов – п.3 части 1 ст.6 152-ФЗ), государственных внебюджетных фондов, любых органов власти и самоуправления, а также организаций, оказывающих государственные и муниципальные услуги (п.4 части 1 ст.6 152-ФЗ).
Мне почему-то казалось, что должно быть ровно наоборот – коммерсанты пусть разбираются с клиентами сами, где находятся их сервера баз данных, а вот госорганы, муниципалы и организации, специально созданные для реализации их полномочий, – за рубеж ни-ни. Сначала я не поверил своим глазам, перечитал статью 1 законопроекта раз десять – точно, им можно. Т.е. систему персонифицированного учета, созданную в соответствии с Федеральным законом «Об обязательном медицинском страховании», или сайт госуслуг или муниципальных услуг города Верхневольтовска захостить где-нибудь в Германии или Латвии – это, пожалуйста, а вот базу данных АБС и веб-сайт банка - стопроцентной дочки зарубежного, или booking.com, где россияне имели неосторожность забронировать гостиницу или арендовать машину – будьте добры перенести в Россию. Я про booking.com не шучу и не ошибаюсь – постоянные требования депутатов и сенаторов проверить на предмет исполнения российского законодательства Google, Twitter или Facebook говорят о том, что законодатели ставят вопрос именно так. Иначе – заблокировать, и точка. Интересен также вопрос, каким образом оператор должен определить, россиянин ему персональные данные прислал или нет. Для абсолютного большинства сайтов указывать гражданство или паспортные данные не нужно.
По поводу включения оператора в реестр нарушителей прав субъектов персональных данных и блокировки ресурса. Попадание в реестр, в соответствии с законопроектом, происходит на основании вступившего в законную силу судебного акта. А теперь – вопрос в студию. Какого именно акта? О чем? В соответствии со ст.2 законопроекта, реестр создается «в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных» Т.е. речь идет о судебном акте, в котором определен виновный в нарушении такого законодательства? Или о судебном акте, прямо требующем блокировки сайта? Если об акте с указанием виновного – это только ст.13.11 КоАП в нынешней редакции, или вообще любое нарушение, связанное с этим законодательством? Могу навскидку предложить целый набор таки случаев:
·    Статья 5.27 КоАП (Нарушение законодательства о труде и об охране труда) – если речь идет о нарушении требований главы 14 Трудового кодекса «Защита персональных данных», например, на сайте опубликованы персональные данные работников без их письменного согласия;
·    Статья 5.39 КоАП (Отказ в предоставлении гражданину информации) – если оператор не ответил на запрос субъекта, поданный через сайт;
·    Статья 13.12 КоАП (Нарушение правил защиты информации, часть 6) – если для защиты сайта используются несертифицированные средства защиты информации или межсетевой экран стоит не того класса защищенности, который указан в Приказе ФСТЭК № 21, а канал сайта не шифруется сертифицированным СКЗИ;
·    Статья 13.13 КоАП (Незаконная деятельность в области защиты информации) – если оператор построил защиту своего сайта сам, а лицензии на ТЗКИ у него нет;
·    Статья 19.7 КоАП (Непредставление сведений (информации)) – если оператор обрабатывает персональные данные на сайте, а Роскомнадзор об обработке не уведомил;
·    Статья 137 УК РФ (Нарушение неприкосновенности частной жизни) – если на сайте собирается и выкладывается информация о частной жизни, а суд посчитал это незаконным;
·    Статья 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) – если оператор, например, выложил на сайте частное письмо, SMS-сообщение или протокол телефонного соединения;
·    И с некоторой натяжкой – статья 140 УК РФ (Отказ в предоставлении гражданину информации), если ст 5.39 КоАП показалось мало.
Еще одна проблема, заложенная в законопроекте – а как Роскомнадзор будет узнавать о вступлении в силу решения суда о нарушении законодательства? Обязанности судов это делать в законопроекте не заложено, как и прямого решения суда о блокировке. Предлагается несколько экзотический путь – право субъекта на обращение в Роскомнадзор с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства в области персональных данных на основании вступившего в силу судебного акта по утвержденной Роскомнадзором форме. А если субъект не обратится, как надзорный орган будет выполнять возложенные на него законом функции? Одни вопросы без ответов…
И еще один маленький, но существенный момент. На ряд операторов законом возлагается обязанность раскрывать на своем официальном сайте в сети интернет определенные сведения. Например, Приказ ФСФР от 10.01.2006 № 06-117/пз-н «Об утверждении положения о раскрытии информации эмитентами эмиссионных ценных бумаг» подробно расписывает порядок раскрытия на сайте предусмотренной законом «О рынке ценных бумаг» информации, обязывая предоставить пользователям «свободный и необременительный доступ» к ней и обеспечить этот доступ «в течение сроков, установленных нормативными правовыми актами, на одной странице в сети Интернет». А за нарушение, между прочим, штраф от 700 тысяч до миллиона рублей. Или Указание Банка России от 16.01.2004 № 1379-У «Об оценке финансовой устойчивости банка в целях признания ее достаточной для участия в системе страхования вкладов» признает банк обеспечивающим доступность информации о лицах, оказывающих существенное (прямое или косвенное) влияние на решения, принимаемые органами управления банка, неограниченному кругу лиц, если на официальном сайте банка или на официальном сайте Банка России размещена информация о них. Отсутствие письменного подтверждения банка о раскрытии неограниченному кругу лиц этой информации – основание для отказа в выдаче лицензии на привлечение во вклады денежных средств физических лиц, не больше и не меньше.
А теперь представим себе – эмитент ценных бумаг или банк нарушил закон о персональных данных, не разместив, например, на сайте политику в отношении обработки персональных данных, и привлечен за это к ответственности. Ситуация вполне реальная, о таких случаях не так давно писал. Решение суда вступило в законную силу, сайт заблокировали, а тут совсем к другому регулятору пришла жалоба, что нельзя получить доступ к информации, подлежащей обязательному раскрытию. Немая сцена. Занавес.
И наконец. Законопроект написан с ошибками и неточностями. Как вам, например, фраза «оператор реестра исключает выгрузки для операторов связи доменное имя, указатель страницы сайта в сети «Интернет» или сетевой адрес, позволяющий идентифицировать сайт в сети «Интернет», на основании обращения владельца сайта в сети «Интернет», провайдера хостинга или оператора связи, оказывающего услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет», не позднее чем в течение трех дней со дня такого обращения после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных, либо на основании вступившего в законную силу решения суда об отмене ранее принятого акта суда». Я, как ни старался, так и не понял, кто и что должен сделать.
В общем, по моему скромному мнению, закон в таком виде принимать не только нельзя, но и очень вредно, поскольку последствия его принятия будут совершенно непредсказуемы, причем в тех областях, о которых авторы явно и не думали.

2 комментария:

  1. Анонимный30 июня 2014 г., 16:13

    Михаил,
    последний пассаж про право "быть забытым". Его на нашу голову недавно ввел суд Евросоюза в деле Марио Гонсалеса. К тому же это дело - единственное конкретное обоснование, которое приведено в пояснительной записке к законопроекту.

    ОтветитьУдалить
  2. Возможно. Но я в данном случае - про русский язык в законе. Про падЁжи и падежИ, про связность предложения и использование термина "выгрузка" в федеральном законе

    ОтветитьУдалить