28 ноября 2017 г.

Некоторые впечатления о Международной конференции «Защита персональных данных» Роскомнадзора

Прошедшую 9 ноября VIII Международную конференцию «Защита персональных данных» я считаю главным событием в России, связанным с персональными данными. Поэтому, в силу специфики бизнеса, не пропустил ни одной. В прошлом году слушал выступления он-лайн, и это тоже полезный опыт (в том смысле, что пользы меньше). В этом году мы получили приглашение Роскомнадзора в очередной раз провести круглый стол с регуляторами по нашему сценарию и с нашими вопросами, а также выступить с острой, на наше усмотрение, темой. Мы высоко оценили возможность проявить инициативу, а также отсутствие любой цензуры при подготовке и проведении выступления на очень, на наш взгляд, со сложной и неоднозначной темой получения работодателем согласия работника на обработку персональных данных и передачу их третьим лицам. И за это, а также за интересную программу и отличную организацию мероприятия – искреннее спасибо надзорному ведомству. 
С получением согласий работников на передачу их персональных данных иным лицам сложилась сложная и неоднозначная ситуация. После неудачных попыток ООО «Скартел» оспорить результаты проверок Управлением Роскомнадзора по ЦФО в 4 судебных процессах в Арбитражном суде города Москвы и Девятом арбитражном апелляционном суде позиция надзорного ведомства стала достаточно однозначной: на каждую цель передачи и каждое лицо, которому поручается обработка персональных данных, необходимо получать согласие работника, оформленное в виде отдельного документа. Основание: в части 4 статьи 9 закона «О персональных данных» слова «цель» и «наименование лица» употребляются в единственном числе. Не буду сейчас обсуждать этот аргумент, позиция высказана, и надо думать, что в этих условиях делать. Тем более, что Минкомсвязи, в ответ на наш запрос, также сообщило об аналогичном понимании проблемы.
В отведенные на выступление 15 минут я успел рассказать о нескольких проблемах, которые в связи с этим возникают. Первая и главная – каким образом наличие нескольких (а иногда и нескольких десятков) согласий с паспортными данными, местом жительства работника улучшает его правовую защищенность как субъекта персональных данных и способствует реализации его права на неприкосновенность частной жизни.   
Вторая проблема заключается в том, что статьи 86 и 88 Трудового кодекса, устанавливающие необходимость получения согласия работника в письменной форме, не содержат отсылок на закон «О персональных данных», и включение в согласие работника всех сведений, указанных в части 4 статьи 9 закона, является явно избыточным, поскольку работник идентифицирован работодателем, и паспортные данные для подтверждения личности лица, дающего согласие, и его адрес, в данном случае, для достижения целей, поставленных законом, явно не нужны.
Третье. Необходимо различать передачу работодателем персональных данных работников иным лицам как поручение их обработки (аутсорсерам кадрового, бухгалтерского, воинского учета, охраны труда, охранным организациям и т.д.) и без поручения обработки персональных данных (банкам, страховым компаниям, перевозчикам, отелям, фитнес-клубам и языковым курсам и т.д.), поскольку указывать наименование и адрес получателя персональных данных надо именно в случае поручения обработки.
И, наконец, четвертое. Что делать работодателю, если работник согласие давать отказывается? Я уже писал о попытке получить ответ на этот вопрос в Роструде, но его по-прежнему нет. Сейчас запросили мнение Минкомсвязи по этому вопросу.
На круглом столе с регуляторами вопросов удалось задать довольно много, он затянулся почти до 19 часов вместо планируемых 18. Вот наиболее интересные, на мой взгляд, ответы на поставленные вопросы, появившиеся в ходе активного диалога с участниками. 
С.Д. Мигранов, Минкомсвязи России. Министерство не планирует инициировать легализацию в законе «О персональных данных» получения согласия в форме конклюдентных действий, хотя оно и является самым распространенным. Приказ об утверждении административного регламента ведения реестра операторов утратил силу, поскольку это не государственная услуга, и регламент не нужен в принципе. Постановление Правительства о контроле и надзоре ждать стоит (оно, кстати, получило отрицательную оценку регулирующего воздействия)
Ю.Е. Контемиров, Роскомнадзор. Cookie-файлы и иные следы анонимного пользователя в Интернете – персональные данные, необходимо его согласие на обработку, в том числе на трансграничную передачу в аналитические службы Интернета. Если эти службы находятся в «неадекватных» странах, США, например, фактически единственный способ выполнения требований закона – правильное пользовательское соглашение, для акцепта которого необходим баннер с чек-боксом или кнопкой для закрытия, подтверждающими согласие с условиями соглашения.
Пока новая редакция статьи 13.11 КоАП применяется весьма мягко (с 1 июня оп 1 ноября возбуждено всего 39 административных дел по стране). На мой вопрос: если в ходе проверки выявлено 10 случаев необходимости получения согласия в письменной форме в организации, где работает 100 работников, то сколько здесь административных правонарушений – одно, 10, 100 или 1 000, - последовал ответ – одно. И да, отдельное согласие необходимо для каждой цели.
Вред субъекту оператор оценивает по своей методике, какую-либо единую разрабатывать не планируется.
Е.Б. Торбенко, ФСТЭК России. В случае размещения ИСПДн в дата-центре, облаке или по схеме SaaS для выполнения требований закона необходим договор, в котором закреплены обязанности провайдера в отношении обеспечения безопасности обрабатываемых данных для выбранного типа актуальных угроз и уровня защищенности, указаны меры, предусмотренные статьей 19 закона. В этом случае оператор свои обязанности выполнил, проверять, как именно это делает провайдер не надо, что вполне логично.
Методику актуализации угроз 2008 года, «заточенную» под утратившее силу Постановление Правительства № 781 и «приказ трех» о классификации ИСПДн применять можно, но можно разработать (и быть готовым обосновать) и свою. В дополнение к базовым угрозам необходимо анализировать актуальность угроз из банка данных угроз на сайте ФСТЭК (их там уже более 200).   
Оценку соответствия средств защиты информации можно проводить любым способом, указанным в законе «О техническом регулировании», в том числе, в форме декларирования соответствия, но, если оператор имеет соответствующую квалификацию.
А.Г. Бодров, ФСБ России. Оценку соответствия СКЗИ можно проводить только в форме сертификации в системе ФСБ. Просто признать угрозу перехвата персональных данных в канале связи неактуальной и не применять сертифицированные СКЗИ нельзя. Отсутствие модели угроз – уже административное правонарушение. Для моделирования угроз все операторы могут использовать «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности».
Вот, если коротко, что запомнилось и на что, на мой взгляд, стоит обратить внимание.
В дополнение к написанному можно посмотреть небольшое видео с конференции и презентации некоторых выступавших (к сожалению, не всех), в том числе, мою - http://zpd-forum.com/#contacts.  

11 комментариев:

  1. Непонятно мнение РКН про Cookie-файлы - на основании чего они относят их к ПДн?
    Есть ли на сегодня какая-нибудь правоприминительная практика по данному вопросу?

    ОтветитьУдалить
  2. Практики полно - акты проверок и даже судебные решения о привлечение к ответственности за передачу профилей анонимных пользователей иным лицам без их согласия. Почему? Вот цитата из материала одной из проверок: "Использование файлов cookies и функционала интернет-сервисов Google Analytics, Webtrends, Яндекс.Метрика на основании получаемых ими данных позволяет определить уникального посетителя сайта, формировать сведения о его предпочтениях и поведении на сайте, что указывает на обработку его персональных данных.
    При этом информирование посетителей сайта об обработке их персональных данных с помощью вышеуказанных интернет-сервисов не осуществляется, на сайте отсутствует форма согласия посетителя сайта на обработку его персональных данных с использованием интернет-сервисов Google Analytics, Webtrends, Яндекс.Метрика".
    А вот из решения суда: "ПАО «МГТС» передает партнерам сведения об абоненте, включающие поисковые запросы абонентов, Интернет-адреса веб-страниц, посещаемых абонентами, тематику информации, размещенной на посещаемых абонентами Интернет-ресурсах, IP-адрес абонента, достаточной для формирования его рекламного профиля, необходимого для предоставления ему адресной рекламной информации.
    Установлено, что информация, получаемая ПАК от оператора связи, позволяет прямо или косвенно идентифицировать пользователя как определенное физическое лицо (субъект персональных данных)".

    ОтветитьУдалить
  3. Наш региональный РКН по поводу штрафов высказался так: если работников, например, 50, а случаев передачи, например, два (например в банк и в охранное агенство), то штрафов будет два.
    Вообще надоела эта неопределённость. Хочется стабильности хоть в таких вопросах)

    ОтветитьУдалить
  4. Не то слово. Стабильности и разъяснений до включения новых нарушений в акты и предписания (как с согласиями, например)

    ОтветитьУдалить
  5. Что значит "если оператор имеет соответствующую квалификацию" в вопросе оценки соответствия СрЗИ в форме декларирования? Квалификацию оператора тоже нужно чем то подтверждать?)

    ОтветитьУдалить
  6. Простите, почему вы пишите, что указывать наименование и адрес получателя персональных данных надо именно в случае поручения обработки, а в случае передачи без поручения обработки, что писать в согласии?

    ОтветитьУдалить
  7. А в случае, когда поручения нет, можно указать цель (бронирование гостиницы, например), а организацию, в которую будут передаваться данные, не указывать - п.6 части 4 ст.9 152-ФЗ

    ОтветитьУдалить
  8. "Просто признать угрозу перехвата персональных данных в канале связи неактуальной и не применять сертифицированные СКЗИ нельзя."

    Т.е. теперь все интернет ресурсы незаконны? раньше вроде можно было аргументировать, что используется шифрованный канал для защиты аутентификационных данных или другую цель придумать. И принять неактуальной угрозу перехвата данных. Не понятно.
    ФСБ со своим собственным миром, отдаленным от реальности просто ...

    ОтветитьУдалить
    Ответы
    1. Да, совершенно непонятно :(( Получается если на сайте нет даже форм обратной связи, но используются кукисы, то сайт становится ИСПДн, и даже если есть согласие пользователя, то всёравно надо защищать эти кукисы, они же передаются по незащищенному каналу связи - Интернет!!!! Тут риптография нужна с сертификатом от ФСБ.

      Удалить
  9. Я не очень понял вот это: "Если эти службы находятся в «неадекватных» странах, США, например, фактически единственный способ выполнения требований закона – правильное пользовательское соглашение, для акцепта которого необходим баннер с чек-боксом или кнопкой для закрытия, подтверждающими согласие с условиями соглашения."

    Разве баннеры с чек-боксом могут заменить собой письменное согласие, требуемое ст.12 закона о ПД?

    ОтветитьУдалить
    Ответы
    1. Могут. Пункт 4 части 4 ст.12 - сторона договора (пользовательского соглашения) в форме публичной оферты, акцептованной простановкой галочки в чек-боксе баннера. Просто все надо детально описать.

      Удалить