tag:blogger.com,1999:blog-71019109612452786832024-03-14T02:21:44.239+03:00Рецепты безопасности от ЕмельянниковаБлог российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.comBlogger334125tag:blogger.com,1999:blog-7101910961245278683.post-52153896840248263072023-12-29T10:57:00.001+03:002023-12-29T20:05:20.997+03:00С Новым 2024 годом!<p style="text-align: justify;"> С<span style="font-family: Arial, sans-serif; font-size: 10pt;"> наступающим 2024 годом!</span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; mso-fareast-language: EN-US;">Новых успехов в новом году! <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; mso-fareast-language: EN-US;">Новых интересных и значимых проектов, надежных
партнеров!<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; mso-fareast-language: EN-US;">Мира и согласия в ваших семьях, надежных и
понимающих друзей! <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; mso-fareast-language: EN-US;">Позитива во всем и положительных эмоций!<o:p></o:p></span></p><p class="MsoNormal"></p><div class="separator" style="clear: both; text-align: left;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEht0r2mESNnOxHlSqrQoKxyCWDqhFQerI6yeYuowCLDrY8upxAw2Jb45a324vmFJEpFCsSMVQpK2vPkYttT2SeDDy-mQEEXb3w20CewQF_Um5jM8qcq2sh4AHR9N0cJngCm3C_00jvnQfkL7BCFEl8bprAhY4HQylxwy_a8GdMkMLq51jaS-EOtyGdx/s1140/%D0%A1%20%D0%9D%D0%BE%D0%B2%D1%8B%D0%BC%202024.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="642" data-original-width="1140" height="228" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEht0r2mESNnOxHlSqrQoKxyCWDqhFQerI6yeYuowCLDrY8upxAw2Jb45a324vmFJEpFCsSMVQpK2vPkYttT2SeDDy-mQEEXb3w20CewQF_Um5jM8qcq2sh4AHR9N0cJngCm3C_00jvnQfkL7BCFEl8bprAhY4HQylxwy_a8GdMkMLq51jaS-EOtyGdx/w405-h228/%D0%A1%20%D0%9D%D0%BE%D0%B2%D1%8B%D0%BC%202024.jpg" width="405" /></a></div><br /><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; mso-fareast-language: EN-US;"><br /></span><p></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-30152378503377734062023-12-21T19:15:00.003+03:002023-12-21T19:20:28.632+03:00Персональные данные и искусственный интеллект <p><span face="Arial, sans-serif" style="font-size: 12pt;">19 декабря на портале </span><span face="Arial, sans-serif" lang="EN-US" style="font-size: 12pt;">RSpectr</span><span face="Arial, sans-serif" style="font-size: 12pt;"> опубликована статья Тимура Халудорова «</span><a href="https://rspectr.com/articles/dannye-v-nikuda"><span face=""Arial",sans-serif" style="font-size: 12pt; mso-bidi-font-style: italic;">Данные в
никуда. Как защитить конфиденциальную информацию при работе с искусственным
интеллектом</span></a><span face="Arial, sans-serif" style="font-size: 12pt;">», в которой есть и мои комментарии на тему
использования искусственного интеллекта (ИИ) для обработки персональных данных
и иной информации ограниченного доступа.</span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 12pt; mso-bidi-font-style: italic;">Для тех, кому интересно, публикую полную версию ответов, подготовленных
мною при подготовке публикации на портале. <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 14.2pt; margin-right: 0cm; margin-top: 0cm; margin: 0cm 0cm 6pt 14.2pt; mso-list: l0 level1 lfo1; text-indent: -14.2pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">1.<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Нужно ли менять подход к защите персональных данных при
использовании сотрудниками ИИ в своей работе? Что и как нужно изменить?
Возможно ограничить доступ к подобным моделям внутри своей компании или что-то
еще? Считаете ли Вы, что ИИ, собирающий чувствительную информацию в принципе
перевернет весь комплаенс в сфере персданных?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 12pt;">На сегодняшний день,
когда архитектура построения ИИ и схема взаимодействия с внешним миром, сетью
Интернет в том числе, пользователям практически неизвестны, как и возможности
ИИ передавать ChatGPT и подобным сервисам, использующим ИИ, информацию
ограниченного доступа, в том числе персональные данные, на мой взгляд, вообще
недопустимо. Совершенно неясно, как ИИ будет использовать полученные данные,
где хранить, кому передавать при решении других задач. Буквально на днях
появилось сообщение из МТИ и Калифорнийского университета, что
саморазвивающиеся модели ИИ могут создавать подсистемы ИИ без помощи и участия человека.
Что и как будут обрабатывать эти подсистемы, где это будет происходить, кто
получит результаты? Пока однозначных ответов нет, необходимо ограничить
использование ИИ для обработки конфиденциальных данных. Революции в комплаенсе
пока не предвидится. Но ограничения вводить надо.<span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 14.2pt; margin-right: 0cm; margin-top: 0cm; margin: 0cm 0cm 6pt 14.2pt; mso-list: l0 level1 lfo1; text-indent: -14.2pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">2.<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Нужно ли менять подход к организации систем
кибербезопасности к защите персональных данных при использовании сотрудниками
ИИ в своей работе. Что и как нужно изменить? Возможно ограничить доступ к
подобным моделям внутри своей компании или что-то еще? Проще говоря, как
защищать и надежно хранить персональные данные в таких условиях?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Ответ простой – не
передавать персональные данные ИИ и не хранить их в системах, использующих ИИ.
Но соблазн упростить себе жизнь очень велик, значит, надо существенно усилить
контроль за движением данных, их выходом за пределы информационных систем операторов.
Утечек и так катастрофически много, и добавление к существующим принципиально
новых групп риска требует гораздо более жесткого контроля.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 14.2pt; margin-right: 0cm; margin-top: 0cm; margin: 0cm 0cm 6pt 14.2pt; mso-list: l0 level1 lfo1; text-indent: -14.2pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">3.<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Какие регуляторные инициативы могли бы помочь в защите
сферы персданных от ИИ?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Необходимо очень четко
и конкретно определить, какие данные можно передавать для машинного обучения
ИИ. Тенденция к полному отказу от свободного оборота обезличенных данных,
которые в законе теперь именуются «персональные данные, полученные в результате
обезличивания персональных данных», представляется ошибочной. На статистике
построено огромное количество бизнес-процессов в самых разных областях –
банковском деле, страховании, медицине, фармацевтике, маркетинге, а вся
статистика строится на обезличенных данных. Предъявлять к ним более жесткие
требования, чем к данным до обезличивания – путь абсурдный. Так, в законопроекте
о поправках в закон о персональных данных, получивших среди специалистов
название «закон об обезличивании», принятом в первом чтении, предполагается
уничтожать обезличенные данные сертифицированными ФСТЭК или ФСБ средствами
защиты информации. Такие требования не выдвигаются в отношении не обезличенных
данных, за исключением биометрических.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 12pt;">В то же время до сих
пор нет ясности, а как же надо обезличивать данные, чтобы не было возможности
соотнести их с конкретным определяемым субъектом. Одна из причин этого –
отсутствие в российском законодательстве понятия анонимизации данных и отличия этих
действия от обезличивания. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Вот эти вопросы надо
решать на регуляторном уровне уже сегодня, и срочно. <span style="mso-spacerun: yes;"> </span><span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com1tag:blogger.com,1999:blog-7101910961245278683.post-44403431460266832412023-03-07T10:01:00.004+03:002023-05-11T22:35:02.603+03:0018 мая: разбираемся с нормативными актами по реформе законодательства о персональных данных<p><span face="Arial, sans-serif" style="font-size: x-small;">18 мая</span><span face="Arial, sans-serif" style="font-size: 10pt;"> в Учебном
центре «Информзащита» проведу вебинар «</span><a href="https://itsecurity.ru/catalog/kp32_2023/?utm_source=itsecurity&utm_medium=banner&utm_campaign=emeliannikov_22.03.2023" style="font-family: Arial, sans-serif; font-size: 10pt;">Изменения
в законодательстве о персональных данных в 2023 году, действия операторов</a><span face="Arial, sans-serif" style="font-size: 10pt;">» по
нормативным правовым актам, реализующим новые требования закона «О персональных
данных» (внесенные Федеральным законом от 14.07.2022 №266-ФЗ), вступившим в
силу 1 сентября 2022 года и 1 марта этого года.</span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Мы вместе проанализируем
4 постановления Правительства РФ, 5 приказов Роскомнадзора, приказ ФСБ России*.
<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Разберемся, как будут
работать новые правила трансграничной передачи и как долго придется ждать
решения по намерению передавать персональные данные за границу в новую страну
или с новыми целями, надо ли банкам подавать уведомления о передаче
персональных данных в связи с денежным переводом в страну, которая в
уведомлении ранее не указывалась, и об автоматическом обмене финансовой
информацией с компетентными органами иностранных государств. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Обсудим, когда нужен
акт об уничтожении персональных данных, как его подготовить и оформить, что
делать, когда уничтожаются данные в «чужих» системах, находящихся в
дата-центрах и облаках или используемых по схеме SaaS. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Пройдемся по алгоритму
действий в случае утечки персональных данных и порядку подачи первичного и
дополнительного уведомления об этом печальном событии, в том числе теми
операторами, которые подключены и не подключены к ГосСОПКА. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Попытаемся понять,
зачем нужен акт об оценке вреда субъекту в случае нарушения закона и как его
правильно оформить. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Напомним, кто и зачем
может прийти с проверкой к оператору персональных данных в условиях введенного
моратория на надзорные мероприятия. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Выясним, какие
изменения произошли в уведомлениях, которые надо подавать в Роскомнадзор и
каковы последствия этих изменений для операторов.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Вебинар спланирован
таким образом, что значительное его время заложено на ответы на вопросы его
слушателей.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Ждем в гости. Скучно не
будет точно.<span style="mso-spacerun: yes;"> </span></span><span face="Arial, sans-serif" style="font-size: 10pt;"> </span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">* - </span><span face=""Arial",sans-serif" style="font-size: 10pt;">Будут проанализированы
изменившиеся требования закона и положения постановлений Правительства РФ от
29.12.2022 № 2526, от 10.01.2023 № 6, от 16.01.2023 № 24, от 04.02.2023 № 161,
приказов Роскомнадзора от 05.08.2022 № 128, от 27.10.2022 № 178, от 28.10.2022
№ 179. от 28.10.2022 № 180, от 14.11.2022 № 187, приказ ФСБ России от
13.02.2023 № 77.<o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-21329256417166580502022-12-26T13:20:00.002+03:002022-12-26T13:20:43.376+03:00С Новым 2023 годом!<p> </p><div class="separator" style="clear: both; text-align: left;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitNFbP4Lrmdb6x-DH7pPWk3lMkzUP2WvE_BH7ZlhQabmwdNib68J9DzGRWkl5ez-txP1f0y7DhZrbMlvbbaipypqn5FXTCo8N1EarCHn7EJhMfx7FdHItvLgI94oEhAAM6VdDjhlt6PM34zgb2L5aangJi-rcNcPET4TSegJYqwZB0fmlyXQfnEQ/s3420/%D0%A1%20%D0%9D%D0%BE%D0%B2%D1%8B%D0%BC%202023%20%D0%B3%D0%BE%D0%B4%D0%BE%D0%BC_web.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1999" data-original-width="3420" height="261" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEitNFbP4Lrmdb6x-DH7pPWk3lMkzUP2WvE_BH7ZlhQabmwdNib68J9DzGRWkl5ez-txP1f0y7DhZrbMlvbbaipypqn5FXTCo8N1EarCHn7EJhMfx7FdHItvLgI94oEhAAM6VdDjhlt6PM34zgb2L5aangJi-rcNcPET4TSegJYqwZB0fmlyXQfnEQ/w447-h261/%D0%A1%20%D0%9D%D0%BE%D0%B2%D1%8B%D0%BC%202023%20%D0%B3%D0%BE%D0%B4%D0%BE%D0%BC_web.jpg" width="447" /></a></div><br /><div class="separator" style="clear: both; text-align: left;"><br /></div><br /><p></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-56469558883984215822022-12-13T13:31:00.000+03:002022-12-13T13:31:26.862+03:00Оценка вреда: анализируем новые требования<p><span style="font-family: Arial, sans-serif; font-size: 10pt;">Как знают все
интересующиеся, с 1 сентября этого года, в соответствии с новой редакцией
пункта 5 части 1 статьи 18.1 закона «О персональных данных», </span><b style="font-family: Arial, sans-serif; font-size: 10pt;">оценка вреда</b><span style="font-family: Arial, sans-serif; font-size: 10pt;">,
который может быть причинен субъектам персональных данных в случае нарушения
данного закона, </span><b style="font-family: Arial, sans-serif; font-size: 10pt;">должна проводиться оператором</b><span style="font-family: Arial, sans-serif; font-size: 10pt;"> в соответствии с требованиями,
установленными Роскомнадзором.</span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Делается эта оценка,
как следует из текста закона, для обеспечения соотношения вреда и мер,
принимаемых оператором для обеспечения выполнения обязанностей, предусмотренных
законом.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">То есть чем больше
вред, тем больше придется потратить сил и средств для предотвращения его
нанесения субъектам. А если вред незначительный, то тратиться особо ни к чему,
поскольку в этом случае ничего больше мыши гора все равно не родит.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Кто не помнит, и <b>уровни
защищенности должны были быть определены с учетом возможного вреда субъекту</b>,
поскольку чем уровень выше, тем больше и объемнее и состав мер по обеспечению
безопасности персональных данных. Но в Постановлении Правительства РФ № 1119
от 01.11.2012 про вред нет ни слова, поэтому и уровни мы благополучно
определяли без его учета.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">С того же 1 сентября
вред надо оценивать также при утечке персональных данных и указывать его в
уведомлении, направляемом в Роскомнадзор о произошедшей утечке персональных
данных, которая деликатно именуется в законе «фактом неправомерной или
случайной передачи (предоставления, распространения, доступа) персональных
данных, повлекшей нарушение прав субъектов персональных данных».<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Прежде чем пойти
дальше, <b>обратим внимание на два момента, зафиксированных в законе</b>: <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;"> </span></span><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">вред
наносится именно субъекту персональных данных (казалось бы, очевидно, но как
будет видно ниже, нет);<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;"> </span></span><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">вред
возникает при нарушении требований закона «О персональных данных» (даже если
субъекту крайне неприятно то, что сделал оператор, но закон не нарушен,
перспективы возмещения убытков и компенсации морального вреда более чем
туманны). <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">И вот 29 ноября
свершилось! После согласования и регистрации в Минюсте был опубликован <b>Приказ
Роскомнадзора от 27.10.2022 № 178</b> «Об утверждении Требований к оценке
вреда, который может быть причинен субъектам персональных данных в случае
нарушения Федерального закона "О персональных данных"».<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Следуя сложившейся в
последнее время традиции, текст требований, утвержденных приказом, существенно отличается
от того, который был опубликован для обсуждения на портале раскрытия информации
regulation.gov.ru. Наверное, потому что были учтены многочисленные предложения
и пожелания обсуждавших его специалистов.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Приказ требует от
оператора для оценки вреда субъекту определить одну из трех степеней вреда
(высокая, средняя, низкая),</span> к<span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">оторый может быть причинен субъекту персональных данных в
случае нарушения закона (определить для оценки вреда одну из степеней – так
буквально и написано в приказе). Правда, зачем это делать оператору, совершенно
не понятно, поскольку в приказе случаи, в которых возникает та или иная степень
вреда, определены в виде закрытого перечня.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">А вот сами <b>случаи,
когда возникает та или иная степень вреда, требуют более детального
рассмотрения</b>. Внимательно проштудировав приказ, я разделил их на три
группы:<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l0 level1 lfo2; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;"> </span></span><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">когда
действия оператора прямо нарушают закон; <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l0 level1 lfo2; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;"> </span></span><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">когда
обработка (видимо, по мнению авторов приказа) создает высокие риски для
субъекта в случае инцидента, но сама по себе закон не нарушает;<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l0 level1 lfo2; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;">
</span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">когда
никакого нарушения закона нет или субъекту вообще совершенно безразлично, что
делает в данном случае оператор. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Наличие случаев, не
нарушающих закон, но наносящих вред субъекту, мягко говоря, удивляет. Но
давайте разбираться дальше.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><b><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Действия оператора,
нарушающие закон:<o:p></o:p></span></b></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l0 level1 lfo2; text-indent: -17.85pt;"><span style="font-family: Symbol; font-size: 10pt; text-indent: -17.85pt;">·<span style="font-family: "Times New Roman"; font-size: 7pt; font-stretch: normal; font-variant-east-asian: normal; font-variant-numeric: normal; line-height: normal;"> </span></span><span style="font-family: Arial, sans-serif; font-size: 10pt; text-indent: -17.85pt;">обработка
персональных данных несовершеннолетних для исполнения договора или заключения
договора в случаях, не предусмотренных законодательством РФ (интересно только,
является ли сама статья 26 ГК РФ случаем, предусматривающих возможность
заключения сделок несовершеннолетними, и, соответственно, заключение с
договоров с ними предусмотренным законодательством основанием по мнению авторов
закона «О персональных данных»?);</span><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">сбор
персональных данных в базы данных, находящиеся за пределами РФ;<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l0 level1 lfo2; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">обработка
персональных данных в дополнительных целях, отличных от первоначальной цели
сбора (правда, слов при отсутствии в этом случае согласия субъекта в приказе
нет, но будем считать, что авторы исходили из буквального прочтения принципов
обработки, установленных статьей 5);<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l0 level1 lfo2; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">получение
согласия на обработку, предусматривающего обработку персональных данных
определенным и (или) неопределенным кругом лиц в целях, не совместимых между
собой (это одно нарушение или два?).<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><b><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Действия оператора,
закон не нарушающие, но создающие риски для субъекта</span></b><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">: <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">обработка
специальных категорий персональных данных или биометрии в случаях, когда
законами не установлены цели, порядок и условия обработки данных; но и в статье
10, и в статье 11 определено такое основание обработки, как наличие согласия
субъекта в письменной форме, и обработка при его наличии в целях, указанных в
согласии, закон никак не нарушает; тем не менее приказ относит такую обработку
к создающей максимальную, высокую степень вреда;<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">обезличивание
персональных данных для скорринга или проведения исследований, отличных от статистических
или от (внимание!) иных исследовательских целей (вот прямо так, исследований,
отличных от иных исследовательских целей); но в части 1 статьи 6 есть такое
основание обработки, как согласие; и что тогда нарушает закон, если субъект с
обезличиванием согласился?<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">распространение
персональных данных на официальном (а на неофициальном можно?) сайте оператора
в сети Интернет, предоставление персональных данных неограниченному кругу лиц,
за исключением случаев, установленных федеральными законами, предусматривающими
цели, порядок и условия представления (и снова вопрос о согласии как законном
основании, прямо предусмотренным статьей 10.1);<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">продвижение
товаров, работ, услуг на рынке путем прямых контактов с потребителем с
использованием баз персональных данных, владельцем которых является иной
оператор (видимо, опять подразумевается отсутствие согласия субъекта на это, но
поручение в этом случае обработки, например, обзвона клиентов, колл-центру с
передачей базы данных для исполнения поручения и согласии субъекта также закон
не нарушает);<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">получение
согласия на обработку персональных данных на сайте в сети Интернет (конечно,
официальном) без дальнейшей идентификации и (или) аутентификации субъекта;
законом такие действия не запрещены и во многих случаях избыточны, например,
при заказе доставки товара через сайт.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><b><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Действия оператора,
соответствующие закону: <o:p></o:p></span></b></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">поручение
иностранному лицу (иностранным лицам) осуществлять обработку персональных
данных граждан РФ, которое законом не запрещено;<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">ведение
общедоступных источников персональных данных, сформированных в соответствии со
статьей 8 Закона о персональных данных; в соответствии с законом – вообще без
комментариев;<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">назначение
в качестве ответственного за обработку персональных данных лица, не являющегося
штатным работником оператора; закон прямо предусматривает такую возможность, а
субъекту совершено безразлично в музыкальном, цветовом, ботаническом и иных
аспектах, кто там у оператора ответственное лицо.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Извините, но это все. <b>Больше
никаких случаев возникновения вреда субъекту в приказе нет.</b> А где же
утечки, несанкционированный доступ, размещение на сайтах без согласия субъекта
и прочие страшные вещи, которые творят операторы, попирая права и свободы
субъекта, нарушая неприкосновенность личной жизни? Их нет <s>у меня</s> в
приказе.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Принятый документ
вызывает массу вопросов. Основные, с моей точки зрения:<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">зачем
такой приказ нужен, и что с ним делать?<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">зачем
оператору определять вред, если надзор все уже определил?<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l1 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">как
оценивать вред в случаях, не указанных в приказе, но явно нарушающих права
субъектов, в частности, при утечках, что является обязательным по закону?<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Перечень вопросов могу
продолжать долго. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">В сегодняшнем постике
обойдемся без инструкций по применению и рецептов. У меня и</span><span style="font-family: Arial, sans-serif; font-size: 13.3333px;">х нет</span><span style="font-family: Arial, sans-serif; font-size: 10pt;">. А проблема
есть.</span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com5tag:blogger.com,1999:blog-7101910961245278683.post-45917493262485429852022-11-29T10:07:00.002+03:002022-11-29T12:29:47.020+03:00Трансграничка персональных данных после 1 марта. Инструкция по применению<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Думаю, что абсолютно
все, кто хоть немного в теме, знают, что с 1 марта 2023 года радикально
меняется схема трансграничной передачи персональных данных. От уведомительной
системы передачи мы переходим к разрешительной, причем разрешение фактически
должно быть получено (ему равноценно отсутствие запрета или ограничений, что в
любом случае предполагает уведомление Роскомнадзора) для каждого государства, в
которое данные планируется передавать. Тем не менее у наших заказчиков и коллег
предстоящая реформа по-прежнему вызывает много вопросов. Постараюсь в посте
коротко ответить на наиболее частые. <o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Отвечать буду, как
завещала в научно-практическом комментарии к закону незабвенная Антонина
Аркадьевна Приезжева: исходя из буквального толкования, применяемого в
правоприменительной практике «по умолчанию».<o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Первый (и постоянный, и
самый частый) вопрос – а <b>что такое трансграничная передача персональных
данных?</b> Пункт 11 статьи 3 отвечает на него просто и однозначно: передача на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Что, любая передача? И электронное письмо тоже? Да, любая и мылом тоже. Как только ваш коллега где-нибудь в условной Кракожии получит письмо с вашими ФИО, должностью, номером телефона и адресом электронной почты, худшее уже случилось. Есть персональные данные, иностранное государство, иностранные лица: физическое – получатель письма и юридическое - его работодатель, которому принадлежит почтовый сервер. Все признаки трансграничной передачи в полном наличии. Ссылки на то, что письмо отправил работник, и это деяние не регулируется 152-ФЗ, исходя их пункта 1 части 2 статьи 1 закона, несостоятельны – переписка служебная, ведется в рамках должностных обязанностей, оператор в отношении всех данных в ней – работодатель, и под личные и семейные цели письмо никак не подпадает.</span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">И все остальное –
использование зарубежных облаков, ИСПДн за границей, как корпоративных, так и
используемых только российским оператором (многие по-прежнему, но, я думаю, уже
ненадолго, любят больше </span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 10pt; mso-ansi-language: EN-US;">Salesforce</span><span face=""Arial",sans-serif" style="font-size: 10pt;">, </span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 10pt; mso-ansi-language: EN-US;">Taleo</span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 10pt;">
</span><span face=""Arial",sans-serif" style="font-size: 10pt;">или, например,
</span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 10pt; mso-ansi-language: EN-US;">WorkDay</span><span face=""Arial",sans-serif" style="font-size: 10pt;">), и бронирование гостиницы в booking.</span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 10pt; mso-ansi-language: EN-US;">c</span><span face=""Arial",sans-serif" style="font-size: 10pt;">om
для работника или работником, и покупка билетов на самолет для
загранкомандировки – все это трансграничная передача. Как бы грустно это ни
звучало.<o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><b><span face=""Arial",sans-serif" style="font-size: 10pt;">Что же дальше?</span></b><span face=""Arial",sans-serif" style="font-size: 10pt;"> А дальше – строго по
тексту новой редакции статьи 12 закона. <o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Систематизируем все
цели трансграничной передачи, заодно оцениваем, точно ли нам эти цели нужны или
дешевле, проще и перспективнее, в том числе с точки зрения перспектив попадания
в ту или иную группу тяжести, от чего-то отказаться вообще.<o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Составляем для каждой
цели перечни передаваемых трансгранично персональных данных и оцениваем, точно
ли все эти данные так необходимы для заявленной цели, а также какие у нас есть
правовые основания передачи третьему лицу. Поклонники </span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 10pt; mso-ansi-language: EN-US;">GDPR</span><span face=""Arial",sans-serif" style="font-size: 10pt;"> вспоминают, что так
уважаемый в Евросоюзе законный интерес в России контроль и надзор убеждает не
сильно, и скорее всего в большинстве случаев для каждого субъекта надо будет
иметь согласие на передачу третьему лицу (смотрим прошлогоднее Информационное
письмо Банка России и Роскомнадзора и еще раз перечитываем статью 88 ТК РФ).<o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Выявляем всех получателей
персональных данных за рубежом: владельцев зарубежных систем, вычислительных
мощностей, контрагентов, с которыми ведется переписка, в том числе входящих в
международную группу компаний, фиксируем (или получаем, если не было раньше) их
контакты, а также сведения о мерах по защите передаваемых персональных данных и
об условиях прекращения их обработки. В какой форме, каком объеме и как –
похоже, проблема российского оператора. <o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Определяем адекватность
государства, в юрисдикции которого находится каждый получатель, для
неадекватных, которым не посчастливилось попасть в Перечень, утвержденный
приказом Роскомнадзора от 05.08.2022 № 128, – разбираемся с правовым
регулированием обработки персональных данных (не стройте иллюзий: не пытаемся
разобраться, а именно разбираемся, а вот как, для меня пока это тайна великая,
особенно для обычного, рядового оператора, без мощного подразделения
инхаус-юристов и учитывая цены на анализ зарубежного законодательства в
юридических компаниях). Очень рекомендую завести специальную форму для фиксации
всех этих данных, иначе потом могут возникнуть большие трудности. И не
забываем, что уведомление о текущей трансграничной передаче надо направить в
Роскомнадзор до 1 марта 2023 года. К этому же времени придется решить для себя все
те проблемы, о которых я конспективно упомянул. Что времени еще много, только
кажется. Мы с заказчиками пробуем. <o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">О новой трансграничной
передаче (в новую страну) уведомляем Роскомнадзор. В адекватные страны, не
дожидаясь ответа надзора, данные отправляем, в отношении получателей в
неадекватных, типа Штатов – ждем, не получим ли мы требования о запрете или
ограничении передачи, и лишь, если их не будет – пишем свои «ненужные» письма.
И никак иначе.<o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Все, что я написал
выше, государственным и муниципальным органам знать не обязательно, для них
будет отдельное постановление правительства. И, если их работники потратили
время на чтение поста, трата была напрасной.<o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><b><span face=""Arial",sans-serif" style="font-size: 10pt;">Остались нюансы.</span></b><span face=""Arial",sans-serif" style="font-size: 10pt;"> Поскольку среди наших
клиентов много кредитных и прочих финансовых организаций, нюансы объясню на их
примере. В соответствии с частью 5 статьи 5 закона «О национальной
платежной системе» перевод денежных средств осуществляется в срок не более трех
рабочих дней, начиная со дня списания денежных средств с банковского счета
плательщика или со дня предоставления плательщиком наличных денежных средств.
Роскомнадзору же на рассмотрение намерения осуществлять трансграничную передачу
и подготовку ответа оператору дается 10 рабочих дней, при этом если
Роскомнадзор захочет (а он имеет право) запросить дополнительную информацию о
получателе и правовом регулировании его национальным законом, указанную выше,
но не включаемую в уведомление, рассмотрение прекращается на срок получения
этой информации от оператора – до 15 рабочих дней. <o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">А теперь вполне реальный
сценарий. Клиент просит оправить его деньги получателю в государство, которое в
уведомлении банка ранее не указывалось. Государство с адекватной защитой прав
субъекта – банк деньги отправляет. Не обеспечивающее адекватной защиты – ждет и
не отправляет. Какой закон банку в данной ситуации лучше нарушить – о
персональных данных или о национальной платежной системе? А нарушить
придется. <o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">И возвращаемся к
первому сценарию. Государство с адекватной защитой. Но по причинам, указанным в
частях 8 и 12 статьи 12, Роскомнадзор сообщает банку о запрете передачи. А
деньги уже ушли. Теперь, в соответствии с частью 14 банк</span> <span face=""Arial",sans-serif" style="font-size: 10pt;">обязан обеспечить
уничтожение иностранным банком-получателем ранее переданных ему персональных
данных субъекта-отправителя. Вы прочитали все правильно. И да, это не смешно.<o:p></o:p></span></p><p>
</p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">И что делать? Не знаю.
Точнее – знаю. Исключить переводы денежных средств из-под регулирования статьей
12 152-ФЗ. Но это уже другая история. И не про мои рецепты.<o:p></o:p></span></p><div><br /></div>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-48021025325063060742022-07-25T15:23:00.000+03:002022-07-25T15:23:45.461+03:00Три июньских постановления Правительства РФ про ЕБС и еще кое-какие инициативы в области биометрии. Часть 2. Еще больше биометрии в ЕБС<p><span style="font-family: Arial, sans-serif; font-size: 10pt;">Продолжение. Часть 1 </span><a href="http://emeliyannikov.blogspot.com/2022/07/1.html"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">здесь</span></a><span style="font-family: Arial, sans-serif; font-size: 10pt;">.</span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Пока собирался написать второй пост про реформу ЕБС и реализующие
ее новые постановления Правительства РФ, подоспел новый закон, меняющий условия
использования персональных данных в целом и биометрических данных в частности.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Федеральным законом от 14.07.2022 N 325-ФЗ радикально
изменена часть 18.23 статьи 14.1 трехглавого закона. Теперь в случае, если
биометрические персональные данные соответствуют используемым в ЕБС, то есть
изображению лица и (или) голосу (достаточно одного из двух видов биометрии), то
госорганы, организации финансового рынка и вообще любые организации обязаны
разместить полученную ими биометрию в ЕБС. При этом никакого согласия субъекта
на такие действия (как размещение, так и использование Ростелекомом как
оператором ЕБС) не требуется. При этом сдающие в ЕБС биометрию организации должны
уведомить субъекта о свершившемся факте, а уж он сам может обратиться к
Ростелекому с требованием о блокировании (это как, интересно? Биометрия в ЕБС
будет, но использовать ее для аутентификации будет нельзя?) или уничтожении биометрических
персональных данных.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Почему, на мой взгляд, <b>этим законом радикально изменены условия
использования персональных данных</b> вообще и биометрических в частности?<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Отменяются сразу несколько принципов закона «О персональных
данных»:<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.25pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l1 level1 lfo1; text-indent: -14.75pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">ограничение обработки
достижением конкретных, заранее определенных целей (часть 2 ст.5) (субъект дал
согласие своему работодателю на использование изображения лица в СКУД для
прохода на охраняемую территорию или банку для его идентификации при личном обслуживании,
а будут использоваться эти данные в ЕБС совсем для других целей, на которые
согласия не было);<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.25pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l1 level1 lfo1; text-indent: -14.75pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">запрет объединения баз
данных, содержащих персональные данные, обработка которых осуществляется в
целях, несовместимых между собой (часть 3 ст.5) (цели прохода на территорию и
узнавания для обращения по имени-отчеству в банке между собой заведомо не
совместимы);<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.25pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l1 level1 lfo1; text-indent: -14.75pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">соответствие содержания
и объема обрабатываемых персональных данных заявленным целям обработки (часть 5
ст.5) (в приведенных примерах при сборе персональных данных никаких целей, реализуемых
в ЕБС (совершение определенных действий, подтверждение волеизъявления,
подтверждение полномочия лица на совершение определенных действий – часть 18.2
ст.14.1 «трехглавого» закона) оператор не ставил).<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Конструкция части 18.23 статьи 14.1 противоречит как букве,
так и духу закона «О персональных данных». Закон реализует абсолютно четкую
правовую конструкцию: обработка персональных данных всегда должна иметь
законное основание, которым является согласие субъекта, а обработка без
согласия может осуществляться только в случаях, оформленных в виде закрытых
перечней для каждой категории персональных данных. Для биометрии этот закрытый
перечень определен в части 2 статьи 11, которая содержит перечень случаев, в
которых может быть предусмотрена обработка биометрии без согласия субъекта:<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.25pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l1 level1 lfo1; text-indent: -14.75pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">реализация
международных договоров Российской Федерации о реадмиссии, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.25pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l1 level1 lfo1; text-indent: -14.75pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">осуществление
правосудия и исполнением судебных актов, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.25pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l1 level1 lfo1; text-indent: -14.75pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">проведение обязательной
государственной дактилоскопической регистрации, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.25pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l1 level1 lfo1; text-indent: -14.75pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">случаи, предусмотренные
законодательством Российской Федерации: <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 42.55pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo2; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; font-size: 8.0pt; mso-bidi-font-size: 10.0pt; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">об обороне, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 42.55pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo2; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; font-size: 8.0pt; mso-bidi-font-size: 10.0pt; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">о безопасности, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 42.55pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo2; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; font-size: 8.0pt; mso-bidi-font-size: 10.0pt; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">о противодействии
терроризму, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 42.55pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo2; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; font-size: 8.0pt; mso-bidi-font-size: 10.0pt; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">о транспортной
безопасности, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 42.55pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo2; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; font-size: 8.0pt; mso-bidi-font-size: 10.0pt; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">о противодействии
коррупции, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 42.55pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo2; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; font-size: 8.0pt; mso-bidi-font-size: 10.0pt; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">об оперативно-разыскной
деятельности, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 42.55pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo2; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; font-size: 8.0pt; mso-bidi-font-size: 10.0pt; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">о государственной
службе, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 42.55pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo2; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; font-size: 8.0pt; mso-bidi-font-size: 10.0pt; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">уголовно-исполнительным
законодательством Российской Федерации,<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 42.55pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo2; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; font-size: 8.0pt; mso-bidi-font-size: 10.0pt; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">законодательством
Российской Федерации о порядке выезда из Российской Федерации и въезда в
Российскую Федерацию, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 42.55pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo2; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; font-size: 8.0pt; mso-bidi-font-size: 10.0pt; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">о гражданстве
Российской Федерации, <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 42.55pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo2; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: "Courier New"; font-size: 8.0pt; mso-bidi-font-size: 10.0pt; mso-fareast-font-family: "Courier New";"><span style="mso-list: Ignore;">o<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">законодательством
Российской Федерации о нотариате.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Никаких отсылок к законодательству об информации, информационных
технологиях, о защите информации, о банках и банковской деятельности, об
акционерных обществах и др., на основании которого можно использовать данные из
ЕБС для аутентификации субъектов, здесь нет.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Форма согласия на обработку данных в ЕБС предусмотрена
законом и определена распоряжением Правительства № 1322-р. Там тоже нет ни
слова о согласии на перенос данных в ЕБС из других систем.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">На мой взгляд, такой произвольный подход к использованию
одного из самых чувствительных для граждан вида персональных данных подрывает
веру в правовую систему в целом и законодательство в частности. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">У подобного подхода может быть много отрицательных
последствий. Вот одно из них. В новой редакции говорится о том, что передать
данные в виде изображения лица в ЕБС должны, в том числе, государственные органы
из своих государственных информационных систем. Постановлением Правительства РФ
от 04.03.2010 № 125 определен перечень персональных данных, записываемых на чип
биометрического загранпаспорта. Среди них цветное цифровое фотографическое
изображение лица владельца документа, которое прямо в Постановлении отнесено к биометрическим
персональным данным владельца документа, хотя биометрическая аутентификация по
лицу при пересечении границы пока не проводится.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Это значит, что изображения лиц всех счастливых обладателей
загранпаспортов нового образца должны быть перенесены в ЕБС. Может, кто-то уже
получал уведомление об этом, предусмотренное законом?<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Ну, а теперь про <b>второе Постановление Правительства от
15.06.2022 № 1067, направленное на наполнение ЕБС новыми данными</b> – о случаях
и сроках использования биометрических персональных данных, размещенных в ЕБС физическими
лицами самостоятельно в порядке, который мы рассмотрели в <a href="http://emeliyannikov.blogspot.com/2022/07/1.html">предыдущем посте</a>.
Документ вызывает вопросы сразу же по прочтении. Как он соотносится с
Постановлением Правительства от 23.10.2021 № 1815, определившим перечень
случаев обработки биометрических персональных данных в информационных системах
организаций? Дополняет его? Это открытый или закрытый перечень? Ну, и так
далее. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Допустимые случаи использования следующие:<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">а) экзамены в вузах;<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">б) операции с использованием платежных карт в организациях
торговли и сферы услуг на сумму не более 1000 рублей;<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">в) дополнительная аутентификация клиента организациями
финансового рынка при дистанционном обслуживании при условии, что такой клиент
ранее был идентифицирован этой организацией финансового рынка (то есть сдав
биометрию самостоятельно, обратиться за услугой дистанционно в банк, клиентом
которого субъект не является, не получится);<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">г) аутентификации клиента - физического лица организациями
финансового рынка при его обслуживании при личном присутствии (то есть лично
получить услугу в банке можно и без паспорта, если клиент уже был
идентифицирован в порядке, уставленным статьей 7 антиотмывочного закона);<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">д) оплата проезда в г. Москве (в Питере и других городах почему-то
нельзя, видимо, системы идентификации у них не той системы);<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">е) проход на территорию госорганов и организаций
посредством СКУД за исключением довольно объемного списка организаций, включая объекты
КММ, дошкольные и общеобразовательные организаций;<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">ж) заключение договоров об оказании услуг связи посредством
сети Интернет;<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">з) выдача персонифицированной карты на посещение спортивных
соревнований (активно обсуждаемый сейчас по стадионам </span><span lang="EN-US" style="font-family: "Arial",sans-serif; font-size: 10.0pt; mso-ansi-language: EN-US;">ID</span><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;"> болельщика, который
категорически не хотят получать наиболее радикальные из них);<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">и) аутентификация на портале госуслуг.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Перспективы пугающие. Сдав биометрию с использованием
мобильника, к видеокамере и микрофону которого, а также к каналу связи не
выдвигается никаких требований, в отличие от систем сдачи биометрии, например,
в банках, которые должны соответствовать требованиям Минцифры, можно зайти в
банк представиться клиентом Пупкиным и снять деньги без паспорта, или войти на
охраняемую территорию вуз, получит симку на кого-то другого и так далее.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Использовать самостоятельно сданную в ЕБС биометрию можно
не более 3 лет, обновлять надо добровольно. Видимо, напоминать никто не должен,
в чем я сильно сомневаюсь.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Но какие только риски не примешь ради наполнения ЕБС! И это
мы еще до обсуждения инициативы Банка России об обязательной опции сбора
биометрии в мобильных приложениях российских банков не добрались.<o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com5tag:blogger.com,1999:blog-7101910961245278683.post-1391394642278503232022-07-04T08:53:00.000+03:002022-07-04T08:53:17.701+03:00Три июньских постановления Правительства про ЕБС и еще кое-какие инициативы в области биометрии. Часть 1<p><span style="font-family: Arial, sans-serif; font-size: 10pt;">В июне Правительством России приняты три новых
постановления, касающиеся функционирования Единой биометрической системы.
Учитывая новость Банка России о необходимости </span><a href="https://www.finam.ru/publications/item/cb-rf-planiruet-masshtabnuyu-perezagruzku-edinoiy-biometricheskoiy-sistemy-20220518-114148/?utm_source=yxnews&utm_medium=desktop"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">«полной перезагрузки»
ЕБС</span></a><span style="font-family: Arial, sans-serif; font-size: 10pt;"> в
течение двух ближайших лет, такая активность говорит, с одной стороны, о фактическом
провале программы <s>поголовной</s> максимальной фиксации данных граждан
страны, обеспечивающих отслеживание их передвижения (биометрия лица) и
использование средств связи (биометрия голоса) (на конец 2021 году в системе
было немногим больше 200 тысяч аккаунтов), а с другой – о крайней важности этой
программы для государства. И банковские услуги, конечно, здесь совсем ни
при чем.</span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Начнем с перезагрузки. Цитирую первого зампреда Банка
России О.Н. Скоробогатову по РИА Новости: «Единая биометрическая система,
которая была создана в 2018-2019 году, в этом и в следующем году будет
полностью «перезагружена». Мы понимаем, что нам не хватает терминалов и
мобильных приложений, где люди могут просто сдать свою биометрию, как это было
в иностранных приложениях. Развитие системы мы относим на 2022-2023 год». В действительности
в иностранных приложениях пользователи никому биометрию не сдают, если верить
западным и восточным вендорам. Пользователи фиксировали ее на своем мобильном
устройстве для идентификации на нем же, а дальше каждый пользователь, в
зависимости от степени параноидальности и веры вендору, принимал решение,
использовать ли пальчик или личико вместо пароля для разблокировки устройства
или нет. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">С ЕБС все по-другому. Там биометрия именно сдается
оператору – ПАО Ростелеком, а затем, в соответствии с постановлением
Правительства РФ</span> <span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">от
28.12.2018 № 1703, в течение одного дня после получения запроса передается
спецслужбам – ФСБ и МВД. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Но, чтобы облегчить сдачу биометрии с использованием мобильных
приложений, с 30 декабря 2021 года заработали </span><a href="http://www.consultant.ru/document/cons_doc_LAW_61798/00ac15c81cca5471b4866cd7d18d5f5c88a43920/"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">поправки в «трехглавый»
закон № 149-ФЗ</span></a><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">
(часть 1.3 статьи 14.1), позволяющие размещать свои биометрические персональные
данные в ЕБС с применением пользовательского оборудования, имеющего в своем
составе идентификационный модуль, если личность физического лица при таком
размещении подтверждена с использованием загранпаспорта, содержащего
электронный носитель с биометрическими персональными данными. А 15 июня 2022 года
принято </span><a href="http://www.consultant.ru/document/cons_doc_LAW_419616/"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Постановление
Правительства РФ № 1066</span></a><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">, определяющее порядок размещения физическими лицами своих
биометрических персональных данных в ЕБС. Рассмотрим его основные положения.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Минцифры, до конца текущего месяца, должно</span> <span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">обеспечить возможность
применения прошедших в установленном порядке процедуру оценки соответствия (читаем
– сертификации ФСБ России) средств криптографической защиты информации при
использовании ЕСИА и ЕБС и обеспечить функционирование технического решения для
проверки действительности загранпаспорта с чипом, обычно называемого
биометрическим.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Ростелекому к этому же сроку Постановление, как в нем
указывается, рекомендует разработать программу и методику оценки алгоритмов
обнаружения атак на биометрическое предъявление (так указано в тексте
Постановления) в соответствии с требованиями ГОСТ Р 58624.3-2019 и</span> <span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">создать российское
программное обеспечение (мобильное приложение) для обработки биометрии в ЕБС,
согласовать его с ФСБ и Минцифры, а к 30 сентября утвердить согласованный с
этими же ведомствами системный проект решения, обеспечивающего самостоятельное
размещение физлицами своей биометрии в ЕБС и подключить мобильное приложение к
ЕСИА и ЕБС. Как оператор системы уложится в эти более чем сжатые сроки и не
просто разработает, но и успешно реализует системный проект, будет видно. ФСБ
отведено на согласие системного проекта всего 15 дней.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Тогда же, 30 сентября, вступают в силу Правила
самостоятельного размещения физлицами своей биометрии в ЕБС, утвержденные
Постановлением Правительства. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Из примечательного в Правилах размещения отметим:<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.3pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo1; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">обязательность наличия
у такого пользователя учётной записи в ЕСИА, полученной при личной явке;<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.3pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo1; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">необходимость
размещения в ЕБС, помимо собственно биометрии, идентификатора из ЕСИА, номера
мобильного телефона, адреса электронной почты, даты рождения и сведений о
гражданстве (зачем они нужны для проверки предъявляемой биометрии именно в ЕБС
при наличии записи в ЕСИА отдельный, скорее, риторический вопрос, тем более,
что все сведения, кроме биометрии, в ЕБС и так загружаются из ЕСИА); <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.3pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo1; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">подтверждение личности
субъекта, загружающего в ЕБС свою биометрию, и автоматическая проверка
загружаемой биометрии осуществляются с использованием биометрического
загранпаспорта путем сопоставления размещаемых биометрических персональных
данных его данным, записанным на чип загранпаспорта, и данных владельца со
сведениями в ЕСИА;<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.3pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo1; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">необходимость проверки
Ростелекомом отсутствия на мобильном устройстве пользователя вредоносного
программного обеспечения (вопрос о способе установки приложения на мобильное
устройство в документах деликатно обходится);<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 0cm; margin-left: 21.3pt; margin-right: 0cm; margin-top: 6.0pt; mso-list: l0 level1 lfo1; text-indent: -14.2pt;"><!--[if !supportLists]--><span style="font-family: Symbol; font-size: 10.0pt; mso-bidi-font-family: Symbol; mso-fareast-font-family: Symbol;"><span style="mso-list: Ignore;">·<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">необходимость выражения
согласия субъекта на обработку его биометрии при ее размещении в ЕБС,
подписанного, в том числе, простой электронной подписью (видимо, даваемого в
том же мобильном приложении).<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Продолжение следует.<o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com4tag:blogger.com,1999:blog-7101910961245278683.post-23021748211639550442022-05-27T17:24:00.000+03:002022-05-27T17:24:12.829+03:0016-17 июня: изменения в законодательстве о персональных данных<p><span style="font-family: Arial, sans-serif; font-size: 10pt;">16-17 июня я проведу очередной курс КП32 «Защита
персональных данных» в </span><a href="https://itsecurity.ru/catalog/kp32/"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Учебном центре
«Информзащита»</span></a><span style="font-family: Arial, sans-serif; font-size: 10pt;">.
В мае исполнилось 15 лет, как я читаю этот курс, и я даже не пытался
подсчитать, сколько слушателей на нем побывало. Много, очень много. Это был
первый в стране курс по новому закону «О персональных данных», который за 4
месяца до премьеры курса вступил в силу.</span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Естественно, содержание курса все эти годы постоянно
менялось вместе с изменениями в законе, принятием подзаконных нормативных
правовых актов, судебной практикой и практикой правоприменения. Я без ложной
скромности скажу, что курс уникальный. Он будет полезен и тому, кто только
начинает разбираться в российском законодательстве и сталкивается с большим
количеством проблем, пытаясь выполнитель его требования, и тем, кто в этой теме
уже давно, но хочет «сверить часы», узнать о произошедших изменениях,
разобраться в проблемах, рожденных несовершенством законодательства и практикой
его правоприменения на основе толкования, которое тоже меняется время от
времени. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Вот и на предстоящих занятиях мы обсудим актуальные
новинки.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Поговорим о принятых изменениях в Федеральном законе «О
защите прав потребителей» в части запрета на истребование персональных данных,
не являющихся необходимыми для совершения сделки, и вводимой административной
ответственности за невыполнение этих требований. Обсудим, а нужны ли были
изменения и как мы жили без них.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Новеллу проиллюстрируем судебным решением, которым действия
страховой компании, хотевшей узнать паспортные данные и сведения о водительских
правах для расчета стоимости ОСАГО, были признаны неправомерными, но суд этим не
ограничился и потребовал изменить еще и пользовательское соглашение на сайте.
Отмечу, что решение было принято до внесения изменений в законодательство.<span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Рассмотрим позицию Роскомнадзора, Банка России и ФАС по
порядку получения согласия физического лица, являющего стороной договора с
оператором или представляющего документы, необходимые для его заключения. Хотя
формально информационные письма регуляторов касаются кредитных организаций, но
рассматриваемые в них наилучшие, допустимые недопустимые и недобросовестные
практики (вот прямо так и написано) полезно знать всем операторам.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Разберемся, что думают территориальные управления
Роскомнадзора о сборе персональных данных с использованием веб-форм на сайтах и
обязательна ли там «галочка» для выражения согласия с обработкой.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Вникнем в прецедентные решения судов трех инстанций,
поддержавших оператора в споре с надзорным органом о том, что такое архивный
документ, в какой форме и как долго он должен храниться, всегда ли нужны
письменные согласия работников на передачу их персональных данных третьим
лицам.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Расскажем о новостях с контрольных и надзорных фронтов, где
объявлен мораторий на плановые проверки, но появились новые формы контроля,
которые не приостановлены, такие как профилактические визиты и мероприятия без
взаимодействия с контролируемым лицом. Узнаем о появлении нового надзорного
органа в сфере персональных данных, проверочных листах и самопроверке.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Обсудим самые горячие вопросы очень популярной в последнее
времени темы биометрических данных – аккредитацию операторов, допустимые случаи
использования биометрии для идентификации и аутентификации, присоединение к
Единой биометрической системе и ее условиях.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Конечно, затронем (именно затронем, без погружения) законопроекты,
которые могут в ближайшее время существенно поменять ландшафт, в котором
используются персональные данные, условия трансграничной передачи, порядок
уничтожения персональных данных, их носителей и оформления такого уничтожения и
других грядущих изменениях.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Традиционно завершаю: приходите, скучно точно не будет. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Поскольку у курса все-таки круглая дата, будет и бонус. Кто
зарегистрируется и оплатит курс, сможет направить мне вопросы по электронной
почте </span><a href="mailto:mezp11@gmail.com"><span lang="EN-US" style="font-family: "Arial",sans-serif; font-size: 10.0pt; mso-ansi-language: EN-US;">mezp</span><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">11@</span><span lang="EN-US" style="font-family: "Arial",sans-serif; font-size: 10.0pt; mso-ansi-language: EN-US;">gmail</span><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">.</span><span lang="EN-US" style="font-family: "Arial",sans-serif; font-size: 10.0pt; mso-ansi-language: EN-US;">com</span></a><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">,
на которые я отвечу во время чтения курса.<span style="mso-spacerun: yes;">
</span><o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-81156125083677537712022-05-04T08:54:00.000+03:002022-05-04T08:54:06.748+03:00Искусство читать нормативку 2. Эта загадочная аккредитация работающих с биометрией<p></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Посты о биометрии – одни из самых читаемых в моем блоге.
Вот и последний из опубликованных, </span><a href="https://emeliyannikov.blogspot.com/2022/01/blog-post.html"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">про искусство чтения
нашей запутанной нормативки в области биометрии</span></a><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">, за последние три
месяца собрал на порядок больше прочтений, чем все остальные публикации. В нем
я обещал вернуться к теме аккредитации, и, хотя три года на исполнение
обещанного еще не прошло, решил к этой теме вернуться. Тем более, что на моем последнем
вебинаре о выполнении требований законодательства о персональных данных в
кредитных организациях этот вопрос тоже вызвал оживленную дискуссию участников,
а к единому мнению прийти не удалось.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Главный вопрос – надо ли аккредитовываться всем, в том
числе банкам, для которых использование Единой биометрической системы (ЕБС) является
обязательным, а также владельцам собственных систем биометрической
идентификации, никак с ЕБС не связанных, и использующих формы биометрии,
отсутствующие в ЕБС (дактилоскопию, радужку глаза, рисунок вен и другие).
Регулятор (Минцифры), надзор и защитник прав субъектов (Роскомнадзор) на эту
тему молчат, разъяснений нет, а те, что есть в частных письмах с ответами на
вопросы волнующихся операторов и специалистов однозначных ответов на
поставленные вопросы не содержат. Самый наглядный пример – </span><a href="https://www.facebook.com/photo?fbid=4860615130684724&set=a.159935670752717"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">хождение за тремя
ответами Алексея Лукацкого</span></a><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Что ж, нет разъяснений - будем читать нормативку как
положено – буквально и внимательно.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Правила аккредитации операторов, обрабатывающих
биометрические персональные данные, определены в Постановлении Правительства РФ
от 20 октября 2021 г. № 1799. В самом Постановлении и утвержденных им
Правилах ЕБС не упоминается совсем. Там есть отсылки к единому порталу гос- и
муниципальных услуг, единой СМЭВ, ЕГРЮЛ, но про ЕБС - молчок.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Правила устанавливают порядок аккредитации организаций,
владеющих информационными системами, обеспечивающими идентификацию и (или)
аутентификацию с использованием биометрических персональных данных физических
лиц, и (или) оказывающих услуги по такой идентификации и (или) аутентификации.
Опять никаких исключений, при буквальном прочтении очевидно: если организация использует
биометрию, то ей надо к 1 сентября бежать в Минцифры с заявлением для
подтверждения своих полномочий.<span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Но дьявол, как известно, в деталях. Возьмем лупу и
внимательно рассмотрим их.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">В преамбуле Постановления есть отсылка к частям 18.28,
18.30, 18.31 и 18.33 статьи 14.1 «трехглавого» закона от 27.06.2006 № 149-ФЗ, детально
рассматривающей применение биометрии. Что же в этих частях?<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">В части 18.28 указывается, что аккредитация проводится в
отношении организаций, в том числе финансового рынка, указанных в части 18.18
этой же статьи. ОК. А в ней что? Условия сбора и обработки биометрических
персональных данных, используемых для аутентификации (как следует из текста
остальных частей – без идентификации) в информационных системах этих самых организаций
(реализация мер защиты, в том числе применение сертифицированных средств
шифрования, наличие согласия субъекта и … аккредитация. Без рекурсии мы никак).
Про ЕБС снова ни слова.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Часть 18.30 – про особенности аккредитации иностранных юридических
лиц, подпадающих под требования части 18.18. Опять мимо ЕБС.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Часть 18.31 – про отсутствие ограничения срока
аккредитации, но не организаций, указанных в части 18.18 и подпадающих под аккредитацию,
а про упомянутые в части 18.20. Но мы упорные, разберемся и с этим. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Часть 18.20 – это про еще одну загадку законодательства о
биометрии. В ней – о возможности использования биометрии уже включая
идентификацию, а не только аутентификацию, организациями, кроме госорганов и
органов местного самоуправления, в случаях, установленных Правительством РФ по
согласованию с Банком России. Продвинутые читатели уже поняли, что речь идет
про Постановление Правительства РФ от 23 октября 2021 г. № 1815, определяющем
случаи, когда биометрическую идентификацию и аутентификацию можно использовать
в принципе, в том числе в случае отсутствия биометрических персональных данных
в ЕБС (это написано не в Постановлении, а в части 18.26 статьи 14.1, требования
которой Постановление № 1815 и реализует). То есть, если ЕБС не
используется, аккредитовываться точно надо. Но для того, чтобы это было
возможно, помимо требований, указанных в части 18.29 (о ней будет дальше)
организации надо подключиться к ГосСОПКА. Обязательно. В том числе иностранным
юрлицам, которые хотят получить аккредитацию. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Ну, и наконец (будем последовательны) – про часть 18.33.</span>
Она - <span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">про
особенности аккредитации иностранных юридических лиц, подпадающих под
требования уже не части 18.18, а части 18.20. И опять мимо ЕБС.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Уфффф, выдохнули…? Не совсем. Странно, что в преамбуле
Постановления не упоминается часть 14.29 статьи 14.1, в которой устанавливаются
требований к аккредитации, которые как раз реализуются в Постановлении. Может
быть потому, что в документе Правительства зачем-то полностью повторяются
требования, уже прописанные в законе?<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><b><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Итоги:</span></b><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;"> читая буквально закон и подзаконные акты,
приходим к однозначному выводу, что аккредитация нужна всем операторам,
использующим биометрию для аутентификации, аутентификации и идентификации
физических лиц, а также оказывающих такие услуги вне зависимости от того
взаимодействуют ли они с ЕБС или нет. Даже если биометрия используется для входа
в собственные помещения или информационные системы. Кстати, исходя из требований
Постановления № 1815, входить в систему по биометрии (например, по «пальчику»)
будет нельзя.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Про условия аккредитации и требования к заявителям писать
не буду. Для чтения на неделе между длинными праздниками-выходными это будет
перебор. Скажу лишь, что аккредитоваться, если опять читать нормативку
буквально, удастся далеко не всем, даже если использование для них биометрии
является обязательным по закону, например, банкам с универсальной лицензией и иностранным
участием более 49%. У таких операторов останется только один путь – получение
услуг идентификации и аутентификации у счастливых обладателей аккредитации
(ВТБ, Сбер?), не безвозмездно, конечно, но обязательно. Статья 7
«антиотмывочного» закона № 115-ФЗ требует.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Но об этом – как-нибудь в следующий раз. При наличии
времени и желания.</span></p><p></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-14397312373678131032022-02-03T09:53:00.001+03:002022-02-03T09:53:45.366+03:00На Радио Спутник - о 15-летии закона "О персональных данных"<p><span style="font-size: medium;">На <a href="https://www.youtube.com/watch?v=SOSbjAJ8KY0">Радио Спутник</a> в Международный день защиты данных поговорили о ситуации с защитой персональных данных, законе и его трансформации, телефонном мошенничестве и других проблемах, касающихся каждого без исключения человека в нашей стране, да и не только в ней </span></p><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEiPP-36y4Sr3iEUe8Ueacbk632jZruveyjlYJIZ9nKXUHD321MkL537GuITAIg1PqUQEtoYYN0SX9Xg5bRb8igAPeMmIAF-Rpf12dQ8tNFWCIi850pcFu9AiMqCNlNtpupA5oLIJkvg60XtpTyzF1UDHHXn4cK4WZ1ct0-JTzvtlwz6plgr2HaWCQ" style="clear: left; float: left; margin-bottom: 1em; margin-right: 1em;"><img alt="" data-original-height="720" data-original-width="1277" height="244" src="https://blogger.googleusercontent.com/img/a/AVvXsEiPP-36y4Sr3iEUe8Ueacbk632jZruveyjlYJIZ9nKXUHD321MkL537GuITAIg1PqUQEtoYYN0SX9Xg5bRb8igAPeMmIAF-Rpf12dQ8tNFWCIi850pcFu9AiMqCNlNtpupA5oLIJkvg60XtpTyzF1UDHHXn4cK4WZ1ct0-JTzvtlwz6plgr2HaWCQ=w435-h244" width="435" /></a></div><br /><br /><p></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-80704168446568131452022-01-31T08:49:00.002+03:002022-01-31T08:49:53.951+03:00Коммерческая тайна об отечественных вакцинах от COVID-19<p></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><a href="https://yandex.ru/search/?lr=213&clid=9403&oprnd=1241921782&text=%D0%BA%D0%BE%D0%BC%D0%BC%D0%B5%D1%80%D1%87%D0%B5%D1%81%D0%BA%D0%B0%D1%8F+%D1%82%D0%B0%D0%B9%D0%BD%D0%B0+%D0%B2%D0%B0%D0%BA%D1%86%D0%B8%D0%BD%D0%B0"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">28-29 января российские
СМИ дружно сообщали</span></a><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">
о том, что депутату Госдумы от КПРФ Алексею Куринному, врачу-хирургу в прошлой
жизни, в ответ на запрос в прокуратуру, Минздрав сообщил, что вся информация о
клинических испытаниях и составе препарата от COVID-19 </span><a href="https://www.kommersant.ru/doc/5192153"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">является коммерческой тайной и не может быть
обнародована без согласия разработчика</span></a><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">, ссылаясь на статью 18 Федерального закона от
12.04.2010 № 61-ФЗ «Об обращении лекарственных средств». Акцент в ответе, судя
по информации «Коммерсанта», делается на состав и содержание информации,
входящей в состав регистрационного досье на вакцину.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Прежде чем продолжить
свой пост, хочу сразу отметить два принципиальных момента: <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l0 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; font-size: 12.0pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Я
сторонник прививки от </span><span lang="EN-US" style="font-family: "Arial",sans-serif; font-size: 12.0pt; mso-ansi-language: EN-US;">COVID</span><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">-19 и привит.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: 6.0pt; margin-left: 35.7pt; margin-right: 0cm; margin-top: 0cm; mso-list: l0 level1 lfo1; text-indent: -17.85pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; font-size: 12.0pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";">
</span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Отслеживая
ситуацию, связанную с коммерческой тайной в нашей стране с момента принятия и
вступления в силу Федерального закона от 29.07.2004 № 98-ФЗ «О
коммерческой тайне», я давно пришел к выводу, что о ней вспоминают чаще всего
тогда, когда надо скрыть правду от общественности, и коммерческая тайна
появляется в государственных органах, некоммерческих и даже благотворительных
организациях, в которых по закону ее не должно быть в принципе в силу
определения данной категории информации.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Исходя из этой
диспозиции, давайте попробуем разобраться, насколько отказ Минздрава
правомерен.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Здесь тоже есть
принципиальные вопросы, и их четыре.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">1</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">. <b>Какая информация
закрыта в соответствии с законом «Об обращении лекарственных средств»?</b><o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Часть 18 статьи 18 закона
действительно закрывает информацию о результатах доклинических исследований
лекарственных средств и клинических исследований лекарственных препаратов для
медицинского применения, представленной заявителем для государственной
регистрации лекарственного препарата в Минздрав, на срок 6 лет.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Но! И это очень важно!
Речь идет исключительно об использовании этой информации в коммерческих целях,
которое возможно ранее 6 лет с даты регистрации только с согласия заявителя, а
не о запрете любого доступа к данной информации. И, кстати, понятие «коммерческая
тайна» в данной статье закона не упоминается от слова совсем. Какие основания
были у Минздрава считать, что депутат Государственной Думы собирается
использовать сведения из регистрационного досье в коммерческих целях, да еще с
нарушением прав правообладателя - это большой вопрос. И, кстати, понятие «коммерческая
тайна» в данной статье закона не упоминается совсем. Почему Минздрав ссылается
именно на коммерческую тайну, режим которой если и вводился, то не им, а
разработчиком вакцины – тоже интересно. Вернемся к нему при рассмотрении
третьего вопроса. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">2. Можно ли
запрашиваемую информацию отнести к коммерческой тайне?</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;"> <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Закон «О коммерческой
тайне» существенно ограничивает отнесение общественно значимой информации к
коммерческой тайне. Так, пункт 4 статьи 5 указанного закона прямо запрещает
устанавливать режим коммерческой тайны лицами, осуществляющими
предпринимательскую деятельность (а не министерствами и ведомствами), в
отношении сведений о санитарно-эпидемиологической обстановке и других факторах,
оказывающих негативное воздействие на безопасность каждого гражданина и
безопасность населения в целом. Сведения о негативных последствиях вакцинации,
а тем более о противопоказания и возможных ограничениях (основаниях для
медицинских отводов) – это как раз о негативном воздействии на безопасность
граждан и населения, а о влиянии вакцинации на развитие пандемии (если они в
досье есть) – сведения о санитарно-эпидемиологической обстановке.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Таким образом,
некоторые сведения в досье для регистрации вакцины (в первую очередь, ноу-хау,
связанные с ее составом, технологией производства и т.д.) могут составлять
коммерческую тайну, но есть там и сведения, в режиме коммерческой тайны не
охраноспособные, которые к этой категории информации ограниченного доступа
закон относить запрещает.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Подводя итог второму
вопросу, напомню, что часть 6 статьи 10 закона «О коммерческой тайне» не
допускает использования режима коммерческой тайны в целях, противоречащих
требованиям защиты здоровья, прав и законных интересов других лиц, обеспечения
безопасности государства. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">И, судя по информации в
СМИ, депутат А. Куринный именно эти сведения и запрашивал.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">3. Приняты ли обладателем
информации все предусмотренные законом меры по установлению режима коммерческой
тайны? <o:p></o:p></span></b></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Перефразируя популярный
интернет-мем, нельзя вот так просто взять и установить режим коммерческой
тайны. Статья 10 закона «О коммерческой тайне» жестко устанавливает, что режим
коммерческой тайны считается установленным после принятия обладателем
информации, составляющей коммерческую тайну, следующих мер (в скобках в каждом
пункте мои пояснения к закону):<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">1) определение перечня
информации, составляющей коммерческую тайну, далее - ИКТ (т.е. у заявителя
государственной регистрации вакцины должен быть документ, который прямо относит
сведения, указанные в регистрационном досье, к коммерческой тайне);<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">2) ограничение доступа
к информации, составляющей коммерческую тайну, путем установления порядка
обращения с этой информацией и контроля за соблюдением такого порядка (т.е. у
указанного выше лица должен быть локальный акт, подробно регламентирующий
обращение с ИКТ и меры по ограничению доступа к ней);<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">3) учет лиц, получивших
доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым
такая информация была предоставлена или передана (как своих работников, так и
контрагентов, и органов власти, которым ИКТ была предоставлена и передана);<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">4) регулирование
отношений по использованию информации, составляющей коммерческую тайну,
работниками на основании трудовых договоров и контрагентами на основании
гражданско-правовых договоров (т.е. в трудовых договорах с работниками
заявителя и его контрагентами, например, производителями вакцины, прямо должно
быть прописаны наличие режима коммерческой тайны, порядок идентификации такой
информации среди прочей, законом не охраняемой, и порядок обращения с ней);<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">5) нанесение на
материальные носители, содержащие информацию, составляющую коммерческую тайну,
или включение в состав реквизитов документов, содержащих такую информацию,
грифа «Коммерческая тайна» с указанием обладателя такой информации, его полного
наименования и места нахождения (т.е. вся документации по вакцине, включая
сведения в электронной форме, а также документы, поданные для государственной
регистрации вакцины в Минздрав, должны содержать ограничительный гриф,
наименование заявителя и его адрес).<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Не выполнено хотя бы
одно требование – режима коммерческой тайны нет</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">. Нет и охраны, и
защиты государственными институтами прав обладателя сведений. Тому масса
подтверждений в судебной практике, о которых я не раз писал в своем блоге.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">4. Обязаны ли депутату
Куринному предоставить запрашиваемую информацию</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;"> (на самом деле самый
важный вопрос в рассматриваемом контексте)?<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Часть 1 статьи 6 закона
«О коммерческой тайне»</span> <b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">обязывает</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;"> обладателя ИКТ по мотивированному требованию
органа государственной власти, иного государственного органа предоставить им на
безвозмездной основе информацию, составляющую коммерческую тайну. Вторая часть
этой же статьи предусматривает, что в случае отказа обладателя ИКТ предоставить
ее органу государственной власти, такой орган вправе затребовать эту информацию
в судебном порядке.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Так что для дальнейшего
развития событий законодательство Российской Федерации предоставляет простой и
прямой путь: Дума вправе истребовать необходимые сведения у заявителя на
государственную регистрацию лекарственного препарата, которые об обязан
предоставить, даже если отнес их к ИКТ (с грифом), и потребовать предоставить
доказательства правомерности такого отнесения. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Если сведения
охраноспособны - хранить их в режиме конфиденциальности, если нет – обнародовать,
учитывая общественный и публичный интерес к ним, который после отказа Минздрава
существенно вырос и породил подозрения.</span></p><p></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-67119682307696939962022-01-26T18:44:00.001+03:002022-01-31T09:05:34.683+03:00Большое интервью к 15-летию закона "О персональных данных"<p> К 15-летию закона "О персональных данных" дал большое интервью главному редактору журнала <a href="https://ria-stk.ru/ds/about.php">Business Exsellence</a> Наталье Борисовне Кий о наболевшем - проблемах закона, его правоприменения, влиянии закона на бизнес в России и рисках для бизнеса и граждан.</p><div class="separator" style="clear: both; text-align: center;"><br /></div><br /><p></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEiRw_4rKH8miMangDjhI9ZAnKu5jq-UuUH0KsdAyb-I4bW4i5s56fBoPPp9Cci1QdurfTyw7bmo45-ZegitOaIP-A5QJafEewdfFWwhsAwmx5Apfi0ZB_L8Ya3ip30MEeN-56rQCfWICFxR_m1HnSt7jCUXHWV0Red8cMWgxyL5oH--DTxGrAyUWg=s2835" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2835" data-original-width="2008" height="320" src="https://blogger.googleusercontent.com/img/a/AVvXsEiRw_4rKH8miMangDjhI9ZAnKu5jq-UuUH0KsdAyb-I4bW4i5s56fBoPPp9Cci1QdurfTyw7bmo45-ZegitOaIP-A5QJafEewdfFWwhsAwmx5Apfi0ZB_L8Ya3ip30MEeN-56rQCfWICFxR_m1HnSt7jCUXHWV0Red8cMWgxyL5oH--DTxGrAyUWg=s320" width="227" /></a></div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEgvx2LLtkDfOQi63wMHkuOp9mVcpPxMKDH2fAgHC-nkrmEmbxKzK-b635cDIufYClM-06gWuYetxR1G9vN1lhKoFtbyw2hErsxZkcpaQLcYJ5HiyDhlumqaEMiyZA4ULNIqk0ax4jGBkazPF-CREjDV-NEIg7jpl1O1ESIJdgZ2hNKhju2JIgoKUQ=s2835" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2835" data-original-width="2008" height="320" src="https://blogger.googleusercontent.com/img/a/AVvXsEgvx2LLtkDfOQi63wMHkuOp9mVcpPxMKDH2fAgHC-nkrmEmbxKzK-b635cDIufYClM-06gWuYetxR1G9vN1lhKoFtbyw2hErsxZkcpaQLcYJ5HiyDhlumqaEMiyZA4ULNIqk0ax4jGBkazPF-CREjDV-NEIg7jpl1O1ESIJdgZ2hNKhju2JIgoKUQ=s320" width="227" /></a></div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEjnVHivjIKENSnYjBWBOYalX7z6Sg-byEE3ziGZTyDXesVthrD_c7YqYQRUWu3kgHQjCgGqYG5hU22aCzw2zWLoJ9D9y-shDztklZltaRlqZq7nzmwOVoeM8EbRVVG7WQkElentS5TuAK272YQnnm2_Vj2QiaWwRvH5wQUudL8lBI8utIyc74JsyQ=s2835" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2835" data-original-width="2008" height="320" src="https://blogger.googleusercontent.com/img/a/AVvXsEjnVHivjIKENSnYjBWBOYalX7z6Sg-byEE3ziGZTyDXesVthrD_c7YqYQRUWu3kgHQjCgGqYG5hU22aCzw2zWLoJ9D9y-shDztklZltaRlqZq7nzmwOVoeM8EbRVVG7WQkElentS5TuAK272YQnnm2_Vj2QiaWwRvH5wQUudL8lBI8utIyc74JsyQ=s320" width="227" /></a></div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEiM3s-kbKv0P1QMdJ_W3PLP-Tlm8HGOe9SfVfO3xsRNoKLcyqJx6knM-1LeAzOArh2zmpwp7A4k2ADwQHrds19bnSS9rTaeYzNwZA18GqEUKsDPB6I0q8FpijhT7usY8rCKx-4JnyDPdTlVjxjQoCeA3PhsP0jcnBwrlhhJgxTgrR9Lei_jVSTZvA=s2835" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2835" data-original-width="2008" height="320" src="https://blogger.googleusercontent.com/img/a/AVvXsEiM3s-kbKv0P1QMdJ_W3PLP-Tlm8HGOe9SfVfO3xsRNoKLcyqJx6knM-1LeAzOArh2zmpwp7A4k2ADwQHrds19bnSS9rTaeYzNwZA18GqEUKsDPB6I0q8FpijhT7usY8rCKx-4JnyDPdTlVjxjQoCeA3PhsP0jcnBwrlhhJgxTgrR9Lei_jVSTZvA=s320" width="227" /></a></div><br /><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEheEW6xDedi-gPBxWnwPz1XwXTtQKqNZHUrL8yuxhRDhOAugQ4hyx5DIcTWmyyJ__JNqv7L_9Kbc3dK-3BAyyG5-uZmKy2JvhecxFUi1id4XS4-GSXNIxmnTtCjvupjlVrjU7Uarhcz5XVD_noNRd-BkeeLTNnZEqOpgTAa6GUE6KhNF-N2tuUBAw=s2835" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="2835" data-original-width="2008" height="320" src="https://blogger.googleusercontent.com/img/a/AVvXsEheEW6xDedi-gPBxWnwPz1XwXTtQKqNZHUrL8yuxhRDhOAugQ4hyx5DIcTWmyyJ__JNqv7L_9Kbc3dK-3BAyyG5-uZmKy2JvhecxFUi1id4XS4-GSXNIxmnTtCjvupjlVrjU7Uarhcz5XVD_noNRd-BkeeLTNnZEqOpgTAa6GUE6KhNF-N2tuUBAw=s320" width="227" /></a></div><br />Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-90027645881843938462022-01-10T14:34:00.000+03:002022-01-10T14:34:14.846+03:00Искусство читать нормативку. О биометрии для идентификации и аутентификации<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">С наступившим вас! Теперь и трудовым.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Начинаем трудиться.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Одна из главных проблем для меня в прошлом году – нормативно-правовые
документы по биометрии от новоявленного (новоназначенного?) регулятора –
Минцифры России. Казалось бы, каждый новый подзаконный акт должен вносить
ясность в общую норму закона, раскладывая по полочкам конкретный порядок
действий по ее выполнению. Как бы не так. Последние результаты нормотворчества
ситуацию только запутывают, на мой взгляд. О проблемах использования
биометрии в конце декабря </span><a href="https://lukatsky.ru/trends/mozhno-li-ispolzovat-svoyu-biometriyu-vnutri-predpriyatiya.html"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">хорошо
написал на своем сайте-блоге Алексей Лукацкий</span></a><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">. Но я сейчас немного о
другом.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Итак, при выполнении проектов 2021 года наше агентство
столкнулось с рядом вопросов заказчиков, касающихся применения биометрии.
Сформулирую в более-менее обобщенном виде два основных вопроса ввиду ограниченности
формата поста (на самом деле их гораздо больше):<o:p></o:p></span></p>
<p class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">1.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Всем
ли можно применять биометрию для идентификации и аутентификации? Например,
можно ли небольшому ритейлеру купить и поставить на компьютеры персонала или
кассовые аппараты в магазине систему распознавания пользователей по пальчикам,
то есть систему дактилоскопической идентификации?<span style="mso-spacerun: yes;"> </span><span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; text-indent: -18.0pt;"><!--[if !supportLists]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">2.<span style="font: 7.0pt "Times New Roman";"> </span></span></span><!--[endif]--><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Можно
ли использовать в школе систему идентификации по рисунку вен ладоней для
организации доступа на территорию школы, связав ее с системами учета
полученного питания и выдачи книг в библиотеках (идея «Ладошек» пока вовсе не
умерла, как думают некоторые). <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Рассматриваемой биометрии (дактилоскопия и рисунки вен
ладони) в Единой биометрической системе (ЕБС) нет. Можно ли их использовать в
России? В ответах будет очень много букв. Понимаю, после каникул напряженно, но
…<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Читаем статью 14.1 ФЗ «Об информации, информационных
технологиях и о защите информации» - самую главную в российском
законодательстве с точки зрения регулирования использования биометрии. Она и
называется соответствующе – «Применение информационных технологий в целях
идентификации физических лиц» (хотя почему-то про аутентификацию в названии не
упоминается, но порядок ее проведения статья определяет).<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Части с 1 по 10 данной статьи регламентируют использование биометрии
исключительно в ЕБС, где, как все хорошо знают, только лицо и голос.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Значит, если мы живем вне ЕБС, для нас требования данный
статьи обязательными не являются? Нет, просто мы еще не все прочитали.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">С 1 января в статье появилась новая часть 10.1, неожиданно
расширяющая действие норм, изложенных ранее: контроль и надзор за обработкой
персональных данных в ЕБС, а также в <b>информационных системах государственных
органов, органов местного самоуправления, организаций финансового рынка, иных
организаций и индивидуальных предпринимателей, которые осуществляют обработку
биометрических персональных данных при идентификации и (или) аутентификации</b>,
в том числе при взаимодействии с ЕБС осуществляет Роскомнадзор. Что это его
область надзора, на мой взгляд, очевидно и так – глава 5 ФЗ «О персональных
данных» для биометрии никаких исключений не содержит. И зачем об этом писать
еще и в 149-ФЗ - совершенно не понятно. Важны слова про иные биометрические
системы, не связанные с ЕБС – а новая часть их существование прямо допускает.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Про новую редакцию части 11, наделяющую Банк России
полномочиями по контролю и надзору за реализацией организационных и технических
мер по обеспечению безопасности персональных данных, отсутствующими в ФЗ «О
персональных данных», надо писать отдельно, это в границы данного поста не
вписывается.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Ну, а дальше, из части 13 статьи 14.1 становится очевидным,
что с 01.01.2021 Минцифры регулирует использование любой биометрии в любых
системах идентификации и аутентификации любых организаций, включая требования к
таким системам (приказы Минцифры от 25.06.2018 № 321 в новой редакции, который
утратит силу с 01.03.2022 и от 10.09.2021 № 943, с 01.03.2022 вступающий в
силу), формы подтверждения соответствия любых технологий и средств для этих
целей (приказ Минцифры от 07.07.21 № 685). Но вот беда: приложение № 3 к приказу
№ 943 опять только про голос и лицо, соответственно, и № 685 – тоже. Зато приложения
№№ 1 и 2 к тому же приказу – про сбор, размещение хранение и использование
биометрии и в иных системах тоже.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">А дальше читаем крайне внимательно: часть 18.2 дает право
организациям использовать ЕБС для аутентификации в целях совершения
определенных действий (прохода на территорию, доступа к компьютеру или кассе),
но не обязывает использовать только ее. Тем, кто использует ЕБС, необходимо
использовать сертифицированную криптографию (часть 18.3), за реализацией мер
защиты надзирают ФСБ и ФСТЭК (часть 18.4). И далее –про тех, кто подпадает под
часть 18.2, то есть использует ЕБС.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Пока вроде бы никаких препятствий для использования систем,
упомянутых в вопросах в начале поста и в тех целях, которые указаны в тех же
вопросах, нет. Но это только пока. <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">С 1 сентября наступившего года вступят в силу новые части
статьи 14.1. Части 18.18 и 18.20 определяют условия проведения идентификации и
аутентификации с использованием биометрии в собственных информационных системах
операторов уже без упоминания и связи с ЕБС. И тогда применение
сертифицированной криптографии станет обязательным для нейтрализации актуальных
угроз. И самое главное – все операторы, использующие биометрию, должны будут
пройти аккредитацию в Минцифре (правила аккредитации утверждены Постановлением
Правительства РФ от 20.10.2021 № 1799, вступившем в силу 1 января нового года,
хотя статьи об аккредитации закона заработают с 1 сентября). Если же кроме
аутентификации операторы захотят проводить и идентификацию с использованием
биометрии, то есть создавать шаблоны и базы биометрии, а не только сверять
полученные данные с шаблонами, то на них будут распространяться требования
безопасности, предъявляемые к значимым объектам КИИ и ГИСам и взаимодействовать
с Госсопкой (пункт 2 части 18.20), причем отнесение владельца системы
идентификации к субъектам КИИ в качестве критерия здесь не упоминается. <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">И не менее важное: идентификация либо идентификация и
аутентификация допускаются в </span><a href="https://internet.garant.ru/#/document/402969110/entry/1000"><span style="color: windowtext; font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%; text-decoration: none; text-underline: none;">случаях</span></a><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">, установленных
Правительством Российской Федерации по согласованию с Центральным банком
Российской Федерации (часть 18.26 статьи 14.1). А вот с этой частью – полная
засада. Распространяются ли эти случаи только на идентификацию и (или) аутентификацию
с использованием ЕСИА и ЕБС или это закрытый перечень случаев биометрической аутентификации,
которая выполняется без ЕБС, понять из текста нельзя. Не вносит ясность и Постановление
Правительства РФ от 23.10.2021 № 1815, которым этот перечень случаев определен
(вступает в силу с 1 марта, а статья закона, требующая его принятия – с 1 сентября).
<span style="mso-spacerun: yes;"> </span>Постановление ссылается на части 18.20 (в
которой ЕБС не упоминается) и 18.26 (в которой использование ЕБС является
обязательным). Кроме того, пункт 3 Перечня случаев допускает использование
биометрии в СКУД, но кроме случаев входа на объекты, совершение
террористического акта на территории которых может привести к возникновению
чрезвычайных ситуаций с опасными социально-экономическими последствиями, а
также режимных объектов, дошкольных и общеобразовательных организаций. В школах
биометрия невозможна? Нет в Перечне случаев упоминания и об использовании
биометрии товаров и услуг, которая вовсю внедряется сегодня где только можно и
нельзя. Так закрытый это перечень случаев или нет? Распространяется ли он
только на случаи использования ЕБС или нет? Вопросы, вопросы… <o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">С аккредитацией тоже все очень плохо. Посмотреть можно про
нее, если лень разбираться в законе и постановлении правительства, в посте Алексея
Лукацкого, ссылка на который есть выше. Здесь уже про это рассказать не
удастся, возможно, получится свою точку зрения высказать позже.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">Ну, и ответы на поставленные в начале поста вопросы. До 1
сентября все это можно. После 1 сентября, похоже, лавочки придется
свернуть.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">С удовольствием почитаю мнение коллег – не накосячил ли я
чего, разбираясь в законах, постановлениях и приказах, не ошибся ли при
интерпретации установленных ими норм. Единственная просьба – указывать
конкретные нормы, которые коллегами понимаются по-другому. С цитированием и
пояснениями.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt; line-height: 107%;">С новым вас трудовым годом. Мало, похоже, в нем не покажется.
Трудимся.<o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com11tag:blogger.com,1999:blog-7101910961245278683.post-42299188991881810942021-12-28T10:50:00.001+03:002021-12-28T10:50:31.105+03:00<p><span style="font-family: arial; font-size: large;"><b>С Новым 2022 годом!</b></span></p><div class="separator" style="clear: both; text-align: left;"><img border="0" data-original-height="2248" data-original-width="3238" height="303" src="https://blogger.googleusercontent.com/img/a/AVvXsEj6HsjuKQsl4d6Eszg1kYLxEHS8H70tRbggfHCVs-N-oU-olFGKh3cG-ekjevtzbbu8pqQKGPTDkwhFZb4iyh7AXqWCCqI9iWNSJG3zOtipD7CCMGbQWxzFLld_dCsK8iPILmHj1jJLliNR0fEtbkBoyNm6cHycywvbVKNYPXYRrpG2RAlqwjboWw=w437-h303" width="437" /><a href="https://blogger.googleusercontent.com/img/a/AVvXsEj6HsjuKQsl4d6Eszg1kYLxEHS8H70tRbggfHCVs-N-oU-olFGKh3cG-ekjevtzbbu8pqQKGPTDkwhFZb4iyh7AXqWCCqI9iWNSJG3zOtipD7CCMGbQWxzFLld_dCsK8iPILmHj1jJLliNR0fEtbkBoyNm6cHycywvbVKNYPXYRrpG2RAlqwjboWw=s3238" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><br /></a></div><p class="MsoNormal" style="line-height: normal;"><span style="font-family: "Arial",sans-serif;">Уважаемые
коллеги! <o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal;"><span style="font-family: "Arial",sans-serif;">С
наступающим вас новым 2022 годом!<o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal;"><span style="font-family: "Arial",sans-serif;">Пусть
этот год будет годом, открытым для всего мира, легким и свободным!<o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal;"><span style="font-family: "Arial",sans-serif;">Новых
вам интересных проектов, удовлетворения от сделанного, достойного
вознаграждения за труды и крепкого здоровья, исполнения желаний!<o:p></o:p></span></p><p class="MsoNormal" style="line-height: normal;"><span style="font-family: "Arial",sans-serif;">Мира
и спокойствия вашим домам, понимания и поддержки окружающих, тепла и уюта!</span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-74380622406301713882021-11-09T11:10:00.000+03:002021-11-09T11:10:00.713+03:00Об оплате проезда «лицом» в московском метро (система Face Pay)<p> <span style="font-family: Arial, sans-serif; font-size: 12pt;">С 15 октября на всех
линиях и станциях московского метро заработал сервис Face Pay. Он позволит
пассажирам оплачивать проезд при помощи системы распознавания лица, нужно лишь
посмотреть в камеру на турникете, - </span><a href="https://www.mos.ru/news/item/97579073/" style="font-family: Arial, sans-serif; font-size: 12pt;">сообщил официальный сайт Мэра
Москвы</a><span style="font-family: Arial, sans-serif; font-size: 12pt;">.</span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Антон Нехаенко на портале
Banki.ru достаточно подробно разобрал <a href="https://www.banki.ru/news/daytheme/?id=10955448">тему внедрения системы
оплаты проезда «лицом» Face Pay и возможные последствия ее использования</a>, <span style="mso-spacerun: yes;"> </span>в комментировании которой я также поучаствовал,
но посчитал нужным более детально разъяснить свою позицию в личном блоге,
поскольку проблема касается буквально каждого из нас и связана с большим
количеством, мягко скажем, «недоговоренностей», возникших при внедрении
системы. <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">О целях внедрения системы Face Pay</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">. В ответах на вопросы
о системе начальник службы платёжных сервисов Московского метрополитена</span><a href="https://vc.ru/promo/306052-v-metro-moskvy-teper-mozhno-platit-za-proezd-licom-sprosili-avtorov-proekta-kak-eto-rabotaet"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">, на первое место
ставит транспортную безопасность, поиск преступников, а не удобство прохода для
пассажиров</span></a><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">.
Именно для этой цели установили первые камеры, которые теперь приспособили для
оплаты, что несколько странно в такой ситуации.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">О том, какие данные о пассажире собирает система и об их
защите</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">.
На сайте </span><span lang="EN-US" style="font-family: "Arial",sans-serif; font-size: 12.0pt; mso-ansi-language: EN-US;">mos</span><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">.</span><span lang="EN-US" style="font-family: "Arial",sans-serif; font-size: 12.0pt; mso-ansi-language: EN-US;">ru</span><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">, в анонсе новой
системы оплаты, указывается, что для ее использования </span><a href="https://www.mos.ru/news/item/97579073/?utm_source=search&utm_term=serp"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">нужно привязать
банковскую карту со средствами для оплаты проезда и карту «Тройка» к сервису
через приложение «Метро Москвы»</span></a><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">, но скромно умалчивается о необходимости передать
в систему через это приложение еще и изображение лица владельца карты. Стоит
обратить внимание на то, что нет ни слова о том, как защищается передаваемая
приложением информация, в частности, о средстве платежа и биометрических данных,
где и как она будет храниться, кто является в отношении нее оператором
персональных данных и несет ответственность за возможные инциденты с
персональными данными. Ничего не сообщается о величине допустимых ошибок
первого и второго рода (отказать в проходе владельцу или пропустить похожее на
него лицо). <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Особенно удивляет такая
информация в комментариях Департамента транспорта: «Система не способна
«связать» фотографию человека с его личностью — у неё просто нет данных для
этого: в личном кабинете пассажир привязывает только банковскую карту, номер
телефона и «Тройку»». Но ведь банковская карта привязана к конкретному
владельцу и к его лицу при его распознавании, иначе и быть не может.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">О роли турникета метро в обработке персональных данных</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">. В Департаменте
транспорта Москвы рассказали о том, что «вся информация будет надежно
зашифрована, камера на турникете считывает биометрический ключ, а не
изображение лица или другие персональные данные». Веб-камера не может считывать
«биометрический ключ», она может только зафиксировать изображение лица, которое
затем надо преобразовать в «биометрический ключ», точнее – в математический
шаблон, который и будет сверяться в базе данных с другими шаблонами. Опровержение
этого алгоритма содержится в той же публикации: «Когда человек подходит к
турникету, камера на нём делает несколько снимков. Лучший кадр по освещённости,
положению головы, открытости лица и многим другим параметрам переводится в
биометрический вектор, сравнивается с точками в базе». Сложно представить, что
такое преобразование выполняется на каждом турникете станций метро, а не
передается для обработки на серверы. <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Относительно шифрования, используемого для защиты
персональных данных.</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">
Утверждается, что шаблоны изображений лиц на сервере, которые есть «в каждом
вестибюле», зашифрованы. Тогда вопрос: для распознавания по каждому пассажиру шаблоны
расшифровываются, или шифруется шаблон и сравнивается с зашифрованными же образами?
Как происходит обновление данных на каждом из серверов, какие используются
протоколы и алгоритмы шифрования? Все эти вопросы покрыты мраком и даже не
обсуждаются. Я уже не говорю про межсетевые экраны, системы обнаружения компьютерных
атак и обо всем остальном, что должно быть в любой информационной системе
персональных данных и, в соответствии со статьей 18.1 Закона о персональных
данных, указываться в политике оператора, размещаемой для неограниченного
доступа. <o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">О создании маршрута передвижения пассажира и необходимой
для этого информации.</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">
Департамент транспорта сообщает: «Посмотреть историю своих маршрутов может
только сам пассажир — в личном кабинете, пароль от которого знает только он
(при этом вход защищён двухфакторной аутентификацией)». Это значит, что лицо пассажира
фиксируется и при выходе со станции, иначе будет невозможно отследить маршрут.
Вопрос – зачем и как это связано с оплатой «по лицу» и не является ли
распознавание лица пассажира на выходе из метро избыточным для целей оплаты
проезда в метро? И, конечно же, ко всему, что лежит в базах данных о
передвижениях пассажиров, включая личные кабинеты, имеют доступ администраторы
системы.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">О технических сбоях системы и «перепутанных» пассажирах. </span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Сообщается, что, если
вдруг произойдёт технический сбой и одного пассажира перепутают с другим, он
может написать об этом чат-боту </span><a href="https://t.me/transport_mos_bot" target="_blank"><span style="color: windowtext; font-family: "Arial",sans-serif; font-size: 12.0pt; text-decoration: none; text-underline: none;">Александре</span></a><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">, и в течение трёх дней деньги за поездку
вернутся. И как тогда будут разрешаться конфликты? Желающих отказаться от
поездки и сэкономить найдется достаточно много и всем вернут деньги?<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Face Pay и не «привязанные» к ней пассажиры</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">. Ну и вишенка на
торте: «Face Pay распознаёт только тех, кто зарегистрировался в системе — на
остальных пассажиров камера не реагирует: ей просто не с чем сравнивать» Что значит
– не реагирует? Умная камера заранее знает, кого снимать, а кого нет? И по базе
данных не прогоняются шаблоны лица всех проходящих через турникет? Этого просто
не может быть, такая система работать не сможет.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">О согласии пассажиров на обработку их биометрических
персональных данных.</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">
Мне не удалось найти в мобильном приложении интерфейса для использования </span><span lang="EN-US" style="font-family: "Arial",sans-serif; font-size: 12.0pt; mso-ansi-language: EN-US;">Face</span><span lang="EN-US" style="font-family: "Arial",sans-serif; font-size: 12.0pt;">
</span><span lang="EN-US" style="font-family: "Arial",sans-serif; font-size: 12.0pt; mso-ansi-language: EN-US;">Pay</span><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">, текст согласия на обработку биометрических персональных
данных (а оно, согласно Закону о персональных данных, должно быть дано в
письменной форме и соответствовать по содержанию требованиям законодательства).
<a href="https://mosmetro.ru/oferta-facepay/">Текст согласия есть на сайте
метрополитена</a>, но закону он совсем не соответствует, оно анонимное, без
паспортных данных, адресов субъекта и оператора. Целью обработки биометрических
данных, помимо оплаты проезда, указано получение «иных услуг», каких – не
сообщается (что тоже не законно), а вот про поиск преступников и обработке с этой
целью данных пассажиров в согласии нет ни слова. Согласие дается ГУП
«Московский метрополитен», а также организациям, подведомственным Департаменту
транспорта и развития дорожно-транспортной инфраструктуры города Москвы и иным
лицам, обеспечивающим достижение целей обработки изображения, указанным в
пункте 4 настоящего согласия.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Что это за организации,
какие у них цели, и что они делают с персональными данными пассажиров? Если исполняют
получение обработки, полученное от метрополитена, то эти лица должны быть
поименованы с указанием их адреса – это требования Закона о персональных данных.
Если решают иные задачи, не связанные с поручением, хотелось бы знать, какие
именно, иначе согласие не отвечает требованиям конкретности, информированности и
сознательности.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Указано, что согласие
действует со дня его выдачи, в том числе в форме электронного документа,
подписанного простой электронной подписью, но о том, как его подписать
электронной подписью и какой, не сообщается.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Между тем, штраф за
согласие, оформленное с нарушением установленных законом требований к составу
сведений, включаемых в согласие субъекта в письменной форме, влечет административную
ответственность в размере до 150 тысяч рублей по каждому случаю нарушения. Но ГУП
«Московский метрополитен», похоже, это совсем не пугает. Интересно, почему?
Действительная цель создания системы оправдывает средства?<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">О скорости оплаты проезда «лицом».</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;"> Большие сомнения
вызывает и декларируемая высокая скорость оплаты проезда. Заммэра Максим Ликсутов
оптимистично оценивает количество пользователей системы в 10-15 процентов всех
пользующихся метро пассажиров. Сам метрополитен оценивал <a href="https://www.metro-msk.ru/stat/2019/">ежедневный пассажиропоток в 2019
году более, чем в 7 миллионов человек</a>. Предположим, что пассажир в среднем
совершает в день две поездки, это значит в базе должно быть не менее 350 тысяч
шаблонов изображений лица. Прогнать шаблон фото через 350 тысяч образов быстрее,
чем считать данные с «Тройки» и записать на нее? Не верится... <span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">В целом, предлагаемая
система пока гораздо больше похожа на систему контроля, а не оплаты. Так может
об этом честно заявить и сделать ее соответствующей закону?<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><b style="mso-bidi-font-weight: normal;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">И самое главное - что должен делать пассажир,
биометрические данные которого скомпрометированы?</span></b><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;"> Отсутствие во всех
подобных внедряемых системах биометрической идентификации и аутентификации,
начиная с Единой биометрической системы, сведений о том, что должен делать
пользователь, биометрические данные которого скомпрометированы и как ему после
этого жить дальше, а также отсутствие процедур разрешения конфликтов при
оспаривании транзакций делают риски использования таких систем вообще
неприемлемыми.<o:p></o:p></span></p>
<p class="MsoListParagraph" style="line-height: normal; margin-bottom: .0001pt; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Использование данной
системы для оплаты проезда в метрополитене я считаю крайне рискованным для
граждан и ни в коем случае не рекомендую ею пользоваться.<o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com3tag:blogger.com,1999:blog-7101910961245278683.post-13058977101062312482021-09-01T16:33:00.002+03:002021-09-01T17:17:01.659+03:00Про парсинг, ВКонтакте, Double Data и запрет пользоваться надписями на заборах<span style="font-family: arial;">Елена Покатаева из «Банковского обозрения» подготовила интересную и детальную публикацию, а я ее немного прокомментировал. <br /><br />«Тайна частной жизни и приватность существуют ровно до того момента, когда человек, к которому эти сведения относятся, сам сохраняет их в тайне. Написал на заборе (в соцсети) — забудь о приватности. Ее больше нет». <br /><br />«Суды пошли еще дальше и пытаются запретить любому использовать то, что написано на заборе. Но вряд ли запреты остановят парсинг и использование его результатов в скоринговых алгоритмах, ведь не воспользоваться тем, что доступно для снижения банковских рисков, просто неразумно. Зато появится возможность выборочно привлекать к ответственности тех, кто в парсинге будет уличен». <br /><br />Ну, и еще кое-что.<br /><br />Полный текст здесь <a href="https://bosfera.ru/bo/algoritmami-vhod-vospreshchen">https://bosfera.ru/bo/algoritmami-vhod-vospreshchen</a>.</span><br />Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-58490138740251672242021-05-13T14:35:00.001+03:002021-09-15T22:19:47.389+03:0017-18 мая: требования законодательства о персональных и все последние изменения к нему<p><span face="Arial, sans-serif">В понедельник-вторник
17 и 18 мая буду вести обновленный курс КП32 "Защита персональных
данных" в формате онлайн на площадке Учебного центра "Информзащита".</span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">В программе: <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">новые редакции ст.13.11
КоАП, <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">практика по частям 8 и
9, <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">правоприменение статьи
13.11 в последнее время,<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">согласие на распространение
персональных данных,<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">изменения, связанные с
расширением сферы применения Единой биометрической системы,<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">судебные прецеденты и
результаты проверок последних лет. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Вопросы и обсуждения
приветствуются.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Запись в <a href="https://itsecurity.ru/contacts/?fbclid=IwAR0hLO0kdLE3w4gY6ejkTi7_ZKRWeeDqiz797cByGm9w3hTvGbEWbmqMwRE">Учебном
центре "Информзащита"</a>.<o:p style="font-size: 12pt;"></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-48422340100573365922021-04-08T09:59:00.004+03:002021-09-15T22:19:03.178+03:00Нам 10 лет!<p></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Сегодня, 8 апреля, исполняется
ровно 10 лет с того дня, когда наше Консалтинговое агентство «Емельянников,
Попова и партнеры» было зарегистрировано как юридическое лицо и вышло на рынок.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Срок вроде бы и не
большой, но сколько всего поменялось на рынке за это время! Принимались и
изменялись законы и подзаконные акты, появлялись новые трактовки положений,
казавшихся очевидными, суды принимали решения, переворачивавшие сложившееся
понимание законодательства, вводились новые требования и новые ограничения, и
мы вместе с нашими заказчиками лавировали в этом меняющемся, бушующем мире.
Наша цель была всегда одна – обеспечить выполнение закона и не просто не дать
загнуться бизнесу, порою очень плохо понимавшему, что хочет от него государство
и его законодатели, но и обеспечить использование самых передовых
информационных технологий, позволяющих оставаться конкурентоспособными, и не
только в России, но и в мире.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">За эти 10 лет в области
нормативного регулирования сферы персональных данных произошли значительные изменения.
Вскоре после начала работы нашего агентства, 25 июля 2011 года, Федеральным
законом № 261 (помните поменявшийся радикально за две ночи закон Резника-Плигина-Московца?)
была введена в действие фактически новая редакция закона о персональных данных.
Сколько всего правильного в основном было написано блогерами, которые как
никогда были популярны и читаемы в то время, специалистами и заинтересованными
участниками рынка (одно обращение Г.А. Тосуняна к президенту страны чего
стоило), сколько копий сломано (зря, как правило). Обсуждение 261-ФЗ стало
самым, наверное, активным действием профессионального сообщества, пытавшегося
повлиять на регуляторику в области безопасности, существенно затрагивающую
интересы бизнеса. «Не шмогли» … Но и катастрофы, которой боялись, не произошло
ввиду неизменного российского правила исполнения строгих законов.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">В 2015 году заработало
требование о локализации персональных данных во время их сбора, вызвавшее
оторопь у российских дочек международных и иностранных компаний, активно
использовавших зарубежные системы материнских компаний, первых,
немногочисленных тогда пользователей облаков и </span><span face=""Arial",sans-serif" lang="EN-US" style="mso-ansi-language: EN-US;">SaaS</span><span face=""Arial",sans-serif" lang="EN-US"> </span><span face=""Arial",sans-serif">систем. Пережили и это.
Посмотрите статистику проверок 2016-2020 годов – про нарушения, связанные с локализацией,
там почти ни слова. Все больше про войну с </span><span face=""Arial",sans-serif" lang="EN-US" style="mso-ansi-language: EN-US;">LinkedIn</span><span face=""Arial",sans-serif">, </span><span face=""Arial",sans-serif" lang="EN-US" style="mso-ansi-language: EN-US;">Twitter</span><span face=""Arial",sans-serif" lang="EN-US">
</span><span face=""Arial",sans-serif">и </span><span face=""Arial",sans-serif" lang="EN-US" style="mso-ansi-language: EN-US;">Facebook</span><span face=""Arial",sans-serif">.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Вот и сейчас озадаченные
владельцы сайтов не могут понять, как на них теперь разместить персональные
данные, получить согласие субъектов и их представителей на распространение,
указать условия и ограничения обработки и перечни, в отношении которых эти
ограничения вводятся. Пережили былое, переживем и это… Ищем и найдем
решения.<span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Наш мир становится все
более цифровым. На горизонте – цифровой профиль, новые реестры, которые знают
про нас все больше и больше, проникающая в нашу жизнь, как вода в одежду во
время ливня, биометрия, которые не все и не очень-то ждут. Интернет вещей с </span><span face=""Arial",sans-serif" lang="EN-US" style="mso-ansi-language: EN-US;">WiFi</span><span face=""Arial",sans-serif" lang="EN-US">
</span><span face=""Arial",sans-serif">в каждом
утюге и холодильнике. СИМ-карты в шлагбауме, подписывающиеся на новостные
рассылки. Скучно в ближайшем будущем не будет точно.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Начав работать 10 лет
назад, мы довольно скоро и сознательно сузили свою нишу на рынке. Мы решили
отказаться от многих возможных направлений, в которых выполняли весьма успешные
проекты, и сосредоточиться на двух – на персональных данных и тайнах
(коммерческой, банковской, связи, врачебной и прочих, кроме государственной).
Это позволило нам наработать экспертизу того уровня, благодаря которому мы
стали консультантами крупнейших мировых ИТ-вендоров, помогая им и их заказчикам
соблюдать требования российского законодательства, мировых и российских лидеров
в самых разных направлениях экономики – госкорпораций, системообразующих банков
страховых компаний, телеком-операторов, интернет-компаний и производителей
средств защиты информации, предприятий промышленности, энергетики, фармацевтики,
</span><span face=""Arial",sans-serif" lang="EN-US" style="mso-ansi-language: EN-US;">FGCG</span><span face=""Arial",sans-serif">, медицинских организаций, служб по подбору персонала из
разных стран и многих, многих других. Они именно пришли к нам – за все 10 лет
мы не истратили на маркетинг ни копейки. <span style="mso-spacerun: yes;"> </span><span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Мы –партнеры крупнейших
юридических компаний, выполняем совместные с ними сложные проекты, требующие
понимания не только законодательства России, но и глубокого вникания в суть
бизнеса. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Мы искренне стремились
выполнить и нашу социальную миссию, в рамках который были проекты в
благотворительных фондах для особенных детей, и множество просветительских и образовательных
проектов.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Но среди наших
заказчиков – не только компании из </span><span face=""Arial",sans-serif" lang="EN-US" style="mso-ansi-language: EN-US;">enterprise</span><span face=""Arial",sans-serif" lang="EN-US"> </span><span face=""Arial",sans-serif">сегмента. Это и
стартапы, работа с которыми не самая прибыльная, но, как правило –
необыкновенно интересная, поскольку готовых решений как выполнить закон для
абсолютно новой идеи, нормативно не урегулированной и не имевшей ранее
прецедентов, конечно, нет, а вот необходимость вывода бизнеса, и не в серый, а
в белый сегмент – есть.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Мы активно занимались
образовательными проектами – курсами, семинарами, вебинарами. За 10 лет обучены
тысячи специалистов, и с каждым годом доля специалистов по информационной
безопасности среди них все меньше и меньше. Наши слушатели – руководители,
первые лица организаций, юристы, в том числе находящиеся на очень высоких
позициях и работающие в юридических компаниях, кадровики, айтишники и многие
другие. Все эти 10 лет мы работаем с нашими главными партнерами по направлению
образования – Учебным центром «Информзащита» и «БизнесШколаКонсультант».<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Нам есть чем гордиться.
Придуманы и реализованы новые формы и форматы консультационных услуг,
подготовлено множество экспертных заключений, в том числе выложенных для
свободного доступа, которые читали и использовали тысячи специалистов. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">На <a href="http://emeliyannikov.blogspot.com/">наш блог</a>, который, к сожалению,
не удается обновлять постами так часто, как хотелось бы, тем не менее приходят
ежедневно сотни и тысячи читателей. И мы не собираемся останавливаться. До
новых встреч!<span style="mso-spacerun: yes;"> </span></span></p><p></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com4tag:blogger.com,1999:blog-7101910961245278683.post-42043605879917885352021-03-01T18:39:00.002+03:002021-03-01T18:55:46.863+03:00С 27 марта штрафы вновь ужесточили. А ответственности за утечку персональных данных по-прежнему нет<p><span face="Arial, sans-serif">24 февраля подписан Федеральный закон №
19-ФЗ, которым в КоАП РФ вводятся новые виды административных нарушений, связанных
с использованием и обеспечением безопасности сети Интернет, ресурсов и сервисов
сети, а также устанавливается ответственность за них.</span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">В лучших традициях последних лет в
тексте законопроекта для второго чтения появились дополнения и изменения в статью
13.11 КоАП РФ «Нарушение законодательства Российской Федерации в области
персональных данных», которые приняты и вступают в силу с 27 марта 2021 года.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Если коротко, срок привлечения к
ответственности за нарушения законодательства о персональных данных (ст.4.5
КоАП) увеличивается с 3 месяцев до 1 года, что, учитывая обычный срок
подготовки акта проверки и предписания территориальными управлениями
Роскомнадзора (от 1 до 2 месяцев), является весьма значимым изменением,
увеличивающим риск наложения штрафов на операторов по результатам проверок.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Размер штрафов по большинству составов
нарушений, предусмотренных статьей 13.11, вырос в два раза, появились наказания
и довольно суровые за повторное нарушение по ряду оснований.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Более подробно новые штрафы указаны в
таблице ниже.<o:p></o:p></span></p>
<table border="1" cellpadding="0" cellspacing="0" class="MsoTableGrid" style="border-collapse: collapse; border: none; mso-border-alt: solid windowtext .5pt; mso-padding-alt: 0cm 5.4pt 0cm 5.4pt; mso-table-layout-alt: fixed; mso-yfti-tbllook: 1056; width: 100%px;">
<tbody><tr style="height: 18.45pt; mso-yfti-firstrow: yes; mso-yfti-irow: 0;">
<td rowspan="2" style="border: 1pt solid windowtext; height: 18.45pt; mso-border-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 12.08%;" width="12%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; text-align: center;"><span face=""Arial",sans-serif" style="mso-bidi-font-weight: bold;">Часть</span><span face=""Arial",sans-serif"><o:p></o:p></span></p>
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; text-align: center;"><span face=""Arial",sans-serif" style="mso-bidi-font-weight: bold;">ст.13.11</span><span face=""Arial",sans-serif"><o:p></o:p></span></p>
</td>
<td rowspan="2" style="border-left: none; border: 1pt solid windowtext; height: 18.45pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 54.78%;" width="54%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; text-align: center;"><span face=""Arial",sans-serif" style="mso-bidi-font-weight: bold;">Нарушение</span><span face=""Arial",sans-serif"><o:p></o:p></span></p>
</td>
<td colspan="2" style="border-left: none; border: 1pt solid windowtext; height: 18.45pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 33.14%;" width="33%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; text-align: center;"><span face=""Arial",sans-serif" style="mso-bidi-font-weight: bold;">Размер штрафа, тыс. рублей</span><span face=""Arial",sans-serif"><o:p></o:p></span></p>
</td>
</tr>
<tr style="height: 10.35pt; mso-yfti-irow: 1;">
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 10.35pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.74%;" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; text-align: center;"><span face=""Arial",sans-serif" style="mso-bidi-font-weight: bold;">Должн. лица</span><span face=""Arial",sans-serif"><o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 10.35pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.4%;" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; text-align: center;"><span face=""Arial",sans-serif" style="mso-bidi-font-weight: bold;">Юрлица</span><span face=""Arial",sans-serif"><o:p></o:p></span></p>
</td>
</tr>
<tr style="height: 6.4pt; mso-yfti-irow: 2;">
<td style="border-top: none; border: 1pt solid windowtext; height: 6.4pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 12.08%;" valign="top" width="12%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">1<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 6.4pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 54.78%;" valign="top" width="54%">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Незаконная обработка (в случаях, не
предусмотренных законодательством)<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 6.4pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.74%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">10 - 20<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 6.4pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.4%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">60 -100<o:p></o:p></span></p>
</td>
</tr>
<tr style="height: 10.15pt; mso-yfti-irow: 3;">
<td style="border-top: none; border: 1pt solid windowtext; height: 10.15pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 12.08%;" valign="top" width="12%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">1.1<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 10.15pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 54.78%;" valign="top" width="54%">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Повторное нарушение по основаниям
части 1<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 10.15pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.74%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">20 - 50<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 10.15pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.4%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">100 – 300<o:p></o:p></span></p>
</td>
</tr>
<tr style="height: 22.65pt; mso-yfti-irow: 4;">
<td style="border-top: none; border: 1pt solid windowtext; height: 22.65pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 12.08%;" valign="top" width="12%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">2<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 22.65pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 54.78%;" valign="top" width="54%">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Несоответствие (отсутствие) согласия на
обработку в письменной форме<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 22.65pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.74%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">20 - 40<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 22.65pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.4%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">30 – 150<o:p></o:p></span></p>
</td>
</tr>
<tr style="height: 7.45pt; mso-yfti-irow: 5;">
<td style="border-top: none; border: 1pt solid windowtext; height: 7.45pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 12.08%;" valign="top" width="12%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">2.1<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 7.45pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 54.78%;" valign="top" width="54%">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Повторное нарушение по основаниям
части 2<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 7.45pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.74%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">40 - 100<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 7.45pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.4%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">300 – 500<o:p></o:p></span></p>
</td>
</tr>
<tr style="height: 24.75pt; mso-yfti-irow: 6;">
<td style="border-top: none; border: 1pt solid windowtext; height: 24.75pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 12.08%;" valign="top" width="12%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">3<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 24.75pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 54.78%;" valign="top" width="54%">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Отсутствие неограниченного доступа к политике
в отношении обработки персональных данных<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 24.75pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.74%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">6 – 12<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 24.75pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.4%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">30 – 60<o:p></o:p></span></p>
</td>
</tr>
<tr style="height: 9.6pt; mso-yfti-irow: 7;">
<td style="border-top: none; border: 1pt solid windowtext; height: 9.6pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 12.08%;" valign="top" width="12%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">4<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 9.6pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 54.78%;" valign="top" width="54%">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Непредоставление информации субъекту <o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 9.6pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.74%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">8 – 12<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 9.6pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.4%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">40 – 80<o:p></o:p></span></p>
</td>
</tr>
<tr style="height: 19.8pt; mso-yfti-irow: 8;">
<td style="border-top: none; border: 1pt solid windowtext; height: 19.8pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 12.08%;" valign="top" width="12%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">5<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 19.8pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 54.78%;" valign="top" width="54%">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Невыполнение требований об уточнении,
блокировании и уничтожении<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 19.8pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.74%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">8 – 20<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 19.8pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.4%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">50 – 90<o:p></o:p></span></p>
</td>
</tr>
<tr style="height: 11.7pt; mso-yfti-irow: 9;">
<td style="border-top: none; border: 1pt solid windowtext; height: 11.7pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 12.08%;" valign="top" width="12%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">5.1<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 11.7pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 54.78%;" valign="top" width="54%">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Повторное нарушение по основаниям
части 5<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 11.7pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.74%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">30 – 50<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 11.7pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.4%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">300 – 500<o:p></o:p></span></p>
</td>
</tr>
<tr style="height: 29.2pt; mso-yfti-irow: 10;">
<td style="border-top: none; border: 1pt solid windowtext; height: 29.2pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 12.08%;" valign="top" width="12%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">6<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 29.2pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 54.78%;" valign="top" width="54%">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Нарушение требований безопасности при
обработке без средств автоматизации<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 29.2pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.74%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">8 – 20<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 29.2pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.4%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">50 – 100<o:p></o:p></span></p>
</td>
</tr>
<tr style="height: 13.8pt; mso-yfti-irow: 11; mso-yfti-lastrow: yes;">
<td style="border-top: none; border: 1pt solid windowtext; height: 13.8pt; mso-border-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 12.08%;" valign="top" width="12%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">7<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 13.8pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 54.78%;" valign="top" width="54%">
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Нарушение правил обезличивания<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 13.8pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.74%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">6 - 12<o:p></o:p></span></p>
</td>
<td style="border-bottom: 1pt solid windowtext; border-left: none; border-right: 1pt solid windowtext; border-top: none; height: 13.8pt; mso-border-alt: solid windowtext .5pt; mso-border-left-alt: solid windowtext .5pt; mso-border-top-alt: solid windowtext .5pt; padding: 0cm 5.4pt; width: 16.4%;" valign="top" width="16%">
<p align="center" class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm; text-align: center;"><span face=""Arial",sans-serif">–<o:p></o:p></span></p>
</td>
</tr>
</tbody></table>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Про штрафы для физических лиц и
индивидуальных предпринимателей не пишу для краткости, они тоже выросли,
желающие могут посмотреть в тексте закона.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Но ответственности за утечку
персональных данных, от которой как раз и страдают субъекты и о которой столько
разговоров было после катастрофического, с точки зрения атак на субъектов, 2020
года, так и не появилось. Для организации таких атак как раз и использовались
данные, полученные в результате утечек. Но если звезды зажигают, значит это
кому-то нужно…<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Об этих и других изменениях, которые
произошли для операторов и субъектов персональных данных в 2021 году, мы <a href="https://itsecurity.ru/catalog/vb32/?utm_source=site&utm_medium=glavnay&utm_campaign=banner_vb32">подробно
поговорим на вебинаре в Учебном центре «Информзащита» 17 марта</a>.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Среди горячих тем, которые будут
обсуждаться, – «загадочные» <a href="http://emeliyannikov.blogspot.com/2021/01/blog-post.html">персональные
данные, разрешенные субъектом персональных данных для распространения</a>, но с
условиями и ограничениями (кстати, сегодня, 1 марта – день вступления изменений,
внесенных Федеральным законом от 30.12.2020 № 519-ФЗ в силу, а приказ
Роскомнадзора о форме согласия на распространение персональных данных так и не
подписан?), существенное расширение сферы применения единой биометрической
системы и контроль государства над любыми системами биометрической идентификации,
электронный нотариат и электронные трудовые книжки, новые правила дистанционной
(удаленной) работы. И, конечно же, практика применения Правил государственного контроля
и надзора (Постановление Правительства РФ № 146 2019 года) и статьи 13.11 КоАП,
включая часть 8 (часть 9 пока не применялась).<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif">Так что приходите, будет интересно: 4
часа обсуждения нововведений в законодательстве, как показала репетиция
вебинара с нашими заказчиками абонентского обслуживания, пролетят незаметно.<o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-11533224268529211192021-01-18T10:28:00.001+03:002021-01-18T10:28:59.490+03:00Являются ли персональные данные, опубликованные субъектом для неограниченного доступа, общедоступными? <p> <span style="font-family: Arial, sans-serif; font-size: 10pt;">Вопрос, вынесенный в заголовок, выглядит странным. И ответ
на него, вроде бы, очевиден – конечно, да. Но подписанный 30 декабря
президентом </span><a href="https://rg.ru/2021/01/11/personalnie-dannie-dok.html" style="font-family: Arial, sans-serif; font-size: 10pt;">Федеральный
закон № 519-ФЗ</a><span style="font-family: Arial, sans-serif; font-size: 10pt;"> внес сумятицу в умы специалистов, споры о его
содержании идут третью неделю, массу вопросов задали заказчики и коллеги мне,
поэтому пора, наверное, высказать и свою точку зрения.</span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Итак, что поменял закон.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; mso-prop-change: "Зоя Попова" 20210118T0916;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Серьезных изменений в
законе «О персональных данных» на самом деле всего два. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; mso-prop-change: "Зоя Попова" 20210118T0916;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">(1) Появилось
принципиально новое понятие «персональные данные, разрешенные субъектом
персональных данных для распространения».<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">(2) Исключено из закона такое основание для обработки
персональных данных без согласия субъекта, как случаи, когда доступ
неограниченного круга лиц к персональным данным предоставлен субъектом либо по
его просьбе.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">При этом изменения в закон, несмотря на их кардинальную
переработку ко второму чтению, подготовлены крайне неряшливо и непродуманно,
так что аукаться новая редакция будет очень долго и очень болезненно. Более
того, забегая вперед, выскажу свою точку зрения на последствия этого закона:
применяться новые положения будут исключительно точечно и избирательно,
поскольку их массовое применение породит полную сумятицу и хаос.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Итак. Проблема номер один. Как теперь указано в пункте 1.1
статьи 3 закона 152-ФЗ «О персональных данных», согласие дается только на
распространение персональных данных, доступ неограниченного круга лиц к которым
предоставлен субъектом персональных данных, то есть на действия, направленные
на раскрытие персональных данных неопределенному кругу лиц. Данные, которые
субъект разместил, например, в своем профиле в социальной сети или на сайте
объявлений, не могут затем размещаться без его согласия на других ресурсах в
сети Интернет. Напомню, что распространение является всего лишь одним из 18
способов обработки, указанных в пункте 3 статьи 3 закона.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Но в части 2 новой статьи 10.1 закона ограничения внезапно
начинают распространяться на любую обработку персональных данных, раскрытых
неопределенному кругу лиц самим субъектом: «обязанность предоставить
доказательства законности <b>последующего</b> распространения <b>или иной
обработки</b> таких персональных данных лежит на каждом лице, осуществившем их
распространение или <b>иную обработку</b>». Не забываем, что одним из способов
обработки является, например, доступ, и доводим ситуацию до логичного абсурда:
доказывать, что законно прочитал что-то в посте социальной сети должен каждый
читатель (а чтение публикации и есть доступ). Правда, в части 9 этой же статьи возможность
доступа оговаривается отдельно, но эта норма касается оператора,
предоставившего доступ, а не лица, его получившего. И вообще, при чем здесь
иное использование, в то время как нововведения касаются исключительно
распространения?<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Дальше – больше. Части 5 и 9 статьи 10.1 предусматривают <b>возможность</b>
установления субъектом запретов и условий на обработку персональных данных, а
также категорий и перечней персональных данных, для обработки которых эти
условия и запреты устанавливаются. Более того, если из согласия субъекта <b>на
распространение</b> не следует, что субъект не установил запреты и условия или
не определил категории, в отношении которых они установлены, оператор,
получивший данные от субъекта и согласие на их распространение (видимо, криво
составленное субъектом), должен их обрабатывать (внимание!) без передачи,
распространения, предоставления и доступа неограниченному кругу лиц. Еще раз.
Согласие было дано, как следует из статьи 10.1, на распространение, но их
распространение является противоправным, потому что из согласия такая
возможность не следует.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Новые положения вступают в явное противоречие с положениями
более высокоуровневого закона – Гражданского кодекса, часть 1 статьи 152.2 которого
прямо говорит, что запрет на сбор, хранение, распространение и использование
любой информации о частной жизни без согласия гражданина не распространяется на
случаи, когда информация о частной жизни гражданина ранее стала общедоступной
либо была <b>раскрыта самим гражданином или по его воле</b>. А вот
недействительность запрета на обработку в государственных, общественных или
иных публичных интересах почему-то из Гражданского кодекса продублирована в
части 11 статьи 10.1 закона. Очень напоминает известную миниатюру «здесь
играем, здесь не играем, а это пятно, потому что я рыбу заворачивал».<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">При этом в законе о персональных данных по-прежнему
содержатся основания для размещения персональных данных в общедоступных
источниках без согласия субъекта – обработка персональных данных для достижения
целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством
на оператора функций, полномочий и обязанностей, для исполнения договора,
стороной которого является субъект персональных данных, обработка данных,
подлежащих опубликованию или обязательному раскрытию в соответствии с
федеральным законом. В этих случаях и потребовать прекращения обработки не
получится.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Ничего не поменялось и в статье 8 об общедоступных
источниках, она по-прежнему пахнет нафталином прошловековой давности («…могут
создаваться общедоступные источники персональных данных (в том числе справочники,
адресные книги)…») и ничего не знает про ресурсы в сети интернет вообще и
социальные сети в частности.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Впереди нас ждет много интересного – форма согласия на обработку
персональных данных, разрешенных субъектом персональных данных для
распространения, которая, как хочется надеяться, не будет содержать паспортных
данных субъекта и его адреса; создание очередного реестра Роскомнадзора, в
котором будут согласия субъектов на распространение их данных, а на самом деле
– на обработку с указанием перечня персональных данных по каждой из категорий
(еще бы знать, что это – специальные, биометрические, или законодатель имел
ввиду что-то совсем другое?). Я так полагаю, что реестр должен быть общедоступным,
иначе откуда пользователи будут знать, что можно, а что нельзя делать с данными
из перечня по каждой из категорий? <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Очень хочется знать, как на практике будет реализовываться
требование прекратить передачу (распространение, предоставление, доступ) своих
персональных данных, ранее разрешенных субъектом персональных данных для
распространения, к любому лицу, обрабатывающему персональные данные, если к
данным уже получил доступ неопределенный круг лиц. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 10.0pt;">Радует, конечно, что все эти запреты и ограничения не
распространяются на выполнение функций, полномочий и обязанностей, возложенных
законодательством Российской Федерации на федеральные органы исполнительной власти,
органы исполнительной власти субъектов Российской Федерации, органы местного
самоуправления. И это при том, что практически в то же время, когда был принят
закон, 23 декабря прошлого уже года, подписано <a href="http://www.consultant.ru/document/cons_doc_LAW_372754/">Постановление
Правительства РФ № 2249</a>, в соответствии с которым гражданам дано право предоставлять
и отзывать согласие на обработку своих персональных данных в случаях
предоставления органам и организациям, подключенным к единой системе
идентификации и аутентификации (ЕСИА), доступа к информации о физическом лице,
согласия на совершение иных действий, в том числе юридически значимых, с
использованием государственных, муниципальных и иных информационных систем, а
также хранение самих согласий. Но это уже совсем другая песня.<o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com12tag:blogger.com,1999:blog-7101910961245278683.post-92223764713786803072020-12-29T10:20:00.000+03:002020-12-29T10:20:12.508+03:00С Новым 2021 годом!<p><span style="font-family: Arial, sans-serif; font-size: 12pt;">Уважаемые коллеги!</span></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcPobbT9bxdeSh8EbrKugHea-0es-JOTgJAVWnqXddUgh2FnCE92En2n3_vALq8QAI7LNBlBHFQLbvVyIXsngUqX9F0dKuATpupFXMzNmkhDU2_DZkh5YQSrsNTwvN6NBn2HzQ7b-lrQ/s2048/%25D0%25A1+%25D0%259D%25D0%25BE%25D0%25B2%25D1%258B%25D0%25BC+2021_web.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1339" data-original-width="2048" height="261" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcPobbT9bxdeSh8EbrKugHea-0es-JOTgJAVWnqXddUgh2FnCE92En2n3_vALq8QAI7LNBlBHFQLbvVyIXsngUqX9F0dKuATpupFXMzNmkhDU2_DZkh5YQSrsNTwvN6NBn2HzQ7b-lrQ/w400-h261/%25D0%25A1+%25D0%259D%25D0%25BE%25D0%25B2%25D1%258B%25D0%25BC+2021_web.jpg" width="400" /></a></div><p></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Пусть он будет другим – здоровым, позитивным, открытым
всему миру. <br />
Желаем Вам успехов и счастья. <br />
Удовлетворения от сделанного и тепла близких. <br />
Любви и взаимопонимания.<br />
Интересных задумок и их успешной реализации.<span style="mso-spacerun: yes;">
</span><br />
Новых надежных партнеров в бизнесе <br />
и новых радостных впечатлений на отдыхе.<br />
Будьте здоровы!<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;"><br />
С наилучшими пожеланиями,<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Михаил Емельянников, <br />
Зоя Попова<o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-13735360150312049342020-12-11T10:07:00.003+03:002020-12-11T10:07:50.750+03:00Сберегательный образ жулика<p> <span style="font-family: Arial, sans-serif; font-size: 12pt;">Максим Буйлов </span><a href="https://www.kommersant.ru/doc/4604689?from=author_finance"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">опубликовал в
«Коммерсанте»</span></a><span style="font-family: Arial, sans-serif; font-size: 12pt;">
любопытную заметку о биометрии образа Жоржа Милославского.</span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Многим, наверное, запомнился недавно появившийся динамичный
</span><a href="https://www.youtube.com/watch?v=TDl_7-dHg3A" target="_blank"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">ролик</span></a><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;"> Сбербанка, в котором
вор Жорж Милославский из фильма «Иван Васильевич меняет профессию» попадает в
наши дни. Сама по себе идея рекламы банка с жуликом в главной роли выглядит
неоднозначно. Даже учитывая, что он рекламировал «Сбер» еще в 1973 году:
«Граждане! Храните деньги в Сберегательной кассе, если, конечно, они у вас
есть». Но в Сбербанке гордятся примененными передовыми технологиями, которые
позволили, как отметил директор департамента маркетинга и коммуникаций банка
Владислав Крейнин, «зарядить предпраздничным настроением» «несколько поколений
нашей страны».<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Между тем мастерская имитация внешности и голоса Леонида
Куравлева — актера, сыгравшего Жоржа Милославского почти 50 лет назад,— вызвала
пристальный интерес специалистов по информационной безопасности, обсуждавших
ролик в профильном телеграм-канале. И возможности «самых передовых технологий»
Сбербанка привели их вовсе не в праздничное настроение. Российский эксперт в
области информационной безопасности и защиты данных Михаил Емельянников назвал
ролик реквиемом «по ЕБС и биометрии по лицу и голосу в целом» (<i>ЕБС – единая
биометрическая система</i>).<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">…<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt;"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">Полностью заметку можно прочесть в </span><a href="https://www.kommersant.ru/doc/4604689?from=author_finance"><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">газете «Коммерсантъ»
№227 от 10.12.2020, стр. 7</span></a><span style="font-family: "Arial",sans-serif; font-size: 12.0pt;">.<o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com0tag:blogger.com,1999:blog-7101910961245278683.post-54760620108325271702020-12-07T13:07:00.001+03:002020-12-07T13:15:15.003+03:00Осторожно! Каток части 8 статьи 13.11 КоАП тронулся<p><span face="Arial, sans-serif" style="font-size: 10pt;">26 октября мировой
судья в Волгограде </span><a href="http://122.vol.msudrf.ru/modules.php?name=sud_delo&op=cs&case_id=104065823&delo_id=1500001"><span face=""Arial",sans-serif" style="font-size: 10pt;">оштрафовал на 50 тыс.
рублей директора Центра немецкого языка - партнера Гете-Института
Волгоградского государственного социально-педагогического университета</span></a><span face="Arial, sans-serif" style="font-size: 10pt;"> за правонарушение,
предусмотренное частью 8 статьи 13.11 КоАП РФ. То есть за невыполнение
требования о локализации баз персональных данных россиян в период их сбора.
Наказание крайне гуманное, половина минимального штрафа, предусмотренного
статьей, меньше он уже быть не мог. <br /></span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj67cI64aHam18f43zUNUN_THu0_6RSHY5GqBlpmgWRPZVfL_6T4fkdZvwwBuOd-nlF6hgcKI2kQd8KJm9Kg3G8-UZJ1L0DQypfXdvmsgCfXEBc8oZzE4IS9jKTmRyt-ViH8gnmN68u5A/s624/2020_12_13_%25D0%2592%25D0%25BE%25D0%25BB%25D0%25B3%25D0%25BE%25D0%25B3%25D1%2580%25D0%25B0%25D0%25B4%25D1%2581%25D0%25BA%25D0%25B8%25D0%25B9+%25D0%2593%25D0%25A1%25D0%259F%25D0%25A3.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="416" data-original-width="624" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj67cI64aHam18f43zUNUN_THu0_6RSHY5GqBlpmgWRPZVfL_6T4fkdZvwwBuOd-nlF6hgcKI2kQd8KJm9Kg3G8-UZJ1L0DQypfXdvmsgCfXEBc8oZzE4IS9jKTmRyt-ViH8gnmN68u5A/s320/2020_12_13_%25D0%2592%25D0%25BE%25D0%25BB%25D0%25B3%25D0%25BE%25D0%25B3%25D1%2580%25D0%25B0%25D0%25B4%25D1%2581%25D0%25BA%25D0%25B8%25D0%25B9+%25D0%2593%25D0%25A1%25D0%259F%25D0%25A3.png" width="320" /></a></div><p></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Вот только, судя по
опубликованным материалам дела, штраф наложен просто за трансграничную
передачу, сведения о которой университет не указал в уведомлении в
Роскомнадзор. Потому как никаких следов исследования судом вопросов именно
локализации в постановлении нет.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Что есть. У лиц,
пришедших на экзамен по немецкому языку, взяли согласие на обработку
персональных данных</span> <span face=""Arial",sans-serif" style="font-size: 10pt;">и
их дальнейшую передачу Немецкому культурному центру имени Гете при Посольстве Германии
в Москве и Гете-Институту в Мюнхене (Германия). По мнению проводивших проверку
Центра немецкого языка представителей Управления Роскомнадзора по Волгоградской
области и Республике Калмыкия, такое согласие нарушает положения статьи 12 (трансграничная
передача) и, (внимание!), статьи 22 (уведомление об обработке персональных
данных) закона 152-</span> <span face=""Arial",sans-serif" style="font-size: 10pt;">ФЗ.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Несчастный директор
Центра немецкого языка свою вину полностью признала в полном объеме и
раскаялась, сообщила, что в Мюнхен теперь информацию о сдающих экзамен и его результатах
передавать не будут. Университет, на всякий случай, еще до суда привлек
директора Центра к дисциплинарной ответственности за то, что она не сообщила
о трансграничной передаче, и уведомление в Роскомнадзор оказалось не совсем,
скажем, корректным, поскольку в нем сведений о трансграничке не было.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">А теперь описание «страшного»
правонарушения. После получения согласия данные сдававших экзамен (фамилии,
имена, даты рождения, места рождения, уровни подготовки по программам данных
изучения языка) загружались в приложение «Олимп», веб-сервер которого находится
в Германии, что свидетельствует о трансграничном обмене персональными данными. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Это все. За это, по
мнению Роскомнадзора и суда, положен штраф по части 8 статьи 13.11 КоАП РФ.
Вопрос, фиксировались ли эти данные в других системах Университета и Центра
немецкого языка (а мой опыт многолетнего участия в государственных экзаменах
вуза подсказывает, что обязательно фиксировались, иначе на экзамен не попадешь)
ни представителей Роскомнадзора, ни суд не заинтересовал. А ведь именно он
является решающим при оценке выполнения требования о локализации.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Прецедент крайне
опасный по своим последствиям. Такая трактовка требований о локализации может
привести к полной переоценке допустимости трансграничной передачи персональных
данных в принципе. И очень жаль, что ни представители надзорного органа, ни судьи,
ни адвокаты (а адвокат директора Центра, судя по материалам дела, этот вопрос
не поднимала, а лишь просила учесть смягчающие обстоятельства) в законе,
который применяют, так и не разобрались.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">Кстати, это дело дает
наглядный ответ на вопрос, который наши заказчики задают постоянно: кто это
загадочное должностное лицо, которое могут привлечь по статье 13.11? Это судья
сформулировала четко, сославшись на статью 2.4 КоАП РФ. </span><a href="http://www.consultant.ru/document/cons_doc_LAW_34661/de33c73dc4e364406642dc44f280f59154201a2e/"><span face=""Arial",sans-serif" style="font-size: 10pt;">Определение очень
большое</span></a><span face=""Arial",sans-serif" style="font-size: 10pt;">,
больше моего поста, любопытные могут посмотреть сами по ссылке Отвечу коротко –
любое лицо, выполняющее организационно-распорядительные или
административно-хозяйственные функции. Директор Центра, например, в
соответствии с трудовым договором и должностной инструкцией, должна вносить
достоверные данные «в Управление Роскомнадзора по Волгоградской области и
республике Калмыкия» (цитата). Поэтому, решила судья – она должностное лицо.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 6pt;"><span face=""Arial",sans-serif" style="font-size: 10pt;">У меня все. Занавес.<span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com1tag:blogger.com,1999:blog-7101910961245278683.post-68519051422859787432020-11-06T08:55:00.003+03:002020-11-06T09:04:40.752+03:00Обстоятельное интервью о проблеме персональных данных в России<p></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><a href="https://cisoclub.ru/intervyu-s-mihailom-emelyannikovym-o-zashhite-personalnyh-dannyh/?fbclid=IwAR1NSDJDiQkDqsFjcYOqeNPeJp0_JrORAKfGzxpFtln2DtHVx4uJB2Vvv_0"><span face=""Arial",sans-serif" style="font-size: 12pt;">Портал </span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 12pt; mso-ansi-language: EN-US;">CISO</span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 12pt;">
</span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 12pt; mso-ansi-language: EN-US;">Club</span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 12pt;"> </span><span face=""Arial",sans-serif" style="font-size: 12pt;">опубликовал мое интервью о ситуации с
законодательством о персональных данных и правоприменением</span></a><span face=""Arial",sans-serif" style="font-size: 12pt;">. Спасибо коллегам с
портала за отличный подбор вопросов. Это, наверное, самое полное и системное
изложение моего видения проблемы персональных данных в России. На портале
опубликовано еще много замечательных интервью с самыми интересными и известными
людьми отрасли и других полезных публикаций. Очень рекомендую.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 12.0pt; margin-left: 0cm; margin-right: 0cm; margin-top: 12.0pt; margin: 12pt 0cm;"><b><span face=""Arial",sans-serif" style="font-size: 12pt;">Интервью с Михаилом Емельянниковым о защите
персональных данных<o:p></o:p></span></b></p><p class="MsoNormal" style="line-height: normal; margin-bottom: 12.0pt; margin-left: 0cm; margin-right: 0cm; margin-top: 12.0pt; margin: 12pt 0cm;"><b><span face=""Arial",sans-serif" style="font-size: 12pt;"></span></b></p><div class="separator" style="clear: both; text-align: center;"><b><span face=""Arial",sans-serif" style="font-size: 12pt;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjImQw-LNk4moEpF6wblZsqp4IFgYmwzKflBdQMzIMqlXeQFBWcIp01w5JK2osRdbKnFrmXGN-dUlBgi83Hji3kIwFLky0W4NtVB8MFl8lMPPBACBVlODKdwuINoxwzHY8XN13YGef62g/" style="margin-left: 1em; margin-right: 1em;"><img alt="" data-original-height="1022" data-original-width="1536" height="213" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjImQw-LNk4moEpF6wblZsqp4IFgYmwzKflBdQMzIMqlXeQFBWcIp01w5JK2osRdbKnFrmXGN-dUlBgi83Hji3kIwFLky0W4NtVB8MFl8lMPPBACBVlODKdwuINoxwzHY8XN13YGef62g/w320-h213/image.png" width="320" /></a></span></b></div><p></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">1)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Что такое персональные данные? Каков минимальный состав
персональных данных? Телефон или телефон и ФИО это персональные данные?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Закон определяет персональные данные как любую информацию,
относящуюся к прямо или косвенно определенному или определяемому физическому
лицу. Такая формулировка допускает сколь угодно широкое определение того, что
является персональными данными. Персональными данными является любая
информация, относящаяся к известному оператору лицу или любая информация,
позволяющая определить конкретное физическое лицо. И минимального состава
данных здесь нет, он зависит от конкретного контекста обработки. Например,
номер телефона и ФИО – это всегда персональные данные, но для оператора связи
всего лишь номер телефона его абонента – тоже персональные данные, поскольку
владелец номера оператору известен. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">С учетом проникновения в нашу жизнь Интернета все больше
регуляторов и специалистов рассматривают профили анонимных посетителей сайтов,
позволяющие этих посетителей различать, отличать друг от друга, прогнозировать
их поведение, таргетировать рекламу тоже как персональные данные. После
принятия </span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 12pt; mso-ansi-language: EN-US;">GDPR</span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 12pt;"> </span><span face=""Arial",sans-serif" style="font-size: 12pt;">ряд европейских специалистов говорили о том,
что адрес электронной почты, составленный из полного имени, фамилии и названия
компании уже сам по себе является персональными данными.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Абсолютно все, что работодатель знает о своем работнике,
является персональными данными для работодателя как оператора.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">2)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Является ли фото без ФИО и прочих данных персональными
данными? Какие есть особенности при защите биометрических персональных данных?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Фото без сведений о его владельце персональными данными не
является, за исключением случая, когда оно используется в системе распознавания
лиц, в которой уже есть математический шаблон изображения лица владельца.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Например, Единая биометрическая система, в которую вносятся
фото и слепки голоса клиентов банка, - анонимная, в ней есть только
идентификатор владельца из ЕСИА, но она является информационной системой
персональных данных.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">С другой стороны, фото даже с указанием того, кому оно
принадлежит, вне системы распознавания лиц, используемой для биометрической
идентификации, биометрическими данными на является.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Биометрическая система персональных данных не может иметь
уровень защищенности ниже третьего, поэтому, по сравнению с наиболее
распространенными системами 4 уровня защищенности, в ней надо использовать
большее количество мер обеспечения безопасности. Плюс для биометрических данных
есть довольно жесткие ограничения, связанные с возможностью их обработки.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">3)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">С чего начать руководителю отдела ИБ при подходе к задаче
защиты персональных данных? Кто должен участвовать в организации процесса по
защите персональных данных кроме CISO?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Я считаю, что организация работы с персональными данными в
организации – вообще задача не CISO. Руководитель службы ИБ должен решать
вопросы реализации организационных и технических мер безопасности при обработке
персональных данных в автоматизированных системах, и начинать надо с
нормативки: правильно установить уровень защищенности персональных данных,
сформировать модель или перечень актуальных угроз, определить механизмы их
нейтрализации и средства которыми они будут реализованы с учетом возможности
использования как базовых, так и компенсирующих мер. А затем строить подсистему
безопасности вместе со специалистами ИТ-подразделения.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Важное место здесь занимает правильное назначение прав
пользователям системы, которое невозможно сделать без взаимодействия с
руководителями бизнес-подразделений, обрабатывающих персональные данные.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">4)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Защита персональных данных – это формальность для
выполнения требований регуляторов или необходимый набор мер с точки зрения
реальной безопасности?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Это может быть и формальностью, но особой необходимости
заниматься формализмом нет – проверить реализацию мер защиты в
негосударственной системе сегодня без специального наделения правительством
соответствующими полномочиями не может никто (исключение здесь, пожалуй, только
банки, поскольку Банк России имеет соответствующие полномочия, хотя в законе
они и не прописаны). Но те, для кого персональные данные являются ценностью –
банки, страховые компании, операторы связи и т.д., как правило, защищают данные
не только для формальной демонстрации регуляторам. Но и здесь количество утечек
говорит о недостаточности усилий, скорее всего – из-за отсутствия последствий в
случае неправомерного доступа третьих лиц к персональным данным.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">5)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Нужна ли неавтоматизированная обработка персональных данных
в 2020 году? Какие существуют принципиальные отличия по защите <a name="_Hlk55386514">персональных данных </a>в «бумажном» и электронном виде?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Пока без нее обойтись нельзя. Не все вопросы решаются
онлайн, но сфера бумажного документооборота неуклонно сужается. Вот и новые
«бумажные» трудовые книжки с 2021 года выдавать не будут.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Отличия в защите принципиальны. При неавтоматизированной
обработке документы с персональными данными необходимо защитить только от
физического доступа к ним злоумышленника, при автоматизированной варианты атак
гораздо более разнообразны, в том числе они могут совершаться удаленно, поэтому
и защищаться надо от большого количества внутренних и внешних угроз.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">6)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Процесс защиты персональных данных лучше доверить
подрядчику или выполнить самим? Где взять шаблоны и примеры ОРД?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Это зависит от того, какими силами и средствами располагает
оператор. Если служба ИБ большая, в ней работают квалифицированные кадры, то
многие задачи она сможет решить самостоятельно. Но даже в таких организациях
комплексное проектирование развертывание больших и сложных систем безопасности
делает подрядчик. У многих же операторов службы ИБ и даже ИТ вообще нет.
Естественно, в них работы будут выполняться внешним подрядчиком. Кроме того,
всё большая миграция в дата-центры и облака сводит участие оператора в
обеспечении безопасности к минимуму. Все более популярными становятся </span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 12pt; mso-ansi-language: EN-US;">SecaaS</span><span face=""Arial",sans-serif" style="font-size: 12pt;">
и услуги внешних </span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 12pt; mso-ansi-language: EN-US;">SOC</span><span face=""Arial",sans-serif" style="font-size: 12pt;">. Так что будущее – за аутсорсингом.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">7)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Как подготовиться к проверке регуляторов? Верно
утверждение, что проверки подлежат только ОРД, наличие СЗИ и их настройки
нередко остаются без внимания?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Готовиться надо, проводя внутренний контроль или внешний
аудит соответствия обработки требованиям законодательства и ревизию своих
локальных нормативных актов. Поскольку Роскомнадзор не имеет полномочий по
проверке требований статьи 19 закона «О персональных данных», определяющей
состав и содержание мер безопасности, а ФСБ и ФСТЭК без наделения их
полномочиями Правительством РФ прийти с проверкой в коммерческую организацию не
могут, вопросы технической защиты остаются в негосударственных системах вне
контроля регуляторов. Исключения, как я отмечал выше составляют банки. Есть еще
мероприятия прокурорского надзора, к которым привлекаются эксперты из
территориальных органов ФСБ России. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Но не надо забывать, что Роскомнадзор, кроме ОРД, проверяет
еще и процессы, и вот там как раз выявляется наибольшее количество
нарушений.<span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">8)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Легитимно ли использовать несертифицированные ФСТЭК и ФСБ
СЗИ? По каким критериям следует выбирать СЗИ для защиты персональных данных?
Эффективны ли организационные меры вместо внедрения СЗИ? <o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Приказ ФСТЭК № 21 прямо допускает применение компенсирующих
мер, кроме того, ФСТЭК, начиная примерно с 2017 года, допускает применение не
только сертификации, но и иных способов оценки соответствия. В частности,
испытаний и приемки, которые оператор может выполнитель самостоятельно.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">ФСБ иных способов оценки соответствия, кроме сертификации,
не признает, однако сертифицированные СКЗИ нужны для нейтрализации актуальных
угроз, так что при определении необходимости использования СКЗИ начинать надо
именно с оценки угроз. Кроме того, на сайте ФСБ есть Извещение от 18.07.2016, в
котором указано, что обязательная сертификация средств шифрования не требуется
при передаче сообщений в сети Интернет, массово применяемых для защиты
сведений, не составляющих государственную тайну.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">А СЗИ необходимо выбирать, в первую очередь, исходя из
функционала, способности нейтрализовать актуальную угрозу, совместимости с
другими технически средствами в информационной системе, а не в зависимости от
наличия голографической наклейки.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Организационные меры полностью заменить технические не
могут, но иногда полезны и, как правило, гораздо более дешевы.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">9)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Как защитить персональные данные в облаке? Что делать если
облако находится за пределами РФ?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">При размещении персональных данных в облаке необходимо
прописать в договоре с провайдером состав и содержание мер, обеспечивающих
соответствие необходимого и известного оператору уровня защищенности, и ответственность
провайдера за их несоблюдение. Здесь наиболее эффективными мерами являются
штраф или неустойка в случае нарушения требований безопасности, которые не
требуют доказательства размеров понесенных заказчиком-оператором убытков.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">При размещении данных в зарубежном облаке следует тщательно
изучить описание мер безопасности, принимаемых провайдером (они серьезными
игроками прописываются очень детально), и оценить их достаточность для защиты
размещаемых в облаке персональных данных. Риски, конечно, лежат на операторе,
но и значимых утечек по вине провайдеров практически нет, в отличие от
операторов.<span style="mso-spacerun: yes;"> </span><o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">10)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Насколько эффективно внедрять ИСПДн с несколькими УЗ? Или
лучше «построить» одну ИСПДн, соответствующую максимальным требованиям по
защите ПДн?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Одна ИСПДн максимального уровня защищенности, с точки
зрения проектирования может быть и предпочтительнее, но цена средств защиты и
их эксплуатации, которые не являются необходимыми для некоторых ее компонентов,
может оказаться более значимым фактором при принятии решения. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Мы часто встречаемся в проектах со случаями, когда крупный
оператор, использующий большое количество различного прикладного программного
обеспечения и СУБД, объединяет эти компоненты в системы по функциональному
признаку (персонал, заказчики, конечные потребители и т.д.), и такой подход для
некоторых операторов может оказаться оптимальным.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">11)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Аутсорсинг ИБ, ИТ и отсутствие собственных СЗИ – это
преграда для защиты персональных данных?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Напротив, это совсем не преграда, а способы выполнить
требования закона без дополнительного штата персонала, а часто – и дешевле, чем
полностью своими силами.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">12)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Для каких случаев актуально обезличивание персональных
данных? Приведите примеры.<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Обезличивание эффективно всегда, поскольку утечка
обезличенных данных, как правило, не влечет серьезных последствий для субъекта.
Но оно возможно не во всех системах. К тому же, надо различать обратимое
обезличивание (псевдономизацию в </span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 12pt; mso-ansi-language: EN-US;">GDPR</span><span face=""Arial",sans-serif" style="font-size: 12pt;">) и необратимое
(анонимизацию в том же европейском регламенте). Наше законодательство об этих
различиях молчит, что порождает путаницу.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Кроме того, Роскомнадзор примерно с 2016 года занял очень
странную для меня позицию, в соответствии с которой обезличивать персональные
данные могут только те операторы, которым это предписано законом, и постоянно
делает операторам по этому поводу замечания при проверках, рекомендуя удалить
упоминания об обезличивании из локальных актов. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Поэтому этот способ снижения негативных последствий
инцидентов с персональными данными у нас используется редко, а жаль.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">А пример приведу один. Оператор решил перенести «разбухшую»
CRM-систему в облако за рубежом. Размещение там обезличенных данных упрощает
выполнение требований законодательства, не требует согласия субъектов, в то же
время наличие базы индексов, которыми заменены идентифицирующие данные в CRM,
локально у оператора в России позволяет использовать весь функционал
CRM-системы зарубежного вендора.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">13)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">В чем разница между отечественным и западным
законодательством по защите информации ограниченного доступа, в том числе
персональных данных?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Если сравнивать закон «О персональных данных» и регламент
Евросоюза </span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 12pt; mso-ansi-language: EN-US;">GDPR</span><span face=""Arial",sans-serif" style="font-size: 12pt;">, различия очевидны. </span><span face=""Arial",sans-serif" lang="EN-US" style="font-size: 12pt; mso-ansi-language: EN-US;">GDPR</span><span face=""Arial",sans-serif" style="font-size: 12pt;"> гораздо более
детальный, с большим количеством определений используемых терминов и примеров,
разъяснений. У нас – только требования, но при этом значительная часть
применяемых в законе понятий не определена, что очень мешает его буквальному
толкованию и единообразному применению.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Следующее отличие – концептуальное. Европейский регламент
основан на риск-ориентированном подходе, от оператора (контролера) постоянно
требуется оценивать риски для субъектов, риски использования новых технологий,
массовой обработки данных и т.д. В 152-ФЗ слово «риск» не используется ни разу!<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Из такого подхода вытекает еще одно серьезное отличие.
Регламент не содержит конкретных требований к обеспечению безопасности и не
предполагает принятие для их детализации нормативных актов. Оператор сам
определяет состав и содержание мер, может пользоваться или не пользоваться
стандартами и т.д.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Но следствие этого – значительно более серьезная
ответственность за инциденты, в первую очередь – за утечку, порядок действий
при которой детально расписан, и его несоблюдение само по себе влечет огромные
штрафы.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">И максимальный размер штрафов – это тоже существенное
различие российского и европейского законодательства. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">14)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Какие меры необходимо принять для более эффективного
внедрения процесса обеспечения безопасности персональных данных помимо
увеличения штрафов?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Надо заняться, наконец-то, защитой прав субъектов, а не
проверкой выполнения формальных требований типа подачи уведомления об обработке
и его содержания. Исправить ошибки и несоответствия в законе, которых до сих
про достаточно. Переключиться на проверку организаций, допустивших серьезные
инциденты, а не отобранных по непрозрачным критериям компаний и учреждений, где
ни инцидентов, ни жалоб субъектов не было.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Штрафы надо не только увеличивать, но и ввести, в первую
очередь, штрафы за утечку независимо от виновника такого инцидента. И
привлекать к ответственности не за невыполнение требований, часто избыточных и
формальных, а за нанесение вреда субъекту, нарушение его прав и неправомерные
действия с персональными данными.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">15)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Как стать экспертом по защите персональных данных? Какие
учебные курсы необходимо закончить?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Курсы нужны, чтобы войти в тему, разобраться в основах или
конкретных узких вопросах. Экспертом они не сделают. Надо много читать, думать,
пытаться разобраться в сложных вопросах, которых очень много, работать в живых
проектах, общаться с регуляторами и надзорными органами, активно взаимодействовать
с коллегами. Это очень долгий и сложный путь, требующий много времени и больших
усилий. <o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">16)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Какие изменения ждет законодательство в области защиты
персональных данных в России?<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">К сожалению, тенденции неутешительные – все большее
ограничение приватности, все большее вмешательство государственных органов и
увеличение их прав, бесконтрольное накопление и хранение все большего объема
сведений о субъектах госорганами и частными компаниями, создание всевозможных
«цифровых рейтингов», которые в перспективе будут затрагивать права и свободы
граждан, построение глобальной системы слежения с использованием распознавания
лиц, номеров автомобилей, геолокации и т.д.<o:p></o:p></span></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 36.0pt; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm 36pt; mso-list: l0 level1 lfo1; text-indent: -18pt;"><!--[if !supportLists]--><i><span face=""Arial",sans-serif" style="font-size: 12pt; mso-fareast-font-family: Arial;"><span style="mso-list: Ignore;">17)<span style="font: 7pt "Times New Roman";">
</span></span></span></i><!--[endif]--><i><span face=""Arial",sans-serif" style="font-size: 12pt;">Ваше личное мнение относительно последних новостей в СМИ по
сбору персональных данных правительством Москвы.<o:p></o:p></span></i></p>
<p class="MsoNormal" style="line-height: normal; margin-bottom: 0cm; margin-left: 0cm; margin-right: 0cm; margin-top: 6.0pt; margin: 6pt 0cm 0cm;"><span face=""Arial",sans-serif" style="font-size: 12pt;">Отрицательное. Эти меры не способствуют достижению
декларируемой цели, вводятся со значительными нарушениями законодательства и
принуждением к его нарушению санкциями вплоть до административной приостановки
деятельности, непропорциональны и избыточны, не эффективны. Их принятие будет
иметь очень серьезные последствия для граждан и бизнеса, но для граждан – в
первую очередь.</span></p><p></p>Михаил Юрьевич Емельянниковhttp://www.blogger.com/profile/02718738745562762098noreply@blogger.com2