О гражданской инициативе, персональных данных и ЗАГСах. Часть 2. Про техническую защиту и дорожную карту

Это продолжение поста, опубликованного на прошлой неделе. Лучше чтение начинать с него.

Итак, мы остановились на том, что наличие сведений о национальности меняет уровень защищенности информационной системы персональных данных ЗАГСа, повышая ее при наличии записей о более чем 100 тысяч субъектов с минимального третьего уровня до минимального второго. А если признаны актуальными угрозы первого или второго типа, будет необходимо обеспечить первый уровень защищенности. Как уже отмечалось в предыдущем посте, ИСПДп в ЗАГСе должна быть обязательно, поскольку в соответствии с п.52 «Административного регламента предоставления государственной услуги по государственной регистрации актов гражданского состояния органами, осуществляющими государственную регистрацию актов гражданского состояния на территории Российской Федерации», «каждое рабочее место специалиста оборудуется персональным компьютером с возможностью доступа к необходимым информационным базам данных, печатающим устройством».

Кстати, поскольку в соответствии с законом об актах записи гражданского состояния органы ЗАГС образуются органами государственной власти субъектов Российской Федерации, эти самые органы власти субъектов обязаны в соответствии с частью 5 ст.19 принять в пределах своих полномочий нормативные правовые акты, в которых определят «угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки». Для ЗАГСов в том числе. Однако что-то таких актов пока особо не видно. В этих условиях каждый руководитель соответствующего управления или отдела записи актов гражданского состояния будет самостоятельно принимать решение об актуальности для ЗАГСа угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения, а также обеспечивать нейтрализацию соответствующих классов угроз. Если, конечно, понимает, что написано выше. Тут нет никакой иронии или сарказма. Я априори с глубоким уважением отношусь ко всем незнакомым людям, но совершенно не понимаю, как и почему руководитель ЗАГСа может и должен все это понимать.

Далее, кто-то в ЗАГСе (приходящий раз в неделю сисадмин?) должен оформить в виде документа оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения в ЗАГСе требований 152-ФЗ, и сформировать частную модель актуальных угроз безопасности персональных данных при их автоматизированной обработке. Соотнося оцененный вред субъекту с актуальными угрозами, этот самый сисадмин готовит руководителю ЗАГСа предложения по составу и содержанию правовых, организационных и технических мер, направленных на обеспечение выполнения обязанностей, возложенных на ЗАГС как оператора персональных данных соответствующим законом, Постановлениями Правительства №№ 687, 211 (мы же говорим об органе власти!) и 1119.

Не забудьте, что для второго уровня защищенности (статистика хочет знать все!) необходимо будет принять 67 базовых мер безопасности (приказ ФСТЭК № 21), среди которых, при наличии подключения к интернету – сертифицированные межсетевой экран ни ниже 3-го класса и системы обнаружения вторжений и антивирусной защиты не ниже 4-го. Да, не забудьте, их кто-то должен эксплуатировать.

Попутно кто-то неведомый (тот же сисадмин или другой назначенный крайним служащий) рисует ЗАГСу пакет документов в составе которых:

●      политика в отношении обработки персональных данных и сведения о реализуемых ЗАГСом требованиях к защите персональных данных;

●      правила обработки персональных данных, определяющие для каждой цели обработки персональных данных (не забудьте их определить!) содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

●      правила рассмотрения запросов субъектов персональных данных или их представителей;

●      правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним документами ЗАГСа;

●      правила работы с обезличенными данными;

●      перечень информационных систем персональных данных;

●      перечни персональных данных, обрабатываемых ЗАГСе в связи с реализацией трудовых отношений, а также в связи с оказанием государственных и муниципальных услуг и осуществлением государственных и муниципальных функций;

●      перечень должностей служащих ЗАГСа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (обязательно, см. приказ и методичку РКН);

●      перечень должностей служащих ЗАГСа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, как и использованием средств автоматизации, так и без таковых (интересно, чем занимаются все остальные?);

●      должностная инструкция ответственного за организацию обработки персональных данных в ЗАГСе (не забудьте назначить приказом!);

●      типовое обязательство служащего ЗАГСа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

●      типовая форма согласия на обработку персональных данных служащих ЗАГСа, иных субъектов персональных данных (хоть убейте, не понимаю, зачем и на сновании чего, кроме ПП-211), а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

●      порядок доступа служащих ЗАГСа в помещения, в которых ведется обработка персональных данных.

Политика в отношении обработки персональных данных и сведения о реализуемых ЗАГСом требованиях к защите персональных данных должна быть доступна любому человеку, приходящему в ЗАГС, а поскольку некоторые из них громко объявили о приеме заявлений на регистрацию актов через веб-сайт, политику и сведения необходимо разместить и на таком веб-сайте.

Далее всех служащих ЗАГСа необходимо ознакомить под роспись с документами, устанавливающими порядок обработки их персональных данных, а также с их правами и обязанностями в этой области, а служащих, осуществляющих обработку персональных данных (т.е. осуществляющих запись актов гражданского состояния, принимающих заявления о выдающих свидетельства о записях), - также и с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, всеми документами ЗАГСа по вопросам обработки персональных данных. Необходимо также организовать обучение указанных служащих.

Да, не забудьте, что руководитель отдела ЗАГС должен доказать, что все служащие, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть были проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами ЗАГСа (при их наличии).

В ЗАГСе надо также определить места хранения персональных данных (их материальных носителей), организовать учет машинных носителей и резервное копирование.

Я нисколько не преувеличиваю привожу лишь краткую выписку из требований закона и принятых в его исполнение нормативных правовых актов.

Из всего этого есть простой и очевидный выход, законом же предусмотренный. В соответствии с частью 2 ст.4 152-ФЗ, государственные органы и органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты по отдельным вопросам, касающимся обработки персональных данных. Такие акты подлежат официальному опубликованию.

Казалось бы, что проще – создать одну (ОДНУ!) методичку для ЗАГСов, где все это расписать в цветах и красках, заодно рассказав про обязательность использования сертифицированных средств защиты и порядок их приобретения. Можно еще и бюджет на реализацию всех этих требований выделить.

Но у нас не ищут легких путей.

К чему все это? На простом примере скромного ЗАГСа виден колоссальный объем работы, который должен выполнить любой оператор персональных данных. Когда принимаются законы, очень было бы неплохо примерить их сначала на госорганы, а потом добиться выполнения установленных требований там же. И только после этого требовать этого от бизнеса и разворачивать систему контроля и надзора в сегменте предпринимательства.

О гражданской инициативе, персональных данных и ЗАГСах

У меня появилась инициатива. Гражданская. Новогодние каникулы этому способствуют. Я предлагаю объявить 2014 год в России годом приведения обработки персональных данных органами государственной власти и местного самоуправления в соответствие российскому же законодательству. А то столько времени закон действует, сколько проверок провели, а толку …

И начать предлагаю с организаций, которые вносят первую и последнюю записи о субъекте персональных данных в государственную систему регистрации – с ЗАГСов.  К посту подвигли сообщения в прессе о проекте нового приказа Минюста об указании в заявлении на регистрацию брака сведений об образовании, национальности брачующихся и нажитых ими до брака детях, а также весьма фривольном обращении с персональными данными и основными документами, удостоверяющими личность, в ЗАГСе Рыбинска Ярославской области.

Простое вроде бы дело выдачи свидетельств о рождении, смерти, вступлении в брак и его расторжении и т.д. регламентируется весьма тщательно и подробно – двумя кодексами, Семейным и Гражданским, Федеральным законом от 15 ноября 1997 года № 143-ФЗ «Об актах гражданского состояния», аж тремя постановления правительства РФ: от 6 июля 1998 г. № 709 «О мерах по реализации Федерального закона «Об актах гражданского состояния»», от 31 октября 1998 г. N 1274 «Об утверждении форм бланков заявлений о государственной регистрации актов гражданского состояния, справок и иных документов, подтверждающих государственную регистрацию актов гражданского состояния», от 17 апреля 1999 г. № 432 «Об утверждении правил заполнения бланков записей актов гражданского состояния и бланков свидетельств о государственной регистрации актов гражданского состояния», «Административным регламентом предоставления государственной услуги по государственной регистрации актов гражданского состояния органами, осуществляющими государственную регистрацию актов гражданского состояния на территории Российской Федерации», утвержденным приказом Минюста РФ от 29 ноября 2011 г. № 412. Нормативными правовыми актами установлены формы заявлений, справок, бланков записи, свидетельств о записи и т.д., а также то, кем, когда и как все это заполняется.

Сами понимаете, абсолютно все, что в этих документах записано, за исключением служебных пометок, - это персональные данные. А теперь вопрос на засыпку: сколько раз термин «персональные данные» используется во всех этих документах в совокупности? Правильный ответ – 1 (Один). В Федеральном законе: «Сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, в том числе персональные данные, являются информацией, доступ к которой ограничен в соответствии с федеральными законами, и разглашению не подлежат» (редакция, кстати, установлена законом 2013 года). Я, конечно, понимаю, что наличие или отсутствие сакральных слов вовсе не является само по себе обязательным или правильным, но давайте посмотрим дальше.

Постановление Правительства № 432 устанавливает, что заполнение бланков актовых записей и бланков свидетельств производится рукописным способом либо с использованием технических средств (пишущих машин, компьютеров). Бланки актовых записей изготавливаются типографским способом либо с применением компьютера, при этом в случае применения компьютера изготовление и заполнение бланка актовой записи выполняются одновременно (то есть выдается распечатка с принтера, если по-русски).

Таким образом, мы имеет дело как с автоматизированной обработкой персональных данных, так и с обработкой без средств автоматизации. В силу необходимости обязательной регистрации каждого носителя персональных данных и их систематизации в специальных актовых книгах, есть все основания считать, что в данном случае «обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным» (ч.1 ст.1 152-ФЗ), и действия, совершаемые в ЗАГСах, подпадают под регулирование ФЗ «О персональных данных».

В соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15 сентября 2008 г. № 687 (п.7), при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (как раз наш случай), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Желающие могут самостоятельно ознакомиться с формами заявлений, бланков записей и справок и поискать там цели, сроки, способы обработки и перечень действий, а также оценить, например, возможность выполнения требований пункта «в» в форме 3 «Заявления о внесении сведений об отце ребенка в запись акта о рождении» (установлена ПП-1274).

Между тем ПП-687 от 15 сентября 2008 г. обязывало федеральные органы исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с его требованиями. На дворе – 2014 год.

Самое интересное – с требованием «б». Значительная часть документов, как заявлений, так и актов и свидетельств), содержит графу о национальности, сведения о которой, как мы помним, относятся к специальным категориям персональных данных. Поскольку сведения о национальности в соответствии с Федеральным законом вносятся в акты и выдаваемые на основании внесенных записей документы исключительно по желанию заявителя или заявителей или на основании ранее сделанной записи (т.е. внесение этих сведений не является обязательным), очень хотелось бы понять цель их обработки.

Что интересно, абзацы о том, что в заявления и записи о заключении и расторжении брака вносятся «национальность, образование, первый или повторный брак и при наличии у супругов общих детей, не достигших совершеннолетия, их количество (вносятся по желанию заявителя)», появились в законе только в 2013 году, когда все проблемы правоприменения законодательства о персональных данных были уже очевидны. Кроме целей обработки сведений о национальности, остается неясным влияние их наличия или отсутствия на возможность заключения и расторжения брака, а также соответствие запроса таких сведений у брачующихся требованиям ст.5 152-ФЗ, устанавливающей такие принципы обработки персональных данных, как законность, справедливость, ограничение обработки достижением конкретных, заранее определенных и законных целей, неизбыточность обрабатываемых данных по отношению к заявленным целям. В законе об актах записи гражданского состояния о целях такой обработки нет ни слова, в последующих постановлениях Правительства – тем более.

Тайну частично приоткрыла газета «Коммерсантъ», сообщившая 9 декабря о подготовке приказа Минюста об изменении форм бланков заявлений и отчетности ЗАГСов. Представитель министерства заявил, что это необходимо для «официального статистического учета населения». И опять вопросы. Как может Минюст своим приказом внести изменения в документы, утвержденные постановлением Правительства, и с каких пор статучет стал областью регулирования Минюста? Наконец, как можно считать достоверными статистическими данными сведения, предоставляемые исключительно по желанию заявителей и как будет оцениваться репрезентативность такой выборки? Вопросы есть, а вот ответов – не видно. Кстати, следов принятия этого приказа в новогодней неразберихе пока найти не удалось.

Есть в связи с этим еще пара нюансов. Часть 2 ст.10 152-ФЗ не содержит оснований для обработки специальных категорий персональных данных, связанных с записью актов гражданского состояния, следовательно, на их обработку отдел ЗАГС должен получить письменное согласие субъекта по форме, установленной частью 4 ст.9 такого закона. Формы заявлений, установленные ПП-1274, однозначно этим требованиям не соответствуют и как согласие рассматриваться не могут. Между тем среди документов, подаваемых для регистрации и расторжения брака, регистрации ребенка на сайте госуслуг и аналогичных региональных сайтах, никаких согласий на обработку спецкатегорий персональных данных не указано.

Наличие спецкатегорий существенно влияет на содержание и уровень технической защиты персональных данных. А ИСПДп в ЗАГСе должна быть обязательно: в соответствии с п.52 Административного регламента, в ЗАГСе «КАЖДОЕ рабочее место специалиста оборудуется персональным компьютером с возможностью доступа к необходимым информационным базам данных, печатающим устройством».

Но об этом – во второй части поста. На днях. Праздники кончились J.

Персональные данные в негосударственных пенсионных фондах

Когда речь идет о проектах, связанных с приведением порядка обработки персональных данных в соответствие с федеральным законодательством, очень часто приходится слышать мнение, что дело это простое, шаблонное, думать особо не надо, требования закона одни для всех и т.д. То есть, проблем нет – взял в интернете любой шаблон, подставил нужное название – и все дела. С результатами такого подхода мы сталкивались не раз, когда после прочтения документов, уже имеющихся у клиентов и сделанных весьма солидными компаниями понять, чем занимается оператор, чьи данные, и зачем он обрабатывает, было абсолютно нельзя. Ну, когда торчат ушки другого заказчика, это понятно, тут и обсуждать нечего. А вот когда при всем желании нельзя определить, для кого написаны положение и политика – для банка, провайдера вычислительных услуг или трубного завода – случай уже клинический, хотя и не редкий.

Так получилось, что за прошедший год наше агентство сделало несколько проектов для негосударственных пенсионных фондов, промежуточным итогом которых стало участие в подготовке изменений законодательства, о котором я писал.

На примере этих проектов как раз и можно разобраться, насколько такая работа шаблонна, и чем один проект отличается от другого.

Первая и главнейшая задача – выявить все категории субъектов, чьи данные необходимы фонду для выполнения своих функций в соответствии с законом. В дополнение к традиционным категориям, характерным для каждого из операторов – работникам (в том числе бывшим), соискателям вакантных должностей, представителям контрагентов и посетителям  добавляются весьма специфические группы: вкладчики и участники фонда (а это не всегда одно и то же), застрахованные лица, заключившие договора об обязательном пенсионном страховании, и лица, в пользу которых заключены договора о создании профессиональной пенсионной системы, правопреемники участников фонда и застрахованных лиц (не будем забывать о бренности жизни и сроках, когда наступают выплаты), страхователи, представители субъектов, обращающиеся в фонд по их поручению и др.  

Для каждой такой категории необходимо четко определить правовые основания обработки данных, при необходимости – способы получения согласия на это субъектов (оно должно быть конкретным, информированным и сознательным, и при необходимости оператору придется это доказывать), сформулировать цель обработки персональных данных и конкретные группы сведений, которые необходимо обрабатывать фонду как оператору. Здесь не обойтись без анализа специальных законов. Кроме очевидного «О негосударственных пенсионных фондах» придется покопаться и в таких, как «Об обязательном пенсионном страховании в Российской Федерации», «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений», «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации» и так далее... Эти законы очень важны для определения не только состава обрабатываемых персональных данных, но и сроков их хранения. Например, выяснится, что персональные данные, связанные с трансфер-агентской деятельностью, должны храниться в фонде 6 лет. Или что одной из целей обработки персональных данных работников и их близких родственников является предотвращение конфликтов интересов, для чего необходимы весьма специфические сведения – о наличии у должностных лиц фонда и их родственников в собственности ценных бумаг или долей в уставном капитале организаций, в которые инвестированы средства пенсионных накоплений и наличии заинтересованности в изменении их рыночной цены.

В каждом фонде появляется своя специфика, связанная, например, с размещением вычислительной инфраструктуры в коммерческом облаке или дата-центре по схеме SaaS, PaaS или IaaS (а это сегодня – сплошь и рядом, при этом регулирование отношений между провайдером и фондом может быть осуществлено по совершенно разным схемам), привлечением различного рода организаций – колл-центров, служб доставки, рекламных, ивент-агентств и т.д к работе с клиентами фонда (существующими и потенциальными), и опять-таки, необходимость оценки правовых оснований и условий передачи им персональных данных, наличием и содержанием поручения на обработку. Для агентов и брокеров, действующих в интересах пенсионного фонда, целью такого поручения может быть и сбор персональных данных для заключения фондом в дальнейшем договора пенсионного обеспечения с субъектом.

Все эти вопросы необходимо отразить в локальных актах фонда, в том числе – политике в отношении обработки персональных данных. Если фонд создает на своем сайте для клиентов такой популярный сервис, как личный кабинет, политика должна быть опубликована на сайте обязательно.

И заключительный момент – оценка необходимости направления фондом уведомления об обработке персональных данных в Роскомнадзор. По нашему опыту, под исключения, определенные частью 2 ст.22 ФЗ «О персональных данных», негосударственные пенсионные фонды не подпадают в силу наличия категорий субъектов, не являющихся участниками или выгодоприобретателями по договорам пенсионного страхования и обеспечения. К тому же фраза «персональные данные также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» и отсутствие в нем упоминания таких оснований для предоставления персональных данных, как случаи, предусмотренные федеральными законами, вообще ставит под сомнения существование исключений в принципе. И практика применения Роскомнадзором ст.19.7 КоАП такой вывод подтверждает.

Вот, если коротко, что такое учет специфики деятельности негосударственного пенсионного фонда оператора. А более подробно об этом можно будет поговорить 16 октября на конференции «Защита персональных данных и автоматизация на финансовом и пенсионном рынках», которую организует и проводит Национальная ассоциация негосударственных пенсионных фондов, пригласившая меня принять участие в мероприятии.

Инциденты с персональными данными: почувствуйте разницу

Всего три сухих сообщения последнего месяца.

Проверка транспортной прокуратуры подтвердила факт публикации на одной из страниц официального сайта ОАО «Тюменское центральное агентство воздушных сообщений» персональных данных пассажиров с указанием их фамилии, имени, отчества, даты рождения, места проживания, паспортных данных, маршрутов полетов и прочих личных данных за период с 20 июля 2005 года по 26 июня этого года (8 лет!). Организации придется выплатить штраф – 5000 рублей (!). Виновные в нарушении закона были привлечены к дисциплинарной ответственности, а выявленные нарушения закона о персональных данных обществом устранены.

Американская страховая компания WellPoint Inc, которая специализируется на медицинском страховании, согласилась выплатить $1,7 млн (!) штрафа за утечку персональных данных более 612 тыс. своих клиентов. Личные данные о клиентах из базы данных страховщика попали в Интернет в период с октября 2009 г. по март 2010 г. (полгода!). В результате в свободном доступе оказались имена, даты рождения, адреса, номера социального страхования и мобильных телефонов, а также информация о состоянии здоровья клиентов.

Нью-йоркский велопрокат Citi Bike уведомил своих пользователей о том, что их персональные данные были размещены в общем доступе в интернете и, теоретически (!), могли быть украдены злоумышленниками. Личная информация, включая имена, даты рождения, номера банковских карт, сроки их действия и секретные коды, содержалась в «журнале ошибок» (error log), который был опубликован на сайте Citi Bike 9 мая 2013 года. Об этом говорится в письме, разосланном велосипедистам администрацией сервиса 19 июля.

Помимо размеров штрафов, можно заметить и еще ряд существенных отличий.

Тюмень: количество пострадавших никого не волнует, равно как и их уведомление об инциденте, на взгляд, весьма существенном. Кто, куда, когда и с кем летал – тема более чем интимная. Никто не собирается извиняться перед пострадавшими.

Если посмотреть сообщения о других аналогичных инцидентах «у нас» и «у них», можно увидеть и массу других отличий. Наши суды в своих решениях о привлечении к ответственности никогда не заявляют о праве каждого пострадавшего обратиться с индивидуальным иском о компенсации ущерба и морального вреда. Никто не предлагает после этого потерпевшим оказание в этом помощи (потому как бесполезно). Органы, уполномоченные по защите прав субъектов, не выступают инициаторами исков в защиту интересов неопределенного (или определенного) круга лиц, чьи данные в результате недостаточных действий или бездействия оператора стали общедоступными.

Можно ли после этого говорить, что наш закон направлен на защиту интересов субъекта персональных данных?   

Вопросы риторические. Ответы все знают.

Но разницу все-таки надо почувствовать.

На смерть банковской тайны

Похоже, основной формой моего блога становится панегирик (см. русскую Википедию – до 18-го века литературный жанр, представляющий собой речь, написанную по случаю чьей-либо смерти). Смерть приватности в самом широком смысле этого слова мы уже обсуждали и затрагивали тему банковской тайны. Тенденция получила ожидаемое развитие.

Активное обсуждение законов о защите чувств верующих и пропаганде нетрадиционности в личной жизни для меня выглядят дымовыми шашками для гораздо более интересного Федерального закона от 28.07.2013 № 134-ФЗ
«О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия незаконным финансовым операциям». 38 листов закона содержат поправки в 26 законодательных актов и прямо касаются,  абсолютно каждого из нас.

Анализировать все в одном блоге невозможно и бессмысленно, да и многие поправки выходят далеко за пределы тематики моих обычных постов.

Но вот на то, что впрямую касается информационной безопасности в самом широком смысле, посмотреть стоит очень внимательно.

Самое главное, как мне кажется, с точки зрения обеспечения конфиденциальности, - банковской тайны в привычном понимании теперь у нас больше нет. В соответствии со ст.1 134-ФЗ, изменяющей закон «О банках и банковской деятельности», сведения о наличии счетов, вкладов (депозитов), об остатках денежных средств на счетах, вкладах (депозитах), по операциям на счетах, по вкладам (депозитам) организаций, граждан, осуществляющих предпринимательскую деятельность без образования юридического лица, физических лиц предоставляются кредитной организацией налоговым органам в порядке, установленном законодательством Российской Федерации о налогах и сборах. Новый закон тут же заботливо расписывает, а что это за порядок такой. Статья 10, меняющая Налоговый кодекс, определяет следующую процедуру: для получения налоговиками банковской тайны никакого решения суда, в отличие от субъектов оперативно-розыскной деятельности, не требуется.

Банки теперь обязаны выдавать налоговым органам все эти сведения в течение трех дней просто по мотивированному запросу налогового органа в случаях проведения налоговых проверок, при вынесении решения о взыскании налога, принятии решений о приостановлении или отмене операций по счетам и переводов электронных денежных средств. Для физлиц такая возможность немного ограничена – на запрос требуется согласие руководителя вышестоящего органа или руководителя (зама) ФНС, а повод ограничивается проведением налоговых проверок.

Кроме того, в соответствии с изменениями, внесенными в «антиотмывочный» 115-ФЗ, расширяется круг лиц, обязанных предоставлять информацию Росфинмониторингу – это требование теперь относится не только к органам власти и местного самоуправления, Банку России, но и к ПФР, ФОМС и ФСС, госкорпорациям и иным организациям, созданным государством на основании федеральных законов и для выполнения задач, поставленных перед государственными органами. И не просто предоставлять, но и обеспечивать автоматизированный доступ к своим базам данных, видимо, по смыслу закона – on-line, хотя прямо этого и не сказано.

Предоставление всей этой информации «не является нарушением служебной, банковской, налоговой, коммерческой тайны и тайны связи (в части информации о почтовых переводах денежных средств), а также законодательства Российской Федерации в области персональных данных».

Для интересующихся темой персональных данных есть еще одна тема для размышлений. Закон экспоненциально расширяет круг лиц, имеющих ограничения в связи с наличием судимости и, соответственно, число организаций имеющих право и обязанность такие сведения о гражданах обрабатывать. К руководителям банков, их филиалов и отделений, их замам, главбухам и замам в банках, ОАО, внебюджетных фондах, педагогическим работникам в один момент добавились члены советов директоров, топ-менеджеры, главбухи и даже акционеры (есть масса конкретных нюансов, но общая норма – более 10% акций) лизинговых компаний, инвестфондов, микрофинансовых организаций, субъектов страхового дела, профессиональных участников рынка ценных бумаг, негосударственных пенсионных фондов,

А не про персональные данные – это про электронный документооборот и его значимость.

Предприятия и организации, обязанные представлять налоговую декларацию в электронной форме (а это теперь практически все), должны обеспечить получение от налогового органа в электронной форме по каналам связи необходимых документов и передать налоговикам квитанцию об их приеме в электронной форме в течение 6 дней со дня их отправки налоговым органом. А если через 10 дней такая квитанция не поступит, руководитель налогового органа или его зам имеет право принять решение о приостановлении операций налогоплательщика-организации по его счетам в банке и переводов его электронных денежных средств.

Вообще, приостановление операций по счетам – одна из главных фишек нового закона. Такое право и обязанность теперь предоставлено руководителям налоговых органов и их замам, организациям, осуществляющим операции с денежными средствами или иным имуществом в случаях, определенных 115-ФЗ, с административной ответственностью за невыполнение требований до 500 тысяч рублей.

Есть там и масса других интересных нововведений. Но об этом (особенно о бенефициарах) – позже, если руки дойдут J. 

Изменения в законодательстве, связанные с персональными данными. Пока про пенсионные фонды

Законопроект № 217355-4 «О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и ФЗ «О персональных данных» - один из рекордсменов в Государственной Думе. Принятый в первом чтении еще 25 ноября 2005 года, он больше семи лет (!) лежал в дальнем углу ящичка законодателей фактически без всякого движения. Депутаты вспоминали о нем в 2007, 2009 и 2012 годах, предлагая в очередной раз продлить срок подготовки поправок, назначить новых ответственных и соисполнителей.

И вдруг произошел взрыв. 21 марта Правительство на своем официальном сайте разместило полный текст предлагаемых поправок, предлагая сократить число корректируемых законов с первоначальных 23 до 17. Дума активно поработала с текстом, и 26 апреля, оставив в проекте изменения в 14 законов, приняла его сразу во втором и третьем чтениях и передала в тот же день для одобрения в Совет Федерации.

Совфед, презрев выходной день и подготовку к традиционной первомайской посадке картошки, немедленно, в субботу 27 апреля 2013 года принял решение, что рассмотрение закона Советом Федерации не является обязательным, и одобрил поправки. Глава Комитета Совета Федерации по конституционному законодательству, правовым и судебным вопросам, развитию гражданского общества Андрей Клишас пояснил, что поправки, в частности, предусматривают «повышенные меры охраны и защиты персональных данных ограниченного доступа» (ищите здесь).

Как сообщает пресс-служба Совета Федерации, сведения о политических, религиозных и иных убеждениях, членстве в общественных объединениях и профсоюзной деятельности работника без его согласия работодателем обрабатываться не могут, а согласие субъекта персональных данных на предоставление его данных и дальнейшую обработку третьим лицам обязательно. Сенаторы единодушно согласились с этим.

Детальный анализ внесенных изменений требует внимательного и детального их рассмотрения, и лучше его будет сделать не спеша после подписания проекта Президентом. Я же остановлюсь на том изменении, к которому имею самое непосредственное отношение, поскольку готовил его текст и искал проходную для Думы формулировку.

Статья 3 законопроекта радикально меняет статью 15 «Конфиденциальная информация фонда» Федерального закона от 7 мая 1998 года № 75-ФЗ «О негосударственных пенсионных фондах». В новой редакции предусматривается, что фонд вправе получать, обрабатывать и хранить информацию, доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных вкладчиков-физических лиц, страхователей-физических лиц, участников, застрахованных лиц, выгодоприобретателей и правопреемников участников и застрахованных лиц. При этом фонд не обязан получать согласие вкладчиков, страхователей, участников, застрахованных лиц и выгодоприобретателей на обработку персональных данных в объеме, необходимом для исполнения договора, в том числе – касающихся состояния здоровья указанных лиц и предоставленных ими или с их согласия третьими лицами. Указанная информация может быть передана правопреемникам участников и застрахованных лиц. Фонд вправе поручить обработку персональных данных всех этих субъектов организациям, которые, в соответствии с договором, осуществляют ведение пенсионных счетов, если указание на такие организации содержится в правилах фонда, а также иным организациям, если это необходимо для исполнения пенсионного договора, договора об обязательном пенсионном страховании, договора о создании профессиональной пенсионной системы и не обязан получать согласие субъектов персональных данных на поручение обработки персональных данных всем этим третьим лицам.

Теперь никаких проблем с получением согласия практически всех лиц, чьи данные обрабатываются негосударственным пенсионным фондом, в том числе – о состоянии здоровья, а также с передачей персданных любым третьим лицам в рамках исполнения договора, не требуется. Я считаю это прорывом и свидетельством того, что позитивные изменения вполне реальны. Да и прецедент создан.

Для меня это – самое серьезное личное достижение в законотворчестве. И подтверждение того, что терпение и труд…

Про лаборатории, кнут, пряник, гадалку и суд

По давней традиции, на два периода - апрель и стык сентября-октября приходится наибольшее количество мероприятий, связанных с информационной безопасностью. Этот год – не исключение. Поэтому приходится выбирать то, что кажется наиболее интересным и близким по содержанию.

18-19 апреля – межотраслевой форум директоров по информационной безопасности VI CISO Forum 2013. Не путать с прошедшим в марте Russian CSO Summit VI, хотя, конечно, их американские доллары удивительно похожи на наши российские баксы.

Дьявол всегда в деталях. Вот за счет деталей и формируется отношение к тому или иному мероприятию. На Форуме, например, сразу четко разбили программу на две части – Лаборатория стратегии и Лаборатория практики. Хотите про проблемы и тренды – вам на стратегию. Хотите про конкретный продукт или услугу из первых рук – пожалуйте на практику. И не пытаются организаторы перемешать вендорские доклады с проблемными, чтобы народ не разбежался. Каждый волен слушать то, что ему ближе. Кстати, в умелых руках и подготовленных устах евангелиста или умного продакт-менеджера выступление про продукт/услугу – не обязательно голимая реклама с бессмысленным набором тактико-технических характеристик, никак не увязанным со сценарием использования. И на продуктовые вебинары, если они правильно организованы, народ в последнее время через Интернет хорошо собирался.

Что еще интересного. Мне лично – послушать про внутренний маркетинг и PR в деятельности службы информационной безопасности в исполнении Константина Коротнева из «Эльдорадо». О том, что надо научиться продавать сервисы безопасности внутреннему заказчику, давно уже говорят. Но мало кто делает. Поэтому и интересно. Или про «психологию внедрения нового» применительно к защите информации от Андрея Ерина из лизинговой компании CARCADE. Пару лет назад фирма, занимающаяся автомобильным лизингом, обратила на себя внимание, вывешивая на HeadHunter несколько месяцев подряд вакансию специалиста по информационной безопасности с весьма привлекательными 150 тысячами оклада. Видимо, не зря так долго искали.

В первый день после обеда Алексей Лукацкий будет вести секцию про мобильность и BYOD, особый интерес в которой для меня представляет участие руководителя направления ИБ «Яндекс» Антона Карпова. Широко известный в узких кругах интересующихся Дмитрий Козюра раскроет волнительную тему лицензирования деятельности, связанной с криптографическими средствами, в новых условиях 99-ФЗ и ПП-313.

Закончится деловая часть первого дня Вечерним дискуссионным клубом, который обсудит естественно, по требованиям трудящихся на ниве защиты, проблемы персональных данных. Состав желающих высказаться на эту животрепещущую тему собирается просто-таки «звездный» (по алфавиту, чтобы ни в чем не обвинили): А.Бондаренко (LETA), А.Волков («Северсталь»), Д.Костров (Минкомсвязи), А.Лукацкий (Cisco), А.Сычев (Банк России), А.Токаренко (традиционно на таких мероприятиях – независимый эксперт) и Д.Устюжанин (Вымпелком). Ну, а следить за порядком в таком представительном сообществе и обеспечивать возможность высказаться всем и примерно поровну попросили меня. Предполагаем, в первую очередь, сосредоточиться на вопросах участников из зала. Их, кстати, можно задать заранее, направив по адресу club@infor-media.ru. В этом случае приоритетное рассмотрение могу гарантировать.

Второй день начнется банковской сессией и параллельно – анализом практики обеспечения безопасности АСУ ТП, рассмотрением интеллектуальной безопасности и SIEM 2.0. После обеда – выходящая на первый план в последнее время проблема безопасности исходного кода, и взгляд на безопасность практика С.Голяка с Магнитки.

Заключительный аккорд Форума – Лаборатория стратегии «Охрана интеллектуальной собственности». Взявшись за его организацию, я поставил задачу рассмотреть самые разные аспекты этой проблемы. Среди обсуждаемых вопросов – защищенный (т.е. допускающий возможность обработки информации ограниченного доступа) юридически значимый документооборот, система мотивации, позволяющая защитить секреты производства пряником, и система контроля с использованием DLP, больше похожая на кнут. Я расскажу, почему при нарушении прав обладателя секрета производства лучше идти в суд, а не к гадалке с вопросом «Что дальше будет?», и как к этому походу подготовиться. Особую пикантность мероприятию придает участие в дискуссии, которая завершит фиксированные выступления, примут последовательный критик DLP-систем Алексей Волков из «Северстали» и Константин Левин, директор по продажам производителя таких систем – компании InfoWatch. Надеюсь, что будет познавательно и не скучно.

До встречи на Форуме.

Grand-2013

А? Как звучит? Героическими усилиями Дмитрия Мацкевича и его команды 28 марта в Holiday Inn Сокольники пройдет Международный Гранд Форум «Вокруг ЦОД, Вокруг Облака, Вокруг IP. Бизнес и информационные технологии». Похоже, несколько сот человек найдут любую интересную для себя тему, связанную с дата-центрами, облаками и всем остальным – от пожаротушения до продажи сервисов, от «зеленых» ЦОДов до стартапов, живущих где-то за облаками, от социальных сетей до оценки облачного рынка в целом.

Что интересно лично мне: про влияние ИТ на успех бизнеса от организатора; про ИТ-инфраструктуру в облаке для распределенной виртуальной компании (звучит-то как!) от Рустэма Хайретдинова, как раз такой компанией и владеющего; про игровые механики для мотивации сотрудников с использованием ИТ-технологий от Алексея Любко из «Пряников»; про BYOD от Дениса Дубровина из Aastra Technologies Limited (как безопаснику, интересно сверить позиции); управление ДИТ как бизнесом при помощи частных облаков от Михаила Козлова из DevBusiness.ru, ну, и кое-что еще.

Все это показалось увлекательным, и мы тоже втянулись. Решили рассказать про грабли, спрятанные в ЦОДе (естественно, про обработку персональных данных в ЦОДе и облаке и про то, как на них не наступить). Так уж сложилось, что законотворчество и технический прогресс идут каждый своими путями, которые почему-то редко пересекаются. Это произошло и у нас с персональными данными. Государственное регулирование их обработки и обеспечения безопасности практически не учитывает особенности работы в Интернете, возможности переноса обработки на технологические площадки коммерческих центров обработки данных и совсем не отражает все большую популярность размещения данных в облачных инфраструктурах. 

В выступлении мы попытаемся найти ответ на вопрос, как в этих условиях добиться соответствия законодательству и, в то же время, не нарушить законные права граждан, чьи данные обрабатываются оператором, кто, как должен и может нарисовать модель угроз, сколько их должно быть и что с ними делать. О мерах на стороне ЦОДа и на стороне его клиента. О криптошлюзах для доступа в ЦОД и причинах ограничения их производительности. Если ребята из латвийского DEAC к этому времени останутся, можно будет поговорить и о трансграничке, ЦОДе за рубежом как площадке для обработки персданных, рисках, регуляторах и возможных проблемах.

Тема более чем актуальная, по оценке нашего агентства. ЦОДов и облаков, предлагающих XaaS для персональных данных, все больше. Хостинг, колокация, дидикейтед – повседневная практика для многих компаний (почему-то чаще зарубежных, работающих на российском рынке, но и об этом пару слов скажем). А вот насколько это вписывается в 152-ФЗ «О персональных данных»– большой вопрос. Поищем ответы вместе. Для этого большие конференции и нужны. 

Защита «на глазок»

Михаил Емельянников, управляющий партнер агентства «Емельянников, Попова и партнеры», — о ситуации вокруг Постановления Правительства РФ № 1119

Николай Смирнов, «Директор информационной службы», № 01, 2013

В но­яб­ре 2012 года всту­пи­ло в силу По­ста­нов­ле­ние Пра­ви­тель­ства РФ № 1119 «Об утвер­ждении тре­бо­ва­ний к за­щи­те пер­со­наль­ных дан­ных при их об­ра­бот­ке в ин­фор­ма­ци­он­ных си­сте­мах пер­со­наль­ных дан­ных». Со­глас­но его тре­бо­ва­ни­ям, опе­ра­то­ру пред­ла­га­ет­ся са­мо­сто­я­тель­но опре­де­лить тип угроз без­опас­но­сти пер­со­наль­ных дан­ных, ак­ту­аль­ных для ин­фор­ма­ци­он­ной си­сте­мы. В по­ста­нов­ле­нии при­ве­де­ны три типа угроз, два из ко­то­рых свя­за­ны с на­ли­чи­ем недо­ку­мен­ти­ро­ван­ных воз­мож­но­стей в ПО. Про­ком­мен­ти­ро­вать из­ме­не­ния и ре­ак­цию на них со сто­ро­ны рос­сий­ско­го биз­не­са мы по­про­си­ли Ми­ха­и­ла Еме­льян­ни­ко­ва, управ­ля­ю­ще­го парт­не­ра кон­сал­тин­го­во­го агент­ства «Еме­льян­ни­ков, По­по­ва и партнеры».

Что но­во­го при­внес­ло По­ста­нов­ле­ние № 1119 в пра­во­вой ланд­шафт РФ?

По­ста­нов­ле­ние при­внес­ло, к со­жа­ле­нию, очень много неожи­дан­но­го. Во-пер­вых, оно по­ка­за­ло, что от­вет­ствен­ным струк­ту­рам можно не вы­пол­нять тре­бо­ва­ния фе­де­раль­но­го за­ко­на и не раз­ра­ба­ты­вать в со­от­вет­ствии с ним под­за­кон­ные акты, а пе­ре­кла­ды­вать ре­ше­ние про­блем на биз­нес. Как из­вест­но, имен­но го­су­дар­ствен­ные ор­га­ны и обя­за­ны со­здать пра­ви­ла, вы­пол­няя ко­то­рые, сле­ду­ет со­блю­дать закон.

Кроме того, об­на­ру­жи­лось, что каж­дый за­ве­ду­ю­щий дет­са­дом, глав­врач или ди­рек­тор ма­га­зи­на долж­ны от­лич­но по­ни­мать, что такое неде­кла­ри­ро­ван­ные воз­мож­но­сти си­стем­но­го и при­клад­но­го про­грамм­но­го обес­пе­че­ния. В за­ви­си­мо­сти от этого по­ни­ма­ния и оцен­ки уров­ня воз­мож­но­стей по­тен­ци­аль­но­го взлом­щи­ка ком­пью­те­ров им пред­ла­га­ет­ся при­ни­мать ре­ше­ния, по­рож­да­ю­щие для вве­рен­ной ор­га­ни­за­ции юри­ди­че­ские последствия.

Что еще пе­чаль­нее, был на­пи­сан до­ку­мент, опре­де­ля­ю­щий по­ря­док за­щи­ты от при­ду­ман­ных ре­гу­ля­то­ра­ми угроз, но не на­зван ни один спо­соб за­щи­ты от них, что опять-та­ки пе­ре­кла­ды­ва­ет про­бле­му на того, кто дол­жен до­ку­мент исполнять.

Как свя­за­но По­ста­нов­ле­ние № 1119 с Фе­де­раль­ным законом

№ 152-ФЗ «О пер­со­наль­ных дан­ных»? И как его вы­пол­не­ние от­ра­зит­ся на тех пред­при­я­ти­ях, ко­то­рые уже по­ста­ра­лись при­ве­сти свои ин­фор­ма­ци­он­ные си­сте­мы в со­от­вет­ствие с су­ще­ство­вав­ши­ми ранее требованиями?

Закон и по­ста­нов­ле­ние свя­за­ны очень четко: по­ста­нов­ле­ние раз­ра­бо­та­но в со­от­вет­ствии с тре­бо­ва­ни­я­ми части 3 ст.19 за­ко­на. Вот толь­ко преду­смот­рен­ный за­ко­ном учет воз­мож­но­го вреда субъ­ек­ту пер­со­наль­ных дан­ных, а также вида де­я­тель­но­сти, при осу­ществ­ле­нии ко­то­ро­го об­ра­ба­ты­ва­ют­ся пер­со­наль­ные дан­ные, в по­ста­нов­ле­нии от­ра­же­ния никак не нашел. Тре­бо­ва­ния же к за­щи­те пер­со­наль­ных дан­ных, ко­то­рые ука­за­ны в по­ста­нов­ле­нии, никак не могут ней­тра­ли­зо­вать, сни­зить или ком­пен­си­ро­вать угро­зы, свя­зан­ные с на­ли­чи­ем неде­кла­ри­ро­ван­ных воз­мож­но­стей при при­зна­нии ак­ту­аль­ны­ми угроз пер­во­го и вто­ро­го типа.

Если опе­ра­тор вы­пол­нил меры по тех­ни­че­ской за­щи­те в со­от­вет­ствии с утра­тив­шим силу Постановлением № 781 от 2007 года, При­ка­зом ФСТЭК № 58 и ме­то­ди­че­ски­ми до­ку­мен­та­ми ФСБ, при­знав для себя ак­ту­аль­ны­ми угро­зы толь­ко тре­тье­го типа, де­лать ему прак­ти­че­ски ни­че­го не при­дет­ся. Речь будет идти лишь о до­ра­бот­ке нор­ма­тив­ной до­ку­мен­та­ции, за­мене акта клас­си­фи­ка­ции ин­фор­ма­ци­он­ных систем пер­со­наль­ных дан­ных на акт вы­бо­ра типа ак­ту­аль­ных угроз и оцен­ку уров­ня за­щи­щен­но­сти. Воз­мож­но, по­тре­бу­ет­ся под­пра­вить част­ную мо­дель ак­ту­аль­ных угроз в со­от­вет­ствии с ожи­да­е­мы­ми до­ку­мен­та­ми ФСБ и ФСТЭК. При­ня­тых мер за­щи­ты в аб­со­лют­ном боль­шин­стве слу­ча­ев ока­жет­ся вполне достаточно.

А вот если ак­ту­аль­ны­ми будут при­зна­ны угро­зы пер­во­го и вто­ро­го типа, что де­лать, се­год­ня не знает, на­вер­ное, никто, вклю­чая ав­то­ров по­ста­нов­ле­ния правительства.

В целом по­ста­нов­ле­ние об­лег­чи­ло или услож­ни­ло жизнь ком­па­ний — опе­ра­то­ров пер­со­наль­ных дан­ных? Какие у него плюсы и ми­ну­сы с точки зре­ния ком­па­ний, вы­нуж­ден­ных ему следовать?

Этого пока нель­зя ска­зать даже пред­по­ло­жи­тель­но. Струк­ту­ра по­ста­нов­ле­ния пред­по­ла­га­ет обя­за­тель­ное при­ня­тие для его ис­пол­не­ния фе­де­раль­ны­ми и ре­ги­о­наль­ны­ми ор­га­на­ми ис­пол­ни­тель­ной вла­сти, Бан­ком Рос­сии, ФСБ и ФСТЭК це­ло­го па­ке­та до­ку­мен­тов. Без этих до­ку­мен­тов по­ста­нов­ле­ние, со­дер­жа­щее массу от­сы­лоч­ных норм, ра­бо­тать не сможет.

Со­мне­ний нет, что ФСБ и ФСТЭК такие до­ку­мен­ты при­мут. А вот что может за­ста­вить это сде­лать фе­де­раль­ные ор­га­ны ис­пол­ни­тель­ной вла­сти, осу­ществ­ля­ю­щие функ­ции по вы­ра­бот­ке го­су­дар­ствен­ной по­ли­ти­ки и нор­ма­тив­но-пра­во­во­му ре­гу­ли­ро­ва­нию, — ни закон, ни по­ста­нов­ле­ние от­ве­тов не со­дер­жат. Непо­нят­но и что де­лать тем опе­ра­то­рам, у ко­то­рых нет ор­га­нов, ре­гу­ли­ру­ю­щих де­я­тель­ность «в уста­нов­лен­ной сфере».

Мо­де­ли по­ве­де­ния опе­ра­то­ров на се­го­дняш­ний день при­мер­но одни и те же — при­знать ак­ту­аль­ны­ми угро­зы толь­ко тре­тье­го типа (не свя­зан­ные с ис­поль­зо­ва­ни­ем зло­умыш­лен­ни­ком неде­кла­ри­ро­ван­ных воз­мож­но­стей) и за­щи­щать­ся по ми­ни­му­му. Су­ще­ству­ю­щие до­ку­мен­ты никак та­ко­му пути не препятствуют.

Согласие как продукт при полном непротивлении сторон. Роскомнадзор: разъяснения, которые ждали

В пятницу произошло не очень заметное, но, как мне кажется, очень важное событие. На сайте Роскомнадзора опубликована позиция уполномоченного и одновременно надзорного органа по вопросам обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. Важное, потому что регулятор фактически впервые предложил создать документ по весьма модной, но на практике редко используемой схеме частно-государственного партнерства. В роли участников, представляющих негосударственную сторону, выступили специалисты, много и активно занимающиеся проблематикой персональных данных и, что здесь главное, делящиеся своими мыслями в своих блогах – Алексей Лукацкий, Алексей Волков, Александр Токаренко и ваш покорный слуга (Михаил Емельянников). Схема работы серьезно отличается от краудсорсинга, который при подготовке последних документов активно используется ФСБ и особенно ФСТЭК. Не запрос мнения по заранее подготовленному проекту, отзывы на который куда-то падают и потом неведомым образом трансформируются или не трансформируются в редакцию документа (я вовсе не отрицаю возможную продуктивность использования такой схемы, просто констатирую факт), а попытка совместного поиска решения с конкретными людьми вплоть до достижения некоего компромисса, фиксируемого документально. Компромисса, поскольку взгляды двух и более людей совпадать не могут, и они должны договориться, отстаивая принципиальное и соглашаясь с тем, что таковым не является, для достижения делаемого результата.

Надо признать, что позиция Романа Валерьевича Шередина, инициатора этого проекта, была абсолютно беспроигрышной. Критикуете, предлагаете, да еще публично? Отлично! Давайте вместе найдем решение и застолбим его, как позицию регулятора. Отказаться от такого предложения – признаться в собственном неконструктивизме. Впряглись. Появившаяся публикация должна быть первой ласточкой. Впереди еще очень много, требующего прояснения, для чего надо найти внятное и, главное, выполнимое на практике, решение – биометрия с фотографиями и их копиями разного качества, спецкатегории, оферты как формы договоров с субъектами персданных и т.д. и т.п. Надеюсь, идущие дорогу все-таки осилят.  

А теперь о том, что представляемся мне лично самым важным в обнародованной позиции. 

Согласия работника на обработку его персональных данных не нужно, но! Их объем должен соответствовать неким перечням, установленным нормативно-правовыми актами (Трудовым кодексом, Роскомстата) или иными документами, например, коллективным договором, правилами трудового распорядка (!), иными локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса. Обратите внимание, ссылка дается не только на федеральные законы, но и на постановления Правительства, ведомственные акты (постановление Госкомстата Российской Федерации от 05.01.2004 № 1) и даже внутренние локальные акты, принятые в рамках компетенций, установленных законом. Надеюсь, теперь прекратятся бесконечные споры о необходимости получения доказываемого согласия родственников, чьи персданные отражаются в Форме Т-2.

Наконец-то закрыта тема правомерности обработки данных о состоянии здоровья работника без его согласия в рамках определения возможности выполнения им трудовой функции (ежедневный и профилактический медицинский осмотр), обязательного медицинского, социального и пенсионного страхования.

Прорыв! Не надо согласия на передачу персданных третьим лицам при направлении в командировку, бронировании гостиниц и покупке билетов. Опять-таки в объеме, установленном нормативно-правовыми актами, что очень правильно

Разъяснено, как и на какие запросы о работниках надо отвечать органам власти и профсоюзам.

Наконец-то однозначно разъяснены вопросы выпуска платежных карт для начисления заработной платы работникам и осуществления пропускного режима на предприятии. Предусмотрена возможность выражения согласия, требующегося в письменной форме, непосредственно в трудовом договоре, если содержание его соответствует части 4 ст.9 152-ФЗ. Я очень рад за своих клиентов, которым этот вариант решения проблемы я предлагаю давно, на курсах, семинарах и в конкретных проектах.

При определении сроков обработки персданных уволенных работников даны ссылки на бухгалтерское и налоговое законодательство, что очень правильно.

Ура! По-моему, впервые официально подтверждено, что обработка персданных, находящихся на архивном хранении, 152-ФЗ не регулируется. 

И, наконец, расписаны основания для обработки персданных соискателей вакантных должностей. Не все здесь мне кажется правильным, но после драки кулаками не машут. Как вынесено в заголовок поста, согласие есть продукт полного непротивления сторон. И спорить с монтером Мечниковым бесполезно. Поэтому я считаю, что однозначные и выполнимые рекомендации (а провести проверку предоставления резюме соискателем и получить согласие на включение его в кадровый резерв, безусловно, можно) гораздо лучше, чем полная неопределенность и произвольное толкование.

Завершающий аккорд. Проставление отметки в соответствующем поле web-формы рассматривается как выражение согласия. По аналогии применения права, электронный бизнес, требующий обработки персональных данных, становится легальным. И это – одно из самых важных для меня достижений совместной работы с регулятором.

Рецепт от автора поста, как положено. Пересмотрите свои локальные акты и приведите в соответствие с разъяснением. Жить станет легче. Для радикалов, не приемлющих компромисса. У вас тоже есть легальный путь. Спорьте в суде, если считаете иначе, чем написано в рассматриваемом документе. Или, по крайней мере, будьте готовы к этому.

Приходите к нам лечиться

Редкий случай, когда … ну, не лечиться, а подлечиться мы приглашаем работников медицинских учреждений. Окажем помощь в решении сложных проблем применения в учреждениях здравоохранения законодательства о персональных данных, повышении иммунитета к неправомерным требованиям пациентов, поможем при хронических болезнях уведомления Роскомнадзора об обработке персданных. Имеем опыт радикального лечения в запущенных случаях. Готовы помочь в профилактике возможных нарушений.

21 декабря в Учебном центре «Информзащита» пройдет учебный курс «Защита персональных данных в медицинских учреждениях». Мы проанализируем, почему во всем мире так часто крадут данные о пациентах медицинских учреждений, кому и зачем их продают. Разберемся, что такое медицинская информационная система, электронная медицинская карта и электронная регистратура, табличка на двери врачебного кабинета и доска почета лучших врачей больницы с точки зрения закона «О персональных данных». Уточним, как выглядит в терминах Постановления Правительства № 687 рецепт на лекарство и является ли биометрическими персональными данными рентгеновский снимок сломанной руки. Обсудим, как оформить результаты предварительного и периодического медицинского обследования работников и при этом не нарушить закон. Узнаем, может ли бабушка привести внучку на прием в поликлинику без нотариальной доверенности, относятся ли к специальным категориям сведения об инвалидности и какие решения по этому поводу принимают российские суды. Ну, и много-много чего другого.

Итак, 21 декабря. Курс проводится по многочисленным просьбам слушателей и повторен будет не скоро.

Спецкурс для кадровика: персональные данные и коммерческая тайна

Вчерашнее бурное обсуждение Постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» сначала на вебинаре, а потом на блоге и его зеркалах показало, что интерес к теме – огромный, а с пониманием того, что надо делать – несколько хуже. Проходило обсуждение в основном со знающими людьми в этой области – специалистами по информационной безопасности и ИТ, вынужденно занимающимися данной проблематикой.

Между тем, есть еще одна очень большая группа специалистов, для которой вопросы, связанные с персональными данными – предмет постоянной заботы, а часто – и головной боли. Это работники кадровых подразделений и юристы огромного количества предприятий и организаций.

Специально для них несколько лет назад мы вместе с Учебным центром «Информзащита» запустили однодневный учебный курс «Информационная безопасность для специалиста кадровой службы».

Помимо тематики персональных данных, на курсе рассматриваются вопросы охраны объектов интеллектуальной собственности, в первую очередь – секретов производства, регулирование их в трудовых договорах, в том числе – с руководителями предприятий, а также виды ответственности работников за разглашение и иное неправомерное использование охраняемой законом тайны. На реальных судебных примерах будут проанализированы трудовые споры, связанные с увольнением по части 6 ст.81 ТК РФ (разглашение охраняемой законом тайны или персональных данных другого работника), привлечение бывших работников к уголовной ответственности по ст.183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну).

В завершающей части курса рассматриваются вопросы государственного контроля и надзора в области персональных данных, регулирования надзорной деятельности Федеральным законом № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и административными регламентами надзорных органов.

И конечно, доступным и понятным языком мы расскажем о новом Постановлении Правительства № 1119, вступившем вчера в силу и уже наделавшем столько шума.

Курс – редкий, ближайший состоится 26 ноября в Учебном центре «Информзащита». Приходите. Присылайте своих коллег и работать подразделениям безопасности совместно с юридической и кадровой службами предприятия будет проще и эффективнее.