28 февраля 2019 г.

Жизнь субъекта персональных данных в новом цифровом доме из Сколково


В понедельник РБК сообщил о новой инициативе АНО «Цифровая экономика» (далее – АНО ЦЭ для краткости) – внести изменения в ряд законов с целью облегчения доступа к сведениям, составляющим банковскую, налоговую, врачебную тайну и тайну связи. Цитировать и приводить сведения о проекте буду по публикации РБК, поскольку на сайте АНО ЦЭ найти ничего не удалось (кстати, удивительно недружелюбный интерфейс организации, которая должна определять, как жить в цифровом мире). 
Естественно, нововведения необходимы «для развития современных технологий», а вы думали, зачем? Как технологиям без тайн граждан дальше развиваться-то? В прошлом году я комментировал другую инициативу, фонда «Сколково», в соответствии с которой один раз выпустив персональные данные из рук дав согласие на обработку персональных данных, субъект полностью теряет над ними контроль, а сами данные переводятся в категорию рыночного товара, спекулировать которым может кто угодно.
Новая инициатива АНО ЦЭ делает этот товар гораздо более привлекательным, с секретами, нижним бельем и местами расположения скелетов в шкафах дома субъекта. Обоснование – как всегда в таких проектах, на грани фола. «Эксперты предлагают разрешить банкам передавать третьим лицам сведения о своих клиентах с их согласия. Сейчас такой возможности у кредитных организаций нет, даже если это в интересах самих клиентов». Что ж так сразу-то – «такой возможности нет»? Клиент дал согласие на передачу иному лицу – банк передал. Тем более, что прецеденты есть. Вот, например, в письме Банка России от 29.09.2014 № 41-2-2-8/1757 за подписью И.О. директора Департамента банковского регулирования А.А. Лобанова указывается, что передача информации, составляющей банковскую тайну физического лица, третьим лицам (за исключением лиц, упомянутых в ст. 26 Федерального закона «О банках и банковской деятельности») допускается исключительно при наличии письменного согласия физического лица, что подтверждается судебной практикой (Постановление Шестого арбитражного апелляционного суда от 14.02.2013 № 06АП-41/2013 по делу № А73-12065/2012). 
Таким образом, возможность передавать банковскую тайну иным лицам с согласия субъекта в законе есть и сегодня, тем более что инициаторы законопроекта говорят, что такая передача допускается только по запросам клиентов банка. Да и письменное согласие не нужно, закон допускает для данного случая его получение в любой доказываемой форме. 
Чтобы создавать и развивать услуги связи, по мнению авторов инициативы, надо разрешить операторам связи передавать третьим лицам сведения о геолокации абонентов, их поле, возрасте, даже … «структуре расходов на услуги связи», ну, и до кучи «и другие». Например, разрешить третьим лицам осматривать почтовые отправления и просматривать передаваемые по сетям связи сообщения.

Данные о налогах физлиц надо разрешить размещать не только в личных кабинетах налогоплательщиков на сайте ФНС, но и на портале госуслуг. Вообще-то портал создавался как интерфейс для доступа к сведениям различных ведомств, зачем дублировать базу данных, если через портал можно зайти в личный кабинет на сайте налоговой службы, совершенно не понятно. Объяснение авторов стандартное – пользователю будет удобнее. 
Ну, и, наконец, создателям сервисов телемедицины не обойтись без доступа к врачебной тайне пациентов. Никаких упоминаний об обязательном для таких случаев обезличивании в публикации нет. Зато обоснование заслуживает полного цитирования: «Если происходит утечка, то ответственным остается должностное лицо. Но оно может уволиться, утратить доступ к информации, то есть перестать быть ответственным. Организации, предоставляющие телемедицинские либо специализированные услуги (например, связанные с диагностикой заболеваний), вынуждены нести дополнительные расходы, оплачивая такую ответственность отдельным сотрудникам». Что, правда оплачивают? Серьезно? И далее: «ответственность за защиту информации сегодня больше связана с инфраструктурой информационной безопасности, чем с компетенциями отдельных людей, и потому вполне логично передать ответственность организации». А как это связано с доступом к врачебной тайне третьих лиц в случаях, не установленных частью 4 статьи 13 ФЗ «Об основах охраны здоровья граждан в РФ»?
В целом идея закона совершенно понятна, и никакие слова-маскировки ее не спрячут: нефть 21 века (так теперь любят в выступлениях называть персональные данные) дорога и дорожает, возможности торговать ею надо расширить, и бизнесу будет дан новый толчок. Заживем, одним словом.
Для принятия этих законопроектов необходимо внести изменения в Конституцию, гарантирующую неприкосновенность частной жизни, право на личную и семейную тайну и получение доступа к тайне связи только по решению суда.
А пока посмотрим, как примерно будет выглядеть цифровой дом, который строят в Сколково с использованием подобных законопроектов.
«Доброе утро. Пора на работу. С вами говорит Единый цифровой информатор. Напоминаем, что сегодня день начисления заработной платы на вашу платежную карту. Ожидаемый размер начисления – 67 007 рублей 18 копеек, остаток средств на карте на 09.00 вчерашнего дня - 34 317 рублей 23 копейки. Напоминаем вам, что до 1 апреля вам необходимо оплатить налоги на недвижимость и транспортное средство в размере 65 324 рубля 89 копеек.
Анализ вашей деятельности за последние сутки. Кредит на проведение ремонта дачи, проект заявления на который вами подготовлен и хранится в папке «Личное» облачного диска, одобрен не будет ввиду того, что ваш кредитный рейтинг по данным БКИ «Займи много» составляет 0,6754349 из-за задержки очередного платежа по потребительскому кредиту Быттехник-банка на срок 18 суток в декабре 2012 года. Вы зря потратили время на просмотр страниц туристических агентств о турах в Италию. Ваш социальный рейтинг составляет на сегодня 0,456898, вам может быть одобрен тур только на территорию России восточнее Урала. Ваш вчерашний визит в медицинский центр «Здоровье – наше все», находящийся по адресу ул. Открытая, дом 13, также был бесполезен, так как ваша платежеспособность не позволит получить долгосрочное лечение по установленному диагнозу в данном центре. Однако клиника «Лечим сами» проанализировала результаты ваших анализов и предлагает месячный курс лечения высокоэффективными БАДами стоимостью 18 350 рублей. Целесообразность лечения подтверждена частнопрактикующим доктором Опонопко И.И. Закупка одобрена Единым цифровым информатором и оплачена с вашей карты, БАДы будут доставлены в ближайшую субботу по адресу жительства с 05.00 до 23.30. Просим не покидать жилище до приезда курьера.
Анализ потребительских желаний. В связи с наступлением весеннего сезона обращаем ваше внимание, что срок рекомендуемого использования демисезонных туфель, купленных вами 12.02.2017, в связи с использованием в климатической зоне «Москва» химических реагентов сверх допустимой нормы концентрации, истек. Одобрена и оплачена покупка новых полуботинок коричневого цвета производства ООО «Рособувь» арт. РО23869/8765-ИИ-7865400. Обувь будет доставлена завтра в торгомат по адресу… Код доступа… Срок получения – 1 сутки. Напоминаем вам, что в случае, если товар не будет вами своевременно получен, его стоимость не возвращается. Истек предельный срок эксплуатации беспроводного робота-пылесоса, установленный его производителем. Ввиду недостаточности средств на вашем счете одобрена и оплачена покупка в кредит на один год проводного пылесоса производства ООО «Сосем все». Для его получения вам необходимо обратиться в ближайший магазин «Цифромощь» (список магазинов на сайте торговой сети).
Вами изменены предпочтения посещения сайтов сети Интернет. За прошедший месяц зафиксированы посещения сайтов онлайн-игр общей продолжительностью 36 часов 23 минут 16 секунд и сайтов интим-развлечений общей продолжительностью 5 часов 03 минут 54 секунды. Ваш тарифный план оператором связи изменен на план «Играй с девушками» с 00 часов 27 февраля.
Остаток средств на вашем счете на 09.00 сегодня – минус 4 345,13 рубля. Задолженность будет погашена автоматически при поступлении на счет заработной платы. Пени за использование вами денежных средств Единого цифрового информатора составляет составят 43 рубля 45 копеек.
За прошедшие сутки Быттехник-банк, которому вы дали согласие на обработку ваших персональных данных 15.07.2008, при получении кредита, передал ваши данные 759 организациям на территории России и 43 организациям за рубежом. С полным списком организаций, которым переданы ваши персональные данные, вы можете ознакомиться в личном кабинете на сайте банка. Хорошего вам дня!»
Добро пожаловать в новый дивный мир цифровой экономики.

18 февраля 2019 г.

Правительство определило правила контроля и надзора за соответствием обработки персональных данных требованиям законодательства


После пяти попыток и трех с половиной лет Постановлением Правительства РФ от 13.02.2019 № 146 утверждены «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных», которые 15 февраля опубликованы на Официальном интернет-портале правовой информации.
С проектами произошел просто какой-то казус. Предыдущий проект был «завернут» при регистрации Минюстом из-за отсутствия в названии «государственный контроль и надзор» слова «федеральный», которое используется в том случае, если правила контроля и надзора определяют президент или правительство. Именно с этим словом проект висит до сих пор на официальном сайте раскрытия информации о подготовке нормативных правовых актов. А документ вышел без него. И Положение превратилось в Правила. Но не в названии суть.
Я не буду сравнивать пять версий документа и анализировать, что и когда менялось, смысла нет. Самое важное – чем Правила отличаются от действующего Административного регламента Роскомнадзора, и что в них нового.
В Правилах четко и однозначно указано, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона «О персональных данных». Поэтому никаких экспертов и экспертных организаций при Роскомнадзоре для «обследования и определения уровня защищенности негосударственных информационных систем персональных данных», о которых я писал четыре года назад. Они в правилах вообще не упоминаются.
Контроль и надзор осуществляется все-таки за соблюдением закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, как написано в части 1.1 статьи 23 закона, а не законодательства Российской Федерации в области персональных данных, как написано в части 1 той же статьи. Почувствуйте разницу. Снова придется возвращаться к вопросу о полномочиях по контролю и надзору за соблюдением требований главы 14 Трудового кодекса.
К плановым и внеплановым проверкам и принятием мер по пресечению и (или) устранению последствий выявленных нарушений добавились две новые формы надзорных мероприятий: контроль без взаимодействия с операторами (который в планах деятельности территориальных управлений Роскомнадзора называется «мероприятиями систематического наблюдения») и профилактика нарушений. Систематическое наблюдение ведется года так с 2015, но нормативно не регулировалось, а вот профилактики не было совсем.
Закреплена сложившая практика определения проверок не в планах проверок, а в планах деятельности территориальных органов. Разница колоссальная: планы проверок согласовываются с прокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет, изменения вносятся приказом надзорного органа легко и просто. Посмотрите, например, здесь. Год только начался, а в план внесены изменения уже 13-ю приказами.
Допустимая периодичность плановых проверок в отношении оператора по-прежнему составляет 3 года, но появились исключения, когда проверка может проводиться раз в два года: операторов ИСПДн, являющихся ГИСами; обрабатывающих спецкатегории и биометрию; осуществляющих трансграничную передачу персданных в государства, не обеспечивающие адекватную защиту прав субъектов персональных данных (вниманию дочек американских, японских, китайских компаний и пользователей дешевой инфраструктуры в Бангалоре); и, наконец, обрабатывающих персональные данные по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации (вниманию представительств и филиалов иностранных компаний, не образующих в России юрлиц). Как эти иностранные органы и лица могут быть зарегистрированы в России, я не знаю.
Из принципиально нового. Все-таки появилось такое основание внеплановых проверок (только выездных), как обращения граждан при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора, определенных статьями 14-17 закона «О персональных данных», чего надзорный орган добивался давно, и что далеко выходит за пределы закона 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Появилось и еще одно новое основание для внеплановых проверок – нарушение, выявленное в ходе мероприятия систематического наблюдения.
Таким образом, ситуация меняется радикально – внеплановые проверки, которых было очень мало ввиду жестких ограничений закона и Административного регламента, могут стать основным видом надзорной деятельности. Сдерживающим фактором может стать необходимость согласования проверок по новым основаниям с прокуратурой. Посмотрим.
Наконец-то вслед за законом, в котором изменения были сделаны в 2016 году, исправлена совершенно удивительная формулировка Административного регламента об уведомлении о плановых проверках («не позднее, чем в течение 3 рабочих дней до начала ее проведения»): теперь это надо делать не позднее чем за 3 рабочих дня до даты начала ее проведения. Уведомить о проверке теперь официально можно по электронной почте, что давно делается на практике, а также «иным доступным способом».
Срок проведения внеплановой проверки сокращен до 10 рабочих дней, но может быть продлен на такой же период.
Установлены основания для продления сроков плановых и внеплановых проверок. Их четыре:
·         получение в ходе проведения проверки от правоохранительных органов, органов прокуратуры, из иных источников документов, свидетельствующих о нарушении оператором требований;
·         обстоятельства непреодолимой силы (затопление, наводнение, пожар и тому подобное) на территории, где проводится проверка;
·         непредставление оператором в ходе проведения проверки необходимых документов;
·         выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки
персональных данных.
Последнее основание применимо к деятельности любой большой компании, но продление сроков проверки, во всяком случае, в ЦФО, давно стало обыденным делом.
Еще из нового. Теперь применять принадлежащую Роскомнадзору технику и оборудование можно только в ходе мероприятий систематического наблюдения.
Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований, надзорный орган может только в установленном законодательством Российской Федерации порядке. Что это за порядок – загадка, как 12 лет назад, когда закон вступил в силу.
Протоколы об административном правонарушении теперь можно составлять по материалам систематического наблюдения, так что оператор сможет о привлечении к ответственности узнать, только получив повестку в суд.
Однозначно зафиксировано, что запрос о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в надзорный орган, не является документарной проверкой.
Срок представления материалов для документарной проверки сокращен с 10 до 5 дней, если они представляются в электронной форме, то должны быть подписаны усиленной квалифицированной электронной подписью. Как ее может проверить надзорный орган, по-прежнему неясно.
Если документы, в том числе дополнительно запрашиваемые (для их представления отводится теперь всего 3 дня, а не 10, как в действующем Административном регламенте), не предоставляются оператором в надзорный орган в установленный срок, документарная проверка может, как и ранее, превратиться в выездную.
Назначить выездную проверку физлица, не являющегося индивидуальным предпринимателем (например, нотариуса), нельзя совсем.
Остальным проверяемым лицам на предоставление запрашиваемых при выездной проверке документов отводится не менее 2-х дней. Нынешний перечень запрашиваемых документов занимает 6 листов. То есть 6 листов только наименований документов, которые надо предоставить за два дня! Один из операторов, проверку которого мы сопровождали, подготовил и передал больше 400 документов. 
В Правилах прямо установлено, что в случае действий (бездействия) оператора, препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки и подробно расписывается сценарий действий при таком воспрепятствовании.
Ну, и, наконец, что в Правилах так и не появилось, хотя этого очень ждали:
·         риск-ориентированный подход при определении операторов, у которых планируется проверка;
·         использование проверочных листов (списков контрольных вопросов), предусмотренных законом 294-ФЗ, который с 1 сентября 2015 года не регламентирует проверки соблюдения законодательства о персональных данных;
·         сроки оформления актов проверок после их окончания;
·         основания и порядок признания проверок недействительными (статья 20 закона 294-ФЗ).
Ждем теперь изменения Административного регламента.