Показаны сообщения с ярлыком ФЗ 152. Показать все сообщения
Показаны сообщения с ярлыком ФЗ 152. Показать все сообщения
5 июня 2011 г.
Персональные данные: технари наконец-то передают эстафетную палочку юристам
Встречи с представителями российских банков на семинаре «Сложные проблемы применения законодательства о персональных данных в кредитно-финансовых учреждениях» подтверждают вывод, сделанный ранее и ставший причиной создания этого семинара – проблема соответствия российскому законодательству о персональных данных медленно, но уверенно выводится из ведения специалистов по информационной безопасности и уходит к профессиональным юристам. Т.е. то, что выглядело наиболее логичным с момента принятия закона, со значительным опозданием, но все-таки происходит.
Отбросив явно завышенные требования регуляторов к технической защите в их первых нормативно-методических документах, можно спокойно констатировать, что ничего принципиально нового с точки зрения механизмов защиты информации от операторов никто и не требует. Камнем преткновения остается обязательность сертификации СЗИ, особенно на отсутствие недекларируемых возможностей (НДВ). Но Постановление Правительства № 330-2010, фактически единственный нормативно-правовой акт, где прямо говорится об обязательной сертификации, так и не стало доступным, и большинство операторов махнули на него рукой – невидимый объект не существует. А сертификация на отсутствие НДВ с легкой руки Банка России, движение которой оставило яркий след в СТО БР ИББС, обходится просто и элегантно – по формальным признакам ИСПДн относится к специальным, и тогда вопрос об отнесении ее к конкретному классу является предметом бесконечной дискуссии, поскольку регуляторы ничего внятного по этому поводу так и не сказали. Любое экспертное мнение имеет право на жизнь, но это все-таки не более чем мнение одного конкретного человека.
Все остальное решается более или менее просто, продуктов на рынке достаточно, есть известные «дыры» в требованиях типа проблем безопасности в виртуальной среде или при терминальном доступе, но они существуют и без персональных данных, и решать их так или иначе придется все равно.
С правовыми проблемами гораздо хуже. Они оставались в тени, несмотря на периодические вопли технарей, а сейчас стали выдвигаться на первый план, во многом – благодаря активности Роскомнадзора и его территориальных управлений.
Надо ли получать согласие пациента районной больницы на обработку его персональных данных? Если да, то кому? В каких отношениях с точки зрения ФЗ-152 находится средняя школа, ее ученики и их родители? Должен ли банк иметь подтверждаемое согласие на обработку персональных данных плательщика и получателя при отплате товаров и услуг без открытия банковского счета? Надо ли и можно ли уведомлять выгодоприобретателя по вкладу об обработке его персональных данных банком, если на это нет согласия вкладчика? Является ли медсестра, вносящая под диктовку врача сведения в историю болезни, «лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну»?
Вопросы, первоначально обрушившиеся на совершенно не готовых к ним специалистов по информационной безопасности, наконец-то стали обсуждаться юристами. В последнее время на моих семинарах в среднем был только один технарь из 20 участников-юристов или кадровиков. И очень здорово, что совместными усилиями с правоведами мы выяснили, что персональные данные клиентов банка ни в коем случае нельзя уничтожать в течение трех суток после прекращения договора о предоставлении банковских услуг, поскольку сроки исковой давности требуют их хранения в течение трех лет. Налоговый кодекс, если банк выполнял функции налогового агента, предусматривает четыре года хранения, а закон о противодействии отмыванию незаконно полученных доходов (115-ФЗ) предусматривает, что копии документов, необходимых для идентификации личности клиента банка, подлежат хранению не менее пяти лет со дня прекращения банком отношений с ним. Причем преждевременное уничтожение этих сведений может стать основанием для привлечения к административной и даже уголовной ответственности.
Мы выстроили схему ухода под законодательство об архивном деле для реализации принципа «Знай своего клиента» без нарушений ФЗ «О персональных данных» и придумали рецепты лечения многих других болезней или их симптомов, спровоцированных непроработанностью 152-ФЗ. Без острых, нелицеприятных вопросов правоведов это было бы невозможным. Есть описанные проблемы, есть формализованные пути их решения, объем которых с каждым новым семинаром растет.
Наступает время, когда пироги будет печь пирожник, а сапоги тачать сапожник. Ну, а те, кто успел освоить и то и другое, активно в процессах поучаствуют.
31 мая 2011 г.
Как в воду глядел…
Сколько замечательных литературных штампов было рождено в недавнюю эпоху. Штамп – он потому и штамп, что безусловно верен как вербальное выражение коллективного опыта, по сей причине часто используемое. Сегодня – про идею, овладевшую массами и ставшую материальной силой.
Попытка построить е-правительство любой ценой, не вкладывая в это особо денег (как квинтэссенция: «Реализация Федерального закона «О персональных данных» бюджетных ассигнований не требует» - из пояснительной записки к проекту ФЗ-152) очевидно должна была привести к весьма неоднозначным (я предельно мягок) последствиям.
Они наступили.
Год назад, в комментариях Яне Милюковой из BFM.ru решение ФМС регистрировать граждан по месту жительства, используя электронную почту, я честно сказал: «Электронная почта не защищена в принципе, сообщения передаются в открытом виде, могут быть сравнительно легко перехвачены квалифицированными пользователями сети Интернет или просто прочитаны администраторами транзитных серверов, через которые проходит электронная почта. И без установки на компьютерах граждан специальных программ решение проблемы [безопасности] представляется невозможным. Но этому препятствует приказ МЭР 2009 года № 470, запрещающий установку какого-либо софта на компьютерах граждан для получения ими государственных электронных услуг».
Идея воспользоваться очевидными возможностями овладела массами быстро. В конце апреля этого года наша окружная газета «За Калужской заставой» (теперь это не в Брунее, это в Москве) опубликовала душещипательное письмо гражданки Н.С. из Гагаринского района (обезличиваю персональные данные) о двоих неизвестных, зарегистрировавшихся в ее квартире через ФМС посредством электронной почты. Начальник управления социального развития префектуры ЮЗАО г-жа Р.Пустынникова в той же газете печально согласилась, что «подобные случае нередки…», а обязательное в случае использования электронной почты уведомление о регистрации «вы могли и не заметить и выбросить вместе с рекламной макулатурой, которой заполнены почтовые ящики». Позиция беспроигрышная.
Такой порядок реализует беспрецедентные возможности, предоставленные гостям столицы и ее окрестностей, а также прочих регионов страны, менее продвинутых в ИТ, Постановлением Правительства № 885 от 11.11.2010 г., о последствиях которого я и пытался рассказать корреспонденту BFM.ru. Москвичи не одиноки – примерно то же творится в Питере. ФМС, естественно, заявляет, что все – это галлюцинации квартировладельцев. Самое интересное, что, по мнению адвокатов, добиться отмены регистрации можно только через суд. То есть зарегистрироваться – по электронной почте, а выписать – по решению суда. Сказка.
Вчера тестировал другие возможности сайтов госэлектроуслуг.
На сайте Службы судебных приставов – новые возможности. Теперь о судебном производстве в отношении конкретных граждан можно узнать не только при знании их ФИО, номера паспорта или ИНН. Достаточно ФИО, населенного пункта и названия улицы (без номера дома и квартиры). Работает.
Чтобы попасть в личный кабинет любого физлица-налогоплательщика и узнать обо всех его проблемах с налоговой, достаточно ФИО, ИНН и региона проживания (зачем просят, непонятно – вводится автоматически после ИНН). Все. Где сейчас необходимо указывать ИНН – даже говорить не хочется. Ну, очень конфиденциальные сведения.
Естественно, все «заходы» к приставам и налоговикам идут по HTTPS(OpenSSL, RSA – для понимающих, о чем я). Привет всем, потратившим деньги на сертифицированную криптографию.
Как говаривал незабвенный сатирик товарищ Аркадий Райкин, «успехов всем» в борьбе за сохранность личной тайны, своих прав и размеров коммунальных платежей.29 мая 2011 г.
Законы – для граждан, права – для чиновников?
Умеют у нас чиновники правильно обставить события и организовать информирование о них. О том, что новый мэр Москвы лично инспектирует вокзалы, дворы и подъезды, знают все – это освещают телеканалы, об этом полно информации в интернете, пишут все московские газеты.
А вот о подписании господином Собяниным 12 мая скромного распоряжения № 376-РП «О базовом регистре информации, необходимой для предоставления государственных услуг в г. Москве» почти никто не знает. Да и обсуждения по этому поводу никто не устраивал.
А зря. Документ очень и очень интересный. В соответствии с ним создается новый информационный ресурс Правительства Москвы, без которого, как полагают авторы распоряжения, услуги москвичам в электронном виде предоставлять будет нельзя, потому как (цитирую): «Базовый регистр является основным источником сведений для принятия и оформления решений, формирования документов, используемых в процессе предоставления государственных услуг».
Не поленюсь перечислить все те сведения о живущих ныне и умерших москвичах, которые будут храниться в регистре: фамилия, имя и отчество, пол, гражданство, дата и место рождения, дата, место и причина смерти, СНИЛС (страховой номер индивидуального лицевого счета в Пенсионном фонде России), ИНН, номер полиса ОМС, СНИЛСы родственников и супругов с указанием родственных отношений, место регистрации с указанием даты начала и конца. Для всех перечисленных сведений указываются также основания – получение фамилии, имени, отчества, смерти и т.п., выдачи соответствующих полисов, учетных и идентификационных номеров. Но это только начало. Дальше – больше. В регистр включаются все сведения об оказываемых жителю столицы мерах социальной поддержки, отношении к льготным категориям с указанием основания, естественно, со всеми датами. Там же будут храниться все сведения о сделках с недвижимостью с указанием данных о сторонах сделок, ограничении и обременении вещных прав на объекты. Но без сведений о движимом имуществе счастье чиновников было бы неполным. Поэтому в регистре будут все сведения о транспортных средствах (те же, что и МРЭО ГАИ, или как они теперь там называются). Ну, и конечно, в реестре должны быть все сведения о доходах каждого гражданина – с указанием источника дохода, конечно, включая доходы от операций с ценными бумагами и финансовыми инструментами, сведения о доходах за пределами страны, а также о доходах от предпринимательской и адвокатской деятельности и частной практике. Ну, и напоследок – все сведения о земельных участках и строительстве на них.
Про то, как будет обеспечиваться информационная безопасность этого колоссального массива исчерпывающей информации о гражданах, по традиции, пара строчек: «Защита сведений Базового регистра осуществляется в соответствии с федеральными законами, иными правовыми актами Российской Федерации». Все. Про персональные данные и о деньгах на защиту – ни слова.
Между тем документ рождает целый ряд вопросов к его авторам.
Федеральный закон о персональных данных категорически запрещает (ст.5) объединение созданных для несовместимых между собой целей баз данных информационных систем персональных данных, что, несомненно, имеет место при создании регистра. Кроме того, ст.13 закона прямо устанавливает, что правовой статус государственного регистра населения, создаваемого в связи с обработкой их персональных данных в государственных или муниципальных информационных системах должен быть установлен специальным федеральным законом. Такого закона пока нет.
Никто не отменял и предусмотренную ст.18 обязанность оператора, получившего персональные данные не от субъекта, а от иных лиц, до начала их обработки этого самого субъекта найти и сообщить ему информацию об операторе, целях и правовых основаниях обработки, пользователях персданных и правах субъекта, например, таких, как возможность отзыва согласия на обработку сведений. Да и требование доказывания оператором наличие согласия субъекта на обработку его данных является одним из краеугольных положений действующего закона, и пока неизвестно, будут ли приняты поправки В.М.Резника, предусматривающие возможность декларирования условия соглашения об обработке персданных путем размещения в форме, доступной для ознакомления неограниченному кругу лиц, или путем его предоставления по требованию.
Хотелось бы узнать, кто, в данном случае, является оператором, каким образом он может подтвердить наличие именно моего согласия (сразу оговорюсь, я его не давал и не дам), а также когда меня начнут информировать о передаче данных между различными органами и организациям ми Москвы.
Речь здесь даже идет не о «большом брате». Он и так смотрит на нас. Я готов начать заключение пари на срок, в течение которого после создания Базовый регистр появится на Горбушке, и Митинском радиорынке и популярном месте торговли базами данных на углу Маросейки и Лубянского проезда – прямо напротив здания президентской администрации. И запуск в оборот еще одного пособия для московских и заезжих домушников без принятия надлежащих мер безопасности меня, как жителя Москвы, тревожит. Что надлежащих мер не будет, сомнений, к сожалению, нет. Читаем пояснительную записку депутата А.Г.Аксакова к законопроекту, в очередной раз передвинувшему создание систем безопасности еще на полгода, до 1 июля: «Выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований к информационным системам персональных данных потребует резкого увеличения расходов из бюджетов всех уровней, что неосуществимо в условиях кризиса. Кроме того, сами расходы для приведения информационных систем в соответствие с требованиями закона не предусмотрены Федеральным законом «О федеральном бюджете на 2010 год и на плановый период 2011 и 2012 годов». Вы думаете, депутат сразу побежал изыскивать бюджетные средства? Ничего подобного. Срок сдвинули, и точка. И, похоже, сдвинут еще раз. И еще…
Очень хотелось бы получить по этому поводу комментарии уполномоченного органа по защите прав субъектов. Или его территориального органа. Вроде бы как из закона и административного регламента следует их прямая обязанность на подобные события реагировать. А не только прикрывать сайты, где появились персональные данные г-на Ситникова.
10 апреля 2011 г.
Велик могучий русский языка!
Проводил в минувшую пятницу очередной курс по информационной безопасности – для кадровиков, которые часто остаются наедине с проблемами регулирования отношений между работником и работодателем по вопросам охраны коммерческой тайны, обработки персональных данных, особенно там, где айтишники существуют номинально, а безопасники ничем, кроме охраны и сопровождения грузов не занимаются (если они есть вообще). Но речь сейчас не об этом.
А о наших законах, которые наряду с двумя главными общеизвестными бедами нашей страны, похоже, уверенно становятся третьей. Аудитория, перед которой я выступал, особенно благоприятна для свежего взгляда на проблему – для них все это в диковинку, поэтому то, к чему мы уже привыкли, общаясь в профессиональной среде, здесь приходится тщательно разбирать и разбираться.
Долго, хором и поодиночке, читали часть 12 ст. 9 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» (ФЗ-294): «О проведении плановой проверки юридическое лицо, индивидуальный предприниматель уведомляются органом государственного контроля (надзора), органом муниципального контроля не позднее чем в течение трех рабочих дней до начала ее проведения». Я не верю в опечатки в законах. Они проходят через такое количество и таких рук, что опечатка там невозможна в принципе. Так что же тогда имели ввиду авторы под словами «не позднее, чем в течение трех рабочих дней»? Эта фраза на русский язык не переводится никаким образом. За один час предупредить можно? Это же не позднее? А за неделю? Это позднее или раньше?
Это самый яркий образец (умышленного?) лукавства в законе. Но есть и другие, не менее занятные. Закон относит к полномочиям органов контроля разработку и принятие административных регламентов проведения проверок, а также административных регламентов взаимодействия. При этом по просьбе руководителя проверяемой организации должностные лица органа государственного контроля обязаны ознакомить подлежащих проверке лиц с административными регламентами проведения мероприятий. Но вот что интересно. Обязанности разработать регламент закон не устанавливает. На сегодняшний день административных регламентов проведения проверок выполнения требований по защите персональных данных нет ни у ФСБ, ни у ФСТЭК, на которые Федеральным законом «О персональных данных» возложены функции контроля и надзора. 1 июля их представители могут прийти на проверки. Обязаны они иметь регламенты или нет? Вопрос, конечно, интересный.
Дальше – больше. ФЗ-294 обязывает органы контроля и надзора согласовывать планы проверок с прокуратурой, Генпрокуратура и контролирующие органы должны размещать планы проверок на своих сайтах. Такие планы есть. На сайте Роскомнадзора – в явном виде, на сайте Генпрокуратуры – в виде поисковой формы. Они не совпадают! В плане Роскомнадзора проверка конкретной организации есть, в сводном плане Генпрокуратуры – нет. И что из этого следует? Можно проводить проверку или нет? Законна ли она? В ФЗ-294 ответа снова нет. Основанием для признания результатов проверки, проведенной с грубым нарушением закона, недействительными является отсутствие согласования с прокуратурой только внеплановых проверок или отсутствие плановой проверки в плане самого контролирующего органа. Зачем же тогда затевать бодягу с генпрокуратурой?
Жалобы на несоблюдение законодательства в области персональных данных не могут являться основанием для внеплановых проверок – исчерпывающий перечень оснований есть в ФЗ-294. На исправление этого «перекоса» (по мнению регулятора) направлены изменения, принятые в первом чтение Госдумой. Но! Читаем Отчет о деятельности Уполномоченного органа по защите прав субъектов персональных данных за 2009 год (есть на сайте Роскомнадзора, за 2010 год не подготовлен, хотя постановление Правительства требует готовить его до 15 марта. Готовить, но не размещать): «Во втором полугодии отчетного периода необходимо отметить динамику снижения (почти на 50%) количества внеплановых проверок по сравнению с первым полугодием 2009 года. Это напрямую связано с вступлением в силу Федерального закона от 26 декабря 2008 г . № 294-ФЗ «О защите прав юридических лиц …при осуществлении государственного контроля (надзора) …Очевидно, что отсутствие в указанном федеральном законе такого основания для проведения внеплановых проверок в области персональных данных как обращения или заявления граждан на действия (бездействие) Операторов резко снизило эффективность защиты их прав и законных интересов». Т.е. Роскомнадзор знает, что проверять на основании жалобы нельзя. Но проверяет! Правда, в два раза реже, чем хотелось бы…
Ах, как прав был безвременно ушедший Александр Иванов: «Велик могучий русский языка!». На нем можно писать законы, понять которые нельзя, а чиновник, тем не менее, всегда оказывается прав. А все остальные, соответственно, неправы…
8 апреля 2011 г.
Разрешимы ли неразрешимые проблемы персональных данных
Затаив дыхание, специалисты ждут второго чтения законопроекта депутата В.М.Резника и того, насколько радикальными будут изменения в законе «О персональных данных». Между тем, особых надежд на то, что принятие законопроекта снимет все вопросы, порожденные нынешним «неряшливым» законом, питать не стоит. Вряд ли результаты согласования проекта с Правительством приведут к еще большей либерализации норм закона. Скорее, наиболее радикальные предложения Резника будут скруглены и смягчены, а влияние государственных регуляторов на организацию обработки персональных данных сохранится.
Между тем за четыре года действия закона стало очевидно, что основная проблема кроется отнюдь не в построении подсистемы информационной безопасности. Для нее действительно нужны весьма серьезные вложения, да и применение только сертифицированных средств защиты не только усложняет выбор и архитектуру решения, но и отрицательно сказывается на таких потребительских характеристиках, как производительность или пропускная способность. Но что делать - примерно ясно. Хотя и дорого…
А вот с регулированием правовых проблем гораздо хуже. Пока видится, что даже после принятия законопроекта в максимально полном варианте наиболее очевидные вопросы организации обработки персональных данных останутся без ответа. Как построить систему бронирования авиабилетов, если она находится в трансграничном «облаке» монстров типа Sabre или Gabriel, билеты бронирует на большую группу один человек, не подтверждая согласие остальных (персональные данные оператор получает не от субъекта, а от третьих лиц), а для бронирования используется web-форма, в которой получение доказательств согласия субъекта на обработку невозможно в принципе. Надо ли, и если надо – то как, получать согласие получателя платежа - физического лица, если оно банку, осуществляющему платеж, неизвестно в принципе? Как партнеры банков, входящих в систему электронных платежей, должны до начала обработки найти получателя платежа и уведомить его об этом? Как технически сделать невозможным доступ администратора медицинской информационной системы к информации о состоянии здоровья пациента, поскольку если этого не сделать, надо получать письменное согласие пациента на обработку данных не врачом.
Перечень подобных вопросов можно продолжать бесконечно. Какая-то часть из них, может быть, и снимется, если в закон будут внесены понятия конклюдентных действий субъекта, акцепта оферты или декларирования условий обработки. Но далеко не все. Да и застрявший с 2005 года на первом чтении законопроект о внесении изменений в законодательные акты в связи с принятием ФЗ-152 оптимизма не добавляет.
Значит, ответы надо искать сегодня.
Наиболее серьезно к реализации закона отнеслись, пожалуй, в российских банках. Там при активном участии Банка России и ассоциации российских банков наработана значительная практика регулирования вопросов обработки персональных данных, классификации информационных систем, разработки соответствующих нормативных документов. С целью обобщить эту практику, систематизировать найденные решения, как получившие подтверждение регуляторов, так и принятые в силу невозможности изменить существующие бизнес-процессы, мною подготовлен семинар «Сложные проблемы применения законодательства о персональных данных в кредитно-финансовых учреждениях», который состоится 22 апреля. В основе семинара - практический опыт, приобретенный, в том числе, при подготовке ответов на вопросы, направляемые в Консультационный центр Ассоциации российских банков, написании многочисленных статей и участии в спорах и дискуссиях, которых за эти годы прошло немало.
Подписаться на:
Сообщения (Atom)