15 октября 2019 г.

Что интересного будет на X Международной конференции Роскомнадзора


7 ноября в МИА «Россия сегодня» пройдет X юбилейная Международная конференция «Защита персональных данных».

На сайте конференции размещена почти полная программа мероприятия. Как и все последние годы, среди участников – много иностранцев, которые говорить будут прежде всего о GDPR и его могучем движении по Европейской экономической зоне.

В программе – пленарная панельная дискуссия, модерировать которую будет руководитель Роскомнадзора А.А. Жаров, на которую выносятся действительно очень острые вопросы – персональные данные в условиях цифровизации, экономика персональных данных и их использование в предпринимательской деятельности (тут и интересный законопроект подоспел про обезличенные данные и обезличенные персональные данные), локализация и трансграничность потоков данных. Если будут выступления по делу – может быть очень интересно.

Потом будут две международные экспертные встречи «Экономика данных». В первой встрече будут участвовать преимущественно зарубежные гости и Ю.Е. Контемиров, и во второй - представители ФСБ, ФСТЭК, Банка России, а также Huawei, AliExpress, IXcellerate и др., а модерировать встречу предложили мне. Выступления на этих встречах традиционно очень короткие, по 10 минут, и на вопросы обычно времени никто из выступающих не оставляет.

Зато наиболее интересным для слушателей персонам вопросы можно и нужно будет задать на Круглом столе «Свободный микрофон с регуляторами». В этом году, кроме представителей российских органов власти, вовлеченных в процесс, впервые в нем обещают принять участие гости из Европейского надзорного органа по защите данных (очень рассчитываю выяснить их позицию относительно применимости GDPR к российским компаниям) и Группы защиты данных Совета Европы (а тут самое время выяснить про ETS-108 в новой редакции).

Традиционно обращаюсь к читателям блога с предложением присылать мне вопросы, самые интересные обещаю озвучить на Круглом столе. И еще одна просьба к тем, кто планирует прийти, пробыть до конца конференции и задать свой вопрос из зала. Времени в этот раз будет немного меньше, чем обычно, всего 1 час, поэтому просьба вопрос продумать и сформулировать заранее. Иногда на его постановку уходит времени больше, чем на ответ. Если вопросы будут, в перерыве желающие их задать могут подойти ко мне и сформулировать свой вопрос, шансы его озвучить повышаются, но при условии, что я тоже соглашусь с его актуальностью. Просьба в любом случае – без обид.

И есть два новшества, которые кажутся интересными. В конце каждой из двух экспертных встреч будут выступления в модном сейчас формате TED (Technology, Entertainment, Design), на которые отводится по 30 минут. Первым будет выступать зажигательный и зажигающий Алексей Волков из Сбербанка (редкая возможность в последнее время послушать его блестящие выступления), второе выступление – мое. К чести организаторов, они вновь не стали ограничивать или даже обговаривать содержание наших выступлений или просить об их премодерации. Для меня выступление в этом формате первое, готовлюсь, оплошать нельзя.

Так что до встречи на конференции со всеми причастными. Как обычно, уверен, – скучно не будет.

24 сентября 2019 г.

Дьявол в деталях. Поменялась форма согласия гражданина на обработку биометрии

Распоряжением Правительства РФ от 13.09.2019 № 2063-р внесены изменения в форму согласия на обработку персональных данных, необходимых для регистрации гражданина в единой системе идентификации и аутентификации (ЕСИА), и иных сведений, если такие сведения предусмотрены федеральными законами в указанной системе, и биометрических персональных данных в единой информационной системе персональных данных (ЕБС).
Фактически введена новая уточненная форма согласия, не очень отличающаяся от старой, но тем не менее…
В новой форме перечень категорий данных, на обработку которых дается согласие, стал закрытым, как и предусмотрено п.5 части 4 ст.9 ФЗ «О персональных данных». Самое смешное, что несмотря на название Распоряжения и вводимой им формы согласия, упоминание об иных сведениях, предусмотренных федеральными законами, а также необходимых для размещения данных в учетной записи в ЕСИА, из формы согласия исключены.
ИНН теперь надо предоставлять при его наличии, чего раньше не было и фактически делало невозможным регистрацию лиц, не получивших ИНН.
Простое упоминание «изображение лица, голос (биометрические персональные данные)» заменено на детальное разъяснение, как эти данные получаются и зачем.
Согласие по-прежнему дается одновременно трем операторам: Минкомсвязи, ПАО «Ростелеком» и организации (банку), собирающей биометрические данные.
В согласии на обработку Минкомсвязи удалено упоминание об использовании собираемых данных для оказания государственных и муниципальных услуг (и это правильно, они к данному согласию никакого отношения не имеют).
В согласии ПАО «Ростелеком» добавлено согласие на обработку, помимо биометрических, еще и контактных данных, что совершенно неправильно. Архитектура ЕБС, оператором которой является Ростелеком, изначально создавалась как полностью обезличенная, то есть не предполагающая идентификацию субъекта. Оператор хранит математические шаблоны (слепки) голоса и лица, идентификатор из ЕСИА, и все. Его задача – выдать вероятность совпадения полученных данных с шаблонами у владельца идентификатора, без установления личности. Наличие у Ростелекома (оператора связи, напомню) номера телефона и адреса электронной почты при современных технологиях делает идентификацию владельца голоса и лица не простой, а очень простой. К тому же, функционал ЕБС (определение владельца голоса и лица не по шаблону, а по изображению и записи, а вовсе не определение степени соответствия), предусмотренный Постановлением Правительства РФ от 28.12.2018 № 1703 об утверждении Правил предоставления оператором ЕБС в МВД России и ФСБ России сведений, содержащихся в этой системе, не соответствует целям, заявленным при сборе данных и на которые дается согласие субъекта. Все это подтверждает давно очевидную мысль о том, что ЕБС имеет несколько иное предназначение, чем декларировалось при ее создании. Зачем Ростелекому иметь контактные данные субъектов, если он должен решать только задачу оценки соответствия, не понятно, если другие задачи – совершенно очевидно. 
Согласие теперь явно допускает поручение обработки персональных данных нескольким лицам (это было и раньше, но не так очевидно).
Ранее согласие действовало до дня его отзыва, но не более 50 лет, теперь упоминание про 50 лет исчезло. Это подразумевает, что, если субъект согласие не отозвал, данные будут храниться вечно? Зачем? Да и формулировка про 50 лет при возможности использования биометрических данных для идентификации не более, чем в течение 3 лет (Приказ Минкомсвязи от 25.06.2018 № 321) полностью противоречит принципам обработки, установленным ФЗ «О персональных данных»: «Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом». Как мы видим, закон не предусматривает продление срока хранения подзаконными актами и согласием субъекта . Дискуссию о правовой природе согласия и наличии признаков договора в нем пока оставим в стороне, так как закон должен трактоваться буквально, согласия как основания в нем нет. 
Да и отзыв согласия вовсе не ведет к уничтожению данных в ЕСИА и ЕБС, они просто не могут использоваться для удаленной биометрической идентификации, они все равно будут там храниться «не менее 50 лет» (тот же Приказ Минкомсвязи № 321). 
В заключение - о позиции Минкомсвязи и Роскомнадзора «одно согласие – одна цель – один оператор – один обработчик». В согласии, установленном Правительством РФ, три оператора и неограниченное количество обработчиков. Как это соотносится с практикой проверок и судебной практикой, поддерживавшей позицию Роскомнадзора, очень надеюсь поинтересоваться на круглом столе «Свободный микрофон с регуляторами», который буду проводить по приглашению Роскомнадзора 7 ноября на Х юбилейной Международной конференции «Защита персональных данных», проходящей под патронажем надзорного ведомства.

6 августа 2019 г.

Резервное копирование и восстановление данных в организациях, поднадзорных Банку России


На сайте нашего партнера, компании Veeam, опубликована моя довольно объемная статья, в которой проанализированы вопросы организации резервирования информационных систем, в том числе резервного копирования данных, и восстановления деятельности при сбоях и чрезвычайных ситуациях в кредитных и некредитных финансовых организаций, а также субъектов национальной платежной системы, деятельность которых регулируется и контролируется Банком России.
В статье определены финансовые организации, на которые распространяются требования Банка России (их очень много), рассмотрены требования к резервированию и восстановлению данных, установленные законодательством РФ (и их тоже немало), и ответственность за их невыполнение, а также требования в отношении резервного копирования и восстановления деятельности, установленные в нормативных документах Банка России.
С полным текстом статьи можно ознакомиться по ссылке https://www.veeam.com/ru/wp-bank-backup-recovery.html

18 июня 2019 г.

Селфи с паспортом уходят в астрал

Про опасность представления кому бы ни было селфи с паспортом сказано уже очень много – и в СМИ, и на самых разных ресурсах Интернета. Но, тем не менее, проблема не только остается, но и усугубляется.
Удостоверяющий Центр АО «Калуга Астрал» 1 октября прошлого года объявил о введении нового Регламента по проверке документов. Об этом уже писали в октябре прошлого года.
Главное изменение нового Регламента АО «Калуга Астрал» – обязательное предоставление селфи с паспортом генерального директора любой компании (кроме бюджетных организаций), получающего или ранее получившего электронную подпись и сертификат в удостоверяющем центре (УЦ). Без такой фотографии получить электронную подпись нельзя.
Предоставление собственного фото с паспортом – это очень серьезный риск для субъекта персональных данных стать объектом мошенничества. Селфи с паспортом активно используются для мошеннических действий, в первую очередь – для получения онлайн кредитов в микрофинансовых организациях, но не только. Есть и черный рынок в даркнете с такими селфи, и профессиональные их скупщики, например, «Профсоюз селлеров» или «Форум вилочников». Недавняя история с водителем-убийцей на каршеринговом мерседесе, полученном на подставное лицо, или получение кредитов в банках – наглядные иллюстрации. Об этом написано очень много, достаточно погуглить и почитать, например это, это или это.
К сожалению, «предоставление селфи с паспортом» впрямую коснулось и нашего агентства. Я честно пытался решить вопрос по-хорошему, обратившись в техподдержку, а затем – к руководителю центра компетенции УЦ АО «Калуга Астрал», но по-хорошему не получилось. Поэтому публикую этот пост и, по-видимому, далее мы направим жалобы в различные инстанции - в Минкомсвязи, Роскомнадзор и прокуратуру.
Итак. Без селфи получить подпись и сертификат нельзя. В качестве аргумента руководитель центра компетенции УЦ ссылается на статью 18 Федерального закона № 63-ФЗ «Об электронной подписи». Читаем. «При обращении в аккредитованный удостоверяющий центр заявитель … представляет следующие документы либо их надлежащим образом заверенные копии и сведения:
1) основной документ, удостоверяющий личность;
2) номер страхового свидетельства государственного пенсионного страхования заявителя - физического лица;
3) идентификационный номер налогоплательщика заявителя - физического лица;
4) основной государственный регистрационный номер заявителя - юридического лица;
5) основной государственный регистрационный номер записи о государственной регистрации физического лица в качестве индивидуального предпринимателя заявителя - индивидуального предпринимателя;
6) номер свидетельства о постановке на учет в налоговом органе заявителя - иностранной организации (в том числе филиалов, представительств и иных обособленных подразделений иностранной организации) или идентификационный номер налогоплательщика заявителя - иностранной организации;
7) доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц».
Это все. Точка. Перечень закрытый. Права УЦ запрашивать какие-либо дополнительные документы закон не предусматривает. Часть документов УЦ должен получить самостоятельно из государственных информационных ресурсов. Сведения о выданном квалифицированном сертификате направляются в Единую систему идентификации и аутентификации (ЕСИА). На этом процедура заканчивается.
Но в УЦ «Калуга Астрал» мне довольно агрессивно сообщили, что в части 2 статьи 18 закона № 63-ФЗ указаны обязательные документы, перечень документов, необходимый для выпуска электронной подписи, является открытым, и УЦ по своему усмотрению имеет право запрашивать дополнительные документы (такие, как фотография с паспортом). Весьма интересное понимание норм закона, а точнее явное его нарушение.
Мой вопрос о правомерности в таком случае запроса УЦ, например, справок из псих- и нарко- диспансеров, сведения о номере платежной карты с CVV2 и прочих документов был просто проигнорирован.
Особенно умилило такое обоснование возможности истребования селфи, как наличие лицензии ФСТЭК РФ на деятельность по разработке и (или) производству средств защиты конфиденциальной информации. Здесь сделаем паузу для осознания такой интересной идеи.Аргумент о необходимости представления селфи весьма интересный, он изложен в разъяснении на сайте партнера УЦ, ссылка на который дана выше: «в связи с участившимися случаями мошенничества при выдаче электронных подписей и для минимизации рисков сотрудников УЦ и Партнёров». Основанием для таких действий компания считает (внимание!) предложение Минкомсвязи о дополнении Уголовного кодекса статьёй, устанавливающей уголовную ответственность за умышленное нарушение обязанностей, предусмотренных законодательством в области электронной подписи, в частности, введением в УК РФ новой статьи 200.6 «Умышленное нарушение обязанностей, предусмотренных законодательством Российской Федерации в области электронной подписи». Законопроект такой есть, (совсем не там, куда ведет ссылка в публикации), но касается он, в основном, закона 63-ФЗ, в том числе в части уточнения порядка идентификации заявителя ( и про селфи там, естественно, нет ни слова), а уголовная ответственность предусматривается для должностных лиц аккредитованного удостоверяющего центра и должностных лиц доверенного лица аккредитованного УЦ за умышленное нарушение порядка выдачи (вручения) квалифицированного сертификата ключа проверки электронной подписи.
То есть, мы не хотим попасть под уголовку, поэтому будем нарушать ваши права, незаконно требовать документы, несущие для вас реальную угрозу. Железная логика.
Между тем, законопроект не только не принят, но даже и не внесен в Думу и застрял на этапе размещения на портале https://regulation.gov.ru/, не дойдя даже до этапа оценки регулирующего воздействия. Да и не имеет это значения в данном случае, он все равно не про селфи.
 Те, кому требуется электронная подпись, смогут выбрать другой УЦ, в который не требуется отправлять селфи с паспортом и подвергать себя ненужным рискам.
Выход с идентификацией есть очень простой – использование ЕСИА. Для биометрической идентификации клиентов банка ее решили практически мгновенно. Были бы воля и желание. И закон нарушать не придется.
P.S. На запрос о перечне документов нам прислали, в том числе, и фото дамы с паспортом и заявлением в руках в качестве образца селфи. Так что шлите селфи в астрал…

17 мая 2019 г.

Доставленный вам спам готовы блокировать за ваши деньги


Получили СМС-сообщение из объединенного колл-центра колоний и спецпоселений с сообщением об «открытии Карты Банка № 1» (так в тексте). В сообщении – все как обычно и как положено: картинка с логотипом банка № 1, фото здания головного офиса и адресом его сайта, линк на липовый домен где-то в США с использованием сочетания krt (ну, ясен пень, карту же открывают!), линк ведет, как и положено, совсем на другой адрес… Сообщение обычное, не первое, и, к сожалению, наверняка не последнее. Но сегодня я не о фишинге.
Наш добрый Андроид тут же сделал подкупающее предложение заблокировать и сообщить о спаме, при этом номер телефона и сообщения будут отправлены в Google, и, возможно, нашему сотовому оператору, при этом может взиматься дополнительная плата, обозначенная величиной %1$s. Заманчиво.
Операционка (или приложение?) знают, что доставили спам, и предлагают за неназванные деньги, которые непонятным способом должен получить Google, с этим спамом лениво побороться за наш же счет.
Как-то уж совсем не кошерно получается.
Параллельно наш телеком-оператор предлагает в смс ту же услугу антиспама за 4 рубля в день, хотя на сайте написано, что с октября 2014 года это делается бесплатно.
В общем, грустная история. «Мы будет пропускать спам, блокировать его за ваши деньги, хотя знаем, что это рассылки незаконные».
И как обычно, спасение утопающих…, люди, будьте бдительны, и все такое.

25 апреля 2019 г.

Чем гриф «Коммерческая тайна» похож на кролика в шляпе фокусника


Готовили мы очередной обзор правоприменения законодательства о коммерческой тайне и ноу-хау для нашего заказчика и наткнулись на подтверждение наших опасений с связи с изменением с 1 октября 2014 года порядка обеспечения конфиденциальности секретов производства их обладателем.
Пять лет назад я писал в своем блоге о том, что законодатели, внося очередную порцию изменений в четвертую часть Гражданского кодекса, для защиты секретов производства предложили обладателю исключительного права на такие секреты принимать разумные меры для соблюдения конфиденциальности, в том числе путем введения режима коммерческой тайны. То есть режим коммерческой тайны в отношении ноу-хау перестал быть обязательным, но какой объем и состав мер является разумным неизвестно до сих пор. Это приводит к ожидаемым коллизиям при разрешении в судах споров, связанных с секретами производства.
Суд по интеллектуальным правам рассмотрел в кассации два очень похожих дела с интервалом в год составом, в котором совпадают двое судей из трех.
Дело 1. В октябре 2017 года ООО «Галс» пытался оспорить предписание УФАС Новосибирской области о прекращении нарушения антимонопольного законодательства. Нарушение заключалось, по мнению антимонопольного органа, в использовании информации, составляющей коммерческую тайну (ИКТ) и секреты производства обратившихся в УФАС с жалобой ООО «Рельеф Плюс» и ООО «Перевал», создании и реализации продукции, сходной до степени смешения с продукцией заявителей.
История для нашей страны довольно банальная. Нанятый руководитель ООО «Рельеф Плюс» через какое-то время уволилась с работы, прихватила с собой ведущих специалистов двух аффилированных компаний и очень быстро наладила производство продукции, аналогичной (по мнению заявителей и судов – тождественной) той, которые выпускались на предприятии, которым бывший директор руководила.
Пострадавшие посчитали, что для этого незаконно использовались секреты производства, охраняемые ими в режиме коммерческой тайны. Истец же утверждал, что меры, предусмотренные законом, для установления режима коммерческой тайны, в полном объеме реализованы не были, в частности, на технологической документации отсутствовал гриф «Коммерческая тайна» с указанием правообладателя.
Суд с этим не согласился, использовав для обоснования своей позиции довольно интересную аргументацию: «довод кассационной жалобы об отсутствии соответствующего грифа на материальных носителях, содержащих сведения, составляющие коммерческую тайну, не может сам по себе являться основанием для признания необоснованными выводов судов об отнесении рассматриваемой по настоящему делу информации к разряду коммерческой тайны, поскольку в силу части 5 статьи 10 Закона о коммерческой тайне меры по охране конфиденциальности информации признаются разумно достаточными, если исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя, либо обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны». 
Неожиданный вывод. Часть 5 касается исключительно состава мер по охране конфиденциальности. А вот часть 2 той же статьи закрепляет, что режим коммерческой тайны считается установленным после принятия обладателем информации, составляющей коммерческую тайну, мер, указанных в части 1 данной статьи. А там как раз нанесение грифа на носители. Не исследовал суд и других аспектов установления коммерческой тайны – состав и содержание мер, направленных на ограничение доступа к информации, составляющей коммерческую тайну, установление порядка обращения с этой информацией и организацию контроля за соблюдением такого порядка, наличие договора между ООО «Рельеф Плюс» и ООО «Перевал» на предоставление ИКТ и ноу-хау, ведение учета лиц, получивших доступ к ИКТ, наличие договора с генеральным директором, устанавливающего обязанности по обеспечению охраны конфиденциальности ИКТ, обладателем которой являются организация и ее контрагенты, и ответственность за обеспечение охраны конфиденциальности этой информации.
Общий вывод по Делу 1: Использование грифа «Коммерческая тайна» на документах, содержащих соответствующую информацию, необязательно, как и полнота реализации мер по установлению режима коммерческой тайны, установленных законом.
Дело 2. Через год, как я уже писал выше, суд, в состав которого входили двое из трех судей, принявших первое рассматриваемое решение, разрешал в кассации спор между ООО «КРОНВЕТ» (далее – Общество) и ФГБНУ Федеральный научный центр «Всероссийский научно-исследовательский и технологический институт птицеводства» Российской Академии Наук (ВНИИТИП).
ООО «КРОНВЕРК» заказал разработку технологии для производства вакцины против инфекционного бронхита кур, а ВНИИТИП, который технологию и разрабатывал, передал ее для производства ФКП «Щелковский биокомбинат» на основании возмездного лицензионного договора. Истец просил запретить использовать секрет производства и взыскать с ответчика убытки в виде упущенной выгоды.
Мирно конфликт разрешить не удалось, ВНИИТИП отказался выполнить полученные требования Общества. Иски в Арбитражный суд Санкт-Петербурга и Ленинградской области и Тринадцатый арбитражный апелляционный суд были оставлены без удовлетворения. Суды сделали вывод о том, что секрет производства создан совместно работниками истца и ответчика, поэтому использование его последним не является нарушением прав истца. Выяснилось, что работники Общества, готовившие ТЗ на технологию, одновременно оказались и работниками ВНИИТИП, ее разрабатывающими. О статье 771 ГК РФ, обязывающей исполнителя научно-исследовательских работ, опытно-конструкторских и технологических работ, обеспечить конфиденциальность полученных результатов, суды почему-то не вспомнили.
В доказательство своих прав на ноу-хау ООО «КРОНВЕТ» представил регистрационное удостоверение лекарственного препарата для ветеринарного применения, выписку из согласованных с Россельхознадзором Технических условиях с описанием секрета производства и Положение Общества о коммерческой тайне.
В отношении секрета производства судами был сделан вывод о том, истцом не были созданы необходимые условия для соблюдения режима коммерческой тайны ввиду невыполнения им всех положений статьи 10 Закона о коммерческой тайне, что является самостоятельным основанием для отказа в иске. В обоснование этой позиции Суд по интеллектуальным правам сослался на пункт 57 Постановления Пленума Верховного Суда и Высшего Арбитражного Суда от 26.03.2009 № 5/29 «О некоторых вопросах, возникших в связи с введением в действие части четвертой Гражданского кодекса Российской Федерации» и процитировал недействующее к тому времени уже 4 года определение секрета производства, содержащее императивную норму «в отношении которых обладателем таких сведений введен режим коммерческой тайны». За прошедший с прошлого дела год судьи напрочь забыли используемую в материалах дела действующую. формулировку ГК «обладатель таких сведений принимает разумные меры для соблюдения их конфиденциальности, в том числе путем введения режима коммерческой тайны».
Только хардкор, только коммерческая тайна, и точка!
По мнению судов, истцом в нарушении вышеуказанных норм права не были выполнены следующие меры по охране конфиденциальности информации, а именно: (следим за рукой, кладущей платочек в пустую шляпу и извлекающую из него кролика) грифом «Коммерческая тайна» маркировано только служебное задание на выполнение опытно-технологических работ. Анализа иных мер по охране ИКТ в материалах дела нет.
Доводы заявителя кассационной жалобы о том, что Технические условия, содержащие описание секрета производства (технологию производства вакцины) были оформлены в соответствии с Законом о коммерческой тайне, а также что суды не применили подлежащую применению норму статьи 10 Закона о коммерческой тайне, суды проигнорировали.
Постойте, а как же необязательность грифа при наличии разумных и достаточных мер для соблюдения конфиденциальности, о чем пришли к выводу те же судьи год назад? А никак.
Самое грустное, что документы на передачу технологии по лицензионному договору подписывали работники ВНИИТИП, которые одновременно были и работниками ООО «КРОНВЕТ».
Общий вывод по Делу 2: Нет грифа – нет исключительных прав на секрет производства.
Мне одному показалось, что участие в деле государственного органа и даже государственного учреждения сильно влияет на позицию судей?
В заключение выпишем рецепт. К судам надо готовиться, изучать практику правоприменения, аналогичные дела и заручиться заключением специалиста или эксперта по предмету спора. Иначе убеждать судей в своей правоте довольно сложно.

4 марта 2019 г.

19 марта: Резервное копирование и восстановление данных в организациях, поднадзорных Банку России


19 марта пройдет вебинар, уникальный по своему контенту, на котором будут рассматриваться непростые вопросы резервного копирования и восстановления данных в организациях, контроль и надзор за которыми осуществляет Банк России.
Вебинар ориентирован на представителей банков и микрофинансовых организаций, страховых компаний, негосударственных пенсионных фондов и управляющих компаний различных фондов, акционерных обществ и эмитентов ценных бумаг, кредитных кооперативов, рейтинговых агентств и ломбардов, и не только.
Никто не уделяет так много внимания вопросам резервного копирования информации и ее восстановления, как Банк России. Учитывая, что полномочия банка России по нормативному регулированию, осуществлению контрольной и надзорной деятельности весьма широки, а возможные наказания за невыполнение установленных требований очень серьезны, организациям, находящимся в зоне влияния Банка России, в первую очередь, необходимо качественно и в соответствии с установленными требованиями решать вопросы обеспечения непрерывности и восстановления деятельности, в том числе связанные с восстановлением данных в случае их уничтожения, несанкционированной модификации, вредоносного воздействия. А таких организаций очень много.
Ситуация осложняется тем, что многие такие организации в соответствии с принятыми законами относятся к субъектам критической информационной инфраструктуры, невыполнение требований информационной безопасности на которых влечет ответственность вплоть до уголовной.
На вебинаре выступит Михаил Емельянников, один из ведущих российских экспертов по информационной безопасности и государственного регулирования вопросов защиты информации ограниченного доступа, постоянный консультант транснациональных, иностранных и российских компаний по вопросам соответствия бизнеса законодательству Российской Федерации, автор многочисленных публикаций по наиболее острым проблемам применения законодательства в ведущих специализированных изданиях.
В выступлении М. Емельянникова будут рассмотрены положения законодательства, требования Банка России, ФСТЭК России, направленные на организацию резервного копирования и восстановления данных, предусмотренная законодательством РФ ответственность за их невыполнение. Участники вебинара получат исчерпывающую информацию о функциональных возможностях продуктов Veeam, обеспечивающих выполнение установленных законодательством требований. 
Вебинар организован компанией Veeam и пройдет 19.03.2019, 11:00-13:00.
Для участия в вебинаре необходима предварительная регистрация.

28 февраля 2019 г.

Жизнь субъекта персональных данных в новом цифровом доме из Сколково


В понедельник РБК сообщил о новой инициативе АНО «Цифровая экономика» (далее – АНО ЦЭ для краткости) – внести изменения в ряд законов с целью облегчения доступа к сведениям, составляющим банковскую, налоговую, врачебную тайну и тайну связи. Цитировать и приводить сведения о проекте буду по публикации РБК, поскольку на сайте АНО ЦЭ найти ничего не удалось (кстати, удивительно недружелюбный интерфейс организации, которая должна определять, как жить в цифровом мире). 
Естественно, нововведения необходимы «для развития современных технологий», а вы думали, зачем? Как технологиям без тайн граждан дальше развиваться-то? В прошлом году я комментировал другую инициативу, фонда «Сколково», в соответствии с которой один раз выпустив персональные данные из рук дав согласие на обработку персональных данных, субъект полностью теряет над ними контроль, а сами данные переводятся в категорию рыночного товара, спекулировать которым может кто угодно.
Новая инициатива АНО ЦЭ делает этот товар гораздо более привлекательным, с секретами, нижним бельем и местами расположения скелетов в шкафах дома субъекта. Обоснование – как всегда в таких проектах, на грани фола. «Эксперты предлагают разрешить банкам передавать третьим лицам сведения о своих клиентах с их согласия. Сейчас такой возможности у кредитных организаций нет, даже если это в интересах самих клиентов». Что ж так сразу-то – «такой возможности нет»? Клиент дал согласие на передачу иному лицу – банк передал. Тем более, что прецеденты есть. Вот, например, в письме Банка России от 29.09.2014 № 41-2-2-8/1757 за подписью И.О. директора Департамента банковского регулирования А.А. Лобанова указывается, что передача информации, составляющей банковскую тайну физического лица, третьим лицам (за исключением лиц, упомянутых в ст. 26 Федерального закона «О банках и банковской деятельности») допускается исключительно при наличии письменного согласия физического лица, что подтверждается судебной практикой (Постановление Шестого арбитражного апелляционного суда от 14.02.2013 № 06АП-41/2013 по делу № А73-12065/2012). 
Таким образом, возможность передавать банковскую тайну иным лицам с согласия субъекта в законе есть и сегодня, тем более что инициаторы законопроекта говорят, что такая передача допускается только по запросам клиентов банка. Да и письменное согласие не нужно, закон допускает для данного случая его получение в любой доказываемой форме. 
Чтобы создавать и развивать услуги связи, по мнению авторов инициативы, надо разрешить операторам связи передавать третьим лицам сведения о геолокации абонентов, их поле, возрасте, даже … «структуре расходов на услуги связи», ну, и до кучи «и другие». Например, разрешить третьим лицам осматривать почтовые отправления и просматривать передаваемые по сетям связи сообщения.

Данные о налогах физлиц надо разрешить размещать не только в личных кабинетах налогоплательщиков на сайте ФНС, но и на портале госуслуг. Вообще-то портал создавался как интерфейс для доступа к сведениям различных ведомств, зачем дублировать базу данных, если через портал можно зайти в личный кабинет на сайте налоговой службы, совершенно не понятно. Объяснение авторов стандартное – пользователю будет удобнее. 
Ну, и, наконец, создателям сервисов телемедицины не обойтись без доступа к врачебной тайне пациентов. Никаких упоминаний об обязательном для таких случаев обезличивании в публикации нет. Зато обоснование заслуживает полного цитирования: «Если происходит утечка, то ответственным остается должностное лицо. Но оно может уволиться, утратить доступ к информации, то есть перестать быть ответственным. Организации, предоставляющие телемедицинские либо специализированные услуги (например, связанные с диагностикой заболеваний), вынуждены нести дополнительные расходы, оплачивая такую ответственность отдельным сотрудникам». Что, правда оплачивают? Серьезно? И далее: «ответственность за защиту информации сегодня больше связана с инфраструктурой информационной безопасности, чем с компетенциями отдельных людей, и потому вполне логично передать ответственность организации». А как это связано с доступом к врачебной тайне третьих лиц в случаях, не установленных частью 4 статьи 13 ФЗ «Об основах охраны здоровья граждан в РФ»?
В целом идея закона совершенно понятна, и никакие слова-маскировки ее не спрячут: нефть 21 века (так теперь любят в выступлениях называть персональные данные) дорога и дорожает, возможности торговать ею надо расширить, и бизнесу будет дан новый толчок. Заживем, одним словом.
Для принятия этих законопроектов необходимо внести изменения в Конституцию, гарантирующую неприкосновенность частной жизни, право на личную и семейную тайну и получение доступа к тайне связи только по решению суда.
А пока посмотрим, как примерно будет выглядеть цифровой дом, который строят в Сколково с использованием подобных законопроектов.
«Доброе утро. Пора на работу. С вами говорит Единый цифровой информатор. Напоминаем, что сегодня день начисления заработной платы на вашу платежную карту. Ожидаемый размер начисления – 67 007 рублей 18 копеек, остаток средств на карте на 09.00 вчерашнего дня - 34 317 рублей 23 копейки. Напоминаем вам, что до 1 апреля вам необходимо оплатить налоги на недвижимость и транспортное средство в размере 65 324 рубля 89 копеек.
Анализ вашей деятельности за последние сутки. Кредит на проведение ремонта дачи, проект заявления на который вами подготовлен и хранится в папке «Личное» облачного диска, одобрен не будет ввиду того, что ваш кредитный рейтинг по данным БКИ «Займи много» составляет 0,6754349 из-за задержки очередного платежа по потребительскому кредиту Быттехник-банка на срок 18 суток в декабре 2012 года. Вы зря потратили время на просмотр страниц туристических агентств о турах в Италию. Ваш социальный рейтинг составляет на сегодня 0,456898, вам может быть одобрен тур только на территорию России восточнее Урала. Ваш вчерашний визит в медицинский центр «Здоровье – наше все», находящийся по адресу ул. Открытая, дом 13, также был бесполезен, так как ваша платежеспособность не позволит получить долгосрочное лечение по установленному диагнозу в данном центре. Однако клиника «Лечим сами» проанализировала результаты ваших анализов и предлагает месячный курс лечения высокоэффективными БАДами стоимостью 18 350 рублей. Целесообразность лечения подтверждена частнопрактикующим доктором Опонопко И.И. Закупка одобрена Единым цифровым информатором и оплачена с вашей карты, БАДы будут доставлены в ближайшую субботу по адресу жительства с 05.00 до 23.30. Просим не покидать жилище до приезда курьера.
Анализ потребительских желаний. В связи с наступлением весеннего сезона обращаем ваше внимание, что срок рекомендуемого использования демисезонных туфель, купленных вами 12.02.2017, в связи с использованием в климатической зоне «Москва» химических реагентов сверх допустимой нормы концентрации, истек. Одобрена и оплачена покупка новых полуботинок коричневого цвета производства ООО «Рособувь» арт. РО23869/8765-ИИ-7865400. Обувь будет доставлена завтра в торгомат по адресу… Код доступа… Срок получения – 1 сутки. Напоминаем вам, что в случае, если товар не будет вами своевременно получен, его стоимость не возвращается. Истек предельный срок эксплуатации беспроводного робота-пылесоса, установленный его производителем. Ввиду недостаточности средств на вашем счете одобрена и оплачена покупка в кредит на один год проводного пылесоса производства ООО «Сосем все». Для его получения вам необходимо обратиться в ближайший магазин «Цифромощь» (список магазинов на сайте торговой сети).
Вами изменены предпочтения посещения сайтов сети Интернет. За прошедший месяц зафиксированы посещения сайтов онлайн-игр общей продолжительностью 36 часов 23 минут 16 секунд и сайтов интим-развлечений общей продолжительностью 5 часов 03 минут 54 секунды. Ваш тарифный план оператором связи изменен на план «Играй с девушками» с 00 часов 27 февраля.
Остаток средств на вашем счете на 09.00 сегодня – минус 4 345,13 рубля. Задолженность будет погашена автоматически при поступлении на счет заработной платы. Пени за использование вами денежных средств Единого цифрового информатора составляет составят 43 рубля 45 копеек.
За прошедшие сутки Быттехник-банк, которому вы дали согласие на обработку ваших персональных данных 15.07.2008, при получении кредита, передал ваши данные 759 организациям на территории России и 43 организациям за рубежом. С полным списком организаций, которым переданы ваши персональные данные, вы можете ознакомиться в личном кабинете на сайте банка. Хорошего вам дня!»
Добро пожаловать в новый дивный мир цифровой экономики.

18 февраля 2019 г.

Правительство определило правила контроля и надзора за соответствием обработки персональных данных требованиям законодательства


После пяти попыток и трех с половиной лет Постановлением Правительства РФ от 13.02.2019 № 146 утверждены «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных», которые 15 февраля опубликованы на Официальном интернет-портале правовой информации.
С проектами произошел просто какой-то казус. Предыдущий проект был «завернут» при регистрации Минюстом из-за отсутствия в названии «государственный контроль и надзор» слова «федеральный», которое используется в том случае, если правила контроля и надзора определяют президент или правительство. Именно с этим словом проект висит до сих пор на официальном сайте раскрытия информации о подготовке нормативных правовых актов. А документ вышел без него. И Положение превратилось в Правила. Но не в названии суть.
Я не буду сравнивать пять версий документа и анализировать, что и когда менялось, смысла нет. Самое важное – чем Правила отличаются от действующего Административного регламента Роскомнадзора, и что в них нового.
В Правилах четко и однозначно указано, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона «О персональных данных». Поэтому никаких экспертов и экспертных организаций при Роскомнадзоре для «обследования и определения уровня защищенности негосударственных информационных систем персональных данных», о которых я писал четыре года назад. Они в правилах вообще не упоминаются.
Контроль и надзор осуществляется все-таки за соблюдением закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, как написано в части 1.1 статьи 23 закона, а не законодательства Российской Федерации в области персональных данных, как написано в части 1 той же статьи. Почувствуйте разницу. Снова придется возвращаться к вопросу о полномочиях по контролю и надзору за соблюдением требований главы 14 Трудового кодекса.
К плановым и внеплановым проверкам и принятием мер по пресечению и (или) устранению последствий выявленных нарушений добавились две новые формы надзорных мероприятий: контроль без взаимодействия с операторами (который в планах деятельности территориальных управлений Роскомнадзора называется «мероприятиями систематического наблюдения») и профилактика нарушений. Систематическое наблюдение ведется года так с 2015, но нормативно не регулировалось, а вот профилактики не было совсем.
Закреплена сложившая практика определения проверок не в планах проверок, а в планах деятельности территориальных органов. Разница колоссальная: планы проверок согласовываются с прокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет, изменения вносятся приказом надзорного органа легко и просто. Посмотрите, например, здесь. Год только начался, а в план внесены изменения уже 13-ю приказами.
Допустимая периодичность плановых проверок в отношении оператора по-прежнему составляет 3 года, но появились исключения, когда проверка может проводиться раз в два года: операторов ИСПДн, являющихся ГИСами; обрабатывающих спецкатегории и биометрию; осуществляющих трансграничную передачу персданных в государства, не обеспечивающие адекватную защиту прав субъектов персональных данных (вниманию дочек американских, японских, китайских компаний и пользователей дешевой инфраструктуры в Бангалоре); и, наконец, обрабатывающих персональные данные по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации (вниманию представительств и филиалов иностранных компаний, не образующих в России юрлиц). Как эти иностранные органы и лица могут быть зарегистрированы в России, я не знаю.
Из принципиально нового. Все-таки появилось такое основание внеплановых проверок (только выездных), как обращения граждан при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора, определенных статьями 14-17 закона «О персональных данных», чего надзорный орган добивался давно, и что далеко выходит за пределы закона 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Появилось и еще одно новое основание для внеплановых проверок – нарушение, выявленное в ходе мероприятия систематического наблюдения.
Таким образом, ситуация меняется радикально – внеплановые проверки, которых было очень мало ввиду жестких ограничений закона и Административного регламента, могут стать основным видом надзорной деятельности. Сдерживающим фактором может стать необходимость согласования проверок по новым основаниям с прокуратурой. Посмотрим.
Наконец-то вслед за законом, в котором изменения были сделаны в 2016 году, исправлена совершенно удивительная формулировка Административного регламента об уведомлении о плановых проверках («не позднее, чем в течение 3 рабочих дней до начала ее проведения»): теперь это надо делать не позднее чем за 3 рабочих дня до даты начала ее проведения. Уведомить о проверке теперь официально можно по электронной почте, что давно делается на практике, а также «иным доступным способом».
Срок проведения внеплановой проверки сокращен до 10 рабочих дней, но может быть продлен на такой же период.
Установлены основания для продления сроков плановых и внеплановых проверок. Их четыре:
·         получение в ходе проведения проверки от правоохранительных органов, органов прокуратуры, из иных источников документов, свидетельствующих о нарушении оператором требований;
·         обстоятельства непреодолимой силы (затопление, наводнение, пожар и тому подобное) на территории, где проводится проверка;
·         непредставление оператором в ходе проведения проверки необходимых документов;
·         выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки
персональных данных.
Последнее основание применимо к деятельности любой большой компании, но продление сроков проверки, во всяком случае, в ЦФО, давно стало обыденным делом.
Еще из нового. Теперь применять принадлежащую Роскомнадзору технику и оборудование можно только в ходе мероприятий систематического наблюдения.
Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований, надзорный орган может только в установленном законодательством Российской Федерации порядке. Что это за порядок – загадка, как 12 лет назад, когда закон вступил в силу.
Протоколы об административном правонарушении теперь можно составлять по материалам систематического наблюдения, так что оператор сможет о привлечении к ответственности узнать, только получив повестку в суд.
Однозначно зафиксировано, что запрос о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в надзорный орган, не является документарной проверкой.
Срок представления материалов для документарной проверки сокращен с 10 до 5 дней, если они представляются в электронной форме, то должны быть подписаны усиленной квалифицированной электронной подписью. Как ее может проверить надзорный орган, по-прежнему неясно.
Если документы, в том числе дополнительно запрашиваемые (для их представления отводится теперь всего 3 дня, а не 10, как в действующем Административном регламенте), не предоставляются оператором в надзорный орган в установленный срок, документарная проверка может, как и ранее, превратиться в выездную.
Назначить выездную проверку физлица, не являющегося индивидуальным предпринимателем (например, нотариуса), нельзя совсем.
Остальным проверяемым лицам на предоставление запрашиваемых при выездной проверке документов отводится не менее 2-х дней. Нынешний перечень запрашиваемых документов занимает 6 листов. То есть 6 листов только наименований документов, которые надо предоставить за два дня! Один из операторов, проверку которого мы сопровождали, подготовил и передал больше 400 документов. 
В Правилах прямо установлено, что в случае действий (бездействия) оператора, препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки и подробно расписывается сценарий действий при таком воспрепятствовании.
Ну, и, наконец, что в Правилах так и не появилось, хотя этого очень ждали:
·         риск-ориентированный подход при определении операторов, у которых планируется проверка;
·         использование проверочных листов (списков контрольных вопросов), предусмотренных законом 294-ФЗ, который с 1 сентября 2015 года не регламентирует проверки соблюдения законодательства о персональных данных;
·         сроки оформления актов проверок после их окончания;
·         основания и порядок признания проверок недействительными (статья 20 закона 294-ФЗ).
Ждем теперь изменения Административного регламента.

23 января 2019 г.

Суд проигнорировал позицию Конституционного суда или не знал о ней?


Непрецедентность российского права заходит достаточно далеко: постановление Конституционного суда фактически игнорируется районным и городским судами.
26 октября 2017 года Конституционный суд Российской Федерации принял крайне важное Постановление № 25-П по делу о проверке конституционности пункта 5 статьи 2 Федерального закона «Об информации, информационных технологиях и о защите информации» в связи с жалобой гражданина А.И. Сушкова.

Сушков, начальник департамента по договорно-правовой работе ЗАО «Стройтрансгаз», был уличен в отправке на свой почтовый ящик в сервисе Mail.ru документов, относящихся, как написано в постановлении КС РФ к служебной (конфиденциальной) информации, а также персональных данных работников ЗАО, которая была расценена работодателем как разглашение охраняемой законом тайны. Юрист-руководитель был уволен по основаниям, предусмотренным подпунктом «в» пункта 6 части 1 статьи 81 Трудового кодекса, предусматривающего возможность расторжения трудового договора работодателем в случае однократного грубого нарушения работником трудовых обязанностей, выразившегося в разглашении им охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей ему известной в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника.
Попытки Сушкова оспорить увольнение в судах оказались безуспешными – Савеловский районный суд г. Москвы и судебная коллегия по гражданским делам Московского городского суда согласились с аргументами работодателя и не удовлетворили требования уволенного работника, а затем Московский городской суд и Верховный суд отказали ему в приеме на рассмотрение кассационной жалобы. Сушков считал, что передача информации с корпоративного адреса электронной почты на личный адрес не может рассматриваться как разглашение охраняемой законом тайны. Суды же полагали обратное. Аргументация, принятая судами, известна давно, и такие увольнения были к этому времени не единичны, в картотеке нашего агентства самое раннее такое дело датируется 2010 годом, когда Московский областной суд отказал в удовлетворении кассационной жалобы уволенной работницы ОАО «АРКТЕЛ» на решение Химкинского городского суда Московской области, признавшего увольнение по идентичным обстоятельствам правомерным.   
Позиция работодателей и судов основывалась на определении обладателя информации в статье 2 Федерального закона № 149-ФЗ и положениях Пользовательского соглашения почтового сервиса. Обладатель информации определяется как лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам, в Пользовательском соглашении указывается, что владелец сервиса вправе по своему собственному усмотрению изменять (модерировать) или удалять любую публикуемую Пользователем информацию, в том числе информацию и материалы, нарушающие установленные запреты, включая личные сообщения и комментарии, приостанавливать, ограничивать или прекращать доступ к любым Сервисам Mail.Ru в любое время по любой причине или без объяснения причин.
Договор, содержащий право разрешать или запрещать доступ к информации есть, это Пользовательское соглашение, значит, обладателем информации после отправки письма становится владелец почтового сервиса, и информация ему разглашена.
Определения того, что такое разглашение информации, в «трехглавом» законе нет, но оно есть, например, в законе «О коммерческой тайне»: «действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору». Так что все вроде бы просто.
Не добившийся удовлетворения своих требований в судах Сушков обратился в Конституционный суд с жалобой на нарушение его конституционных прав, гарантированных статьями 19 (часть 1), 23 (часть 2) и 55 (часть 3) Конституции Российской Федерации, определением обладателя информации в «трехглавом» законе, которое влечет возможность привлечения работника, воспользовавшегося услугами владельца почтового сервиса, к дисциплинарной ответственности за разглашение охраняемой законом тайны.
Суд с неконституционностью определения не согласился, но сделал несколько очень важных заключений:
·    само по себе наличие у конкретного лица доступа к информации не означает, что данное лицо становится ее обладателем по смыслу Федерального закона «Об информации, информационных технологиях и о защите информации», то есть что оно вправе совершать в отношении этой информации действия, являющиеся прерогативой обладателя информации;
· условия пользовательского соглашения не могут трактоваться как предоставляющие правообладателю интернет-сервиса право самостоятельно – и тем самым в нарушение статьи 23 (часть 2) Конституции Российской Федерации – разрешать или ограничивать доступ к информации, содержащейся в передаваемых с его помощью электронных сообщениях;
· владелец публичного почтового сервиса обязан соблюдать тайну связи; дословно: «отсутствие в федеральном законодательстве прямого указания на обязанность именно правообладателя интернет-сервиса, посредством которого осуществляется отправка и получение электронных сообщений, обеспечивать тайну связи не может рассматриваться как свидетельство отсутствия у него такой обязанности».
На основании этих выводов Конституционный суд постановил, что правоприменительные решения по делу гражданина Сушкова А.И. подлежат пересмотру с учетом выявленного в Постановлении конституционно-правового смысла пункта 5 статьи 2 Федерального закона «Об информации, информационных технологиях и о защите информации».
Прямо этого в Постановлении не написано, но отсутствие статуса обладателя информации у владельца почтового сервиса и его обязанность соблюдать тайну связи ставит под сомнение факт разглашения информации отправителем электронного письма. Однако, это и не освобождает его от дисциплинарной ответственности, поскольку такая отправка позволяет рассматривать как нарушение прав и законных интересов обладателя информации действия гражданина, осуществившего – вопреки установленному правовыми, в том числе локальными, актами (с которыми гражданин был ознакомлен) и (или) договорами запрету – передачу информации с адреса электронной почты, контролируемой обладателем информации, на свой (личный) адрес электронной почты, если обладатель информации принял все необходимые меры, исключающие несанкционированный доступ к этой информации третьих лиц, поскольку такая отправка нарушает законные права и интересы обладателя охраняемой информации, который в результате не может в полной мере определять условия и порядок доступа к ней в дальнейшем, то есть осуществлять прерогативы обладателя информации.
Таким образом, уволить за однократное грубое нарушение в этом случае нельзя, поскольку условие расторжения трудового договора – именно разглашение и его надо доказать, а вот привлечь к иной дисциплинарной ответственности не только можно, но и нужно.
Тем не менее Тушинский районный суд города Москвы 17 апреля 2018 года и Судебная коллегия по гражданским делам Московского городского суда в апелляционном определении 18 сентября 2018 года отказали в удовлетворении иска уволенной при полностью аналогичных описанным выше обстоятельствах работнице ООО «Системный софт» за отправку на свой почтовый ящик в gmail.com файла с данными клиентов для обзвона и скриптом для соответствующего телефонного диалога, с которыми она, как написано в письменных объяснениях, хотела поработать дома. Суд согласился, что отправленные файлы содержат информацию, составляющую коммерческую тайну работодателя.
В судебных решениях первой и второй инстанции не анализируется полнота принятия работодателем мер, предусмотренных статьей 10 закона «О коммерческой тайне», для установления режима коммерческой тайны. Так, в материалах судов отсутствуют сведения о том, был ли проставлен гриф «Коммерческая тайна» с указанием ее обладателя и его адреса в соответствующих электронных документах. Более того, как видно из аргументов ответчика, включенных в судебные акты, нанесение такого грифа локальными актами работодателя вообще не предусматривалось, а использовался гриф «Конфиденциально». Вместо регулирования отношений, связанных с коммерческой тайной, трудовым договором, как это предусмотрено пунктом 4 части 1 статьи 10 ФЗ «О коммерческой тайне», с уволенной работницей было подписано некое «Соглашение о конфиденциальной информации», юридический статус которого не ясен.
Кроме того, суды посчитали факт отправки на почтовый ящик gmail.com передачей коммерческой тайны третьему лицу – корпорации Google, причем вывод, как в и в деле Сушкова, сделан на основании анализа пользовательского соглашения.
Постановление Конституционного суда, которое рассматривалось в первой части поста, к этому времени было опубликовано, и в нем Конституционный суд не соглашался с позицией именно судебной коллегии Мосгорсуда. В судебных материалах позиция Конституционного суда даже не упоминается.
Не знали? Забыли? Проигнорировали?