Персональные данные: следуя за изменениями практики правоприменения

В ожидании принятия правительством документов, реализующих положения измененного летом прошлого уже года ФЗ-152 «О персональных данных», не стоит забывать, что практика правоприменения определяется не только самим ФЗ и нормативно-правовыми актами правительства, но и смежным законодательством, и принятыми документами регулирующих и надзорных органов, решениями судов различной юрисдикции и различных инстанций.

Отслеживая эти изменения, мы стараемся своевременно и оперативно корректировать проводимые авторские курсы и семинары, актуализируя их содержание по мере появления тех или иных решений, устойчивых тенденций в деятельности уполномоченных органов, и даже по результатам обсуждения идей, высказанных в этом блоге.

С сегодняшнего дня предлагается новая редакция авторского курса «Изменения законодательства о персональных данных и последствия для операторов», в котором анализируются изменения, связанные с персональными данными и внесенные в законодательство об исполнительном производстве и судебных приставах, обязательном медицинском страховании и образовании, рассматриваются особенности раскрытия и опубликования персональных данных участников и аффилированных лиц обществ (акционерных и с ограниченной ответственностью), обсуждаются проблемы правомерности обработки работодателем сведений о состоянии здоровья работника, связанных и не связанных с возможностью выполнения трудовой функции, допустимости обработки сведений о судимости, в том числе – связанные с принятием новой редакции ФЗ-402 от 06.12.2011 «О бухгалтерском учете в Российской Федерации». 

Программа семинара дополнена вопросами отнесения персональных данных к биометрическим. Так, рассматриваются новые признаки таких данных, установленные ФЗ-261 "О внесении изменений в Федеральный закон "О персональных данных"", требования ГОСТ  Р  ИСО/МЭК 19794-5-2006 к формату записи изображения лица человека в биометрических системах и изложением позиции Роскомнадзора по этому вопросу. Анализируется практика оценки органами Роскомнадзора правомерности хранения операторами копий паспортов граждан в ходе проверок операторов персональных данных.

Новый раздел семинара посвящен изменениям в системе государственного контроля и надзора за выполнением законодательства о персональных данных, в частности – изменениям в ФЗ-294 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" и их влиянию на проведение проверок, новому административному регламенту проверок Роскомнадзора от 14.11.2011, типовому регламенту и проекту административного регламента ФСБ России. Рассматриваются вопросы планирования проверок надзорными органами и доведения информации о них до проверяемых.

Естественно, что по мере принятия новых законодательных и нормативно-правовых актов, проявления заметных тенденций правоприменения законодательства в программу семинара и в дальнейшем будут вноситься изменения и дополнения.

Оценивать все это очень важно, поскольку в зависимости от позиции и целей, преследуемых той или иной организацией или органом, появляются самые неожиданные трактовки закона. В качестве примере – ошарашивающая новость от коллекторов: «Федеральная служба судебных приставов представила общественности запрещенный ранее проект интернет-банка должников, в который вошли сведения о неплательщиках со всей России». И сделано это «в соответствии с изменениями в федеральных законах «О персональных данных» и «Об исполнительном производстве»», а в этой базе данных на сайте ФССП России раскрывается имя, фамилия, отчество, дата рождения должника.  Но об этом – в следующем посте.

А обновленный курс можно будет прослушать 10 февраля в Москве, в Учебном центре «Информзащита», и 17 февраля в Самаре, в Центре «Технологии управления бизнесом».

Биометрические персональные данные: что это?

После выхода информационного письма № 5 Ассоциации российских банков, в подготовке которого принимал участие и я, в ИБ-блогах Рунета активно обсуждаются отдельные его положения, в частности, у Игоря Бурцева, у Алексея Волкова, у Алексея Лукацкого, у BSAT devteam, наверное, где-то еще.

Не имея возможности участвовать в обсуждении проблем в каждом из этих мест, хотел бы высказать свою точку зрения только по одному из рассматриваемых в письме вопросов – относительно отнесения фотографических изображений к биометрическим персональным данным.

В письме АРБ разъясняется, что «фотография или видеозапись, на которой запечатлен человек, могут считаться биометрическими данными (является носителем биометрических ПДн) только в том случае, если они представлены в электронном виде и получены с применением специальных технологий и технических средств, позволяющих выполнять определенные требования, предъявляемые к форматам записи изображения (например, в случае фотографии установленные ГОСТ Р ИСО\ МЭК 19794-5-2006)».

При глубочайшем уважении к экспертам, подготовившим это разъяснение, и чиновникам, создавшим почву для него, категорически не могу с ним согласиться. И вот почему.

Основанием для такого критерия отнесения к биометрии, как соответствие ГОСТу, в письме № 5 называется ответ Роскомнадзора на запрос ЗАО «Коммерцбанк» от 05.04.2010 № ПК-05728.

Обратите внимание на дату письма. Направлено оно до принятия ФЗ-261 25.07.2011, который в новой редакции ФЗ-152 уточнил понятие биометрических персональных данных, регулируемых данным законом. Последние слова – ключевые. Мы сейчас говорим именно о тех данных, обработка которых регулируется ФЗ-152. А на самом деле их может быть гораздо больше, и признаки отнесения к ним надо искать совсем в других законах – о геномной и дактилоскопической регистрации, об основах здравоохранения, о въезде-выезде и т.д. В законе о персональных данных установлено три важнейших критерия, при соответствии которым обработку этой категории данных надо строить именно по ФЗ-152.

Биометрические персональные данные, обработка которых регулируется ФЗ-152, это данные:

·         которые характеризуют физиологические и биологические особенности человека;

·         на основе которых можно установить его личность;

·         которые используются оператором для установления личности субъекта персональных данных.

Все. Точка. Ни про какие ГОСТы в законе нет и не может быть ни слова. По одной простой причине. В соответствии с ФЗ «О техническом регулировании», стандарт – это документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов эксплуатации, хранения,  выполнения работ или оказания услуг. Стандарт также может содержать правила отбора образцов, требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.

И здесь ключевое слово – добровольного. Это подтверждено и в ст.12 данного закона: «Стандартизация осуществляется в соответствии с принципами добровольного применения документов в области стандартизации». Поэтому относить или не относить те или иные вопросы к регулируемым федеральным законом на основании положений ГОСТа никак нельзя.

Далее. Национальные стандарты могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов. Вот будет техрегламент по биометрическим данным – все станет просто.

Поэтому нет никаких оснований не считать биометрическими персданными фото в системе контроля управления доступом (СКУД), которые так модно стало ставить в офисах и на предприятиях. И СКУД, где есть фамилии работников, – это ИСПДн со всеми вытекающими. И если ФИО нет – тоже, но класса К4, поскольку произведено обезличивание персональных данных, и в системе невозможно определить принадлежность персональных данных конкретному субъекту без использования дополнительной информации.

Скан паспорта – тоже носитель биометрических персональных данных, обрабатываемых вне ИСПДН, но находящийся в систематизированном собрании банка, например, и поскольку существует четкий алгоритм поиска этих данных, их хранение или любая другая обработка подпадают под действие ФЗ-152. И фото в личном деле тоже, даже если его сделал фотограф, никогда не слышавший про ГОСТ, ИСО и МЭК. По той же причине – характеризует физиологические особенности, используется для идентификации и находится в систематизированном собрании.

Собственно, если посмотреть акты и предписания надзорных органов, именно это в них и пишется.

Можно затеять длинный спор про пропуска с фото (используются для идентификации, но находятся вне систематизированных хранилищ/картотек, непосредственно у работника), но это отдельная песня.

Так что я не стал бы обольщаться и откладывать проблему с фото в долгий ящик, надеясь на то, что все проверяющие согласны с позицией уважаемого профессионального сообщества. Особенно если это происходит не в банке, а на заводе или в турфирме, где заступиться за оператора, кроме суда, некому.

Мне кажется, в данном случае проще выполнить закон.

ФЗ-152: стоит ли занимать выжидательную позицию?

12 октября, когда утихнут волнения вокруг двух конкурирующих выставок по информационной безопасности, каждая из которых, к тому же, сопровождается радикально отличающимися друг от друга конференциями, и специалисты уже вернутся к своим повседневным обязанностям, в Учебном центре «Информзащита» состоится премьера моей принципиально новой авторской программы «Изменения законодательства о персональных данных и последствия для операторов».

Не стоит забывать, что ФЗ-152 вступил в полную силу, а все отсрочки по приведению порядка обработки персональных данных в соответствие с ним закончились. Все без исключения контрольные и надзорные органы на вполне законном основании осуществляют свою деятельность по проверке организаций, а для выполнения принципиально новых требований (в частности, по статьям 18прим и 22прим) никаких дополнительных сроков не предусмотрено. Единственная проблема сегодня, фактически, в требованиях по технической защите, но и без них работы слишком много.

С подачи некоторых не очень добросовестных и компетентных «советчиков»  у части операторов персональных данных сложилось впечатление, что минимальные размеры штрафов позволят при проверках обойтись малой кровью. Это не так. Прямое следствие выявленных в ходе проверки  недостатков – получение организацией предписания об их устранении с конкретными сроками. А устранить нарушения при отсутствии предварительной работы быстро никак не получится. Отсюда – новые санкции, в том числе, к руководству организаций, вплоть до дисквалификации.

Принципиально новой я считаю программу обучения потому, что она построена по совершенно иному принципу, чем предыдущие четыре учебных курса. Стандартный подход, который использовался в курсах, рассматривающих проблемы обеспечения соответствия законодательству о коммерческой тайне, персональных данных, специфике его применения в кредитно-финансовых учреждениях и задачам в области информационной безопасности, которые приходится решать работникам кадровых органов, заключался в том, что последовательно рассматривались требования нормативно-правовых актов  анализировались практические действия, из них вытекающие и риски, связанные с невыполнением требований. Федеральные законы, кодексы, постановления Правительства и указы Президента, нормативно-методические документы уполномоченных органов власти рассматривались as is, как есть. Естественно такой подход был рассчитан на тех, кто хочет детально разобраться в проблеме «с нуля» или, как в курсе для банков, получить ответы на наиболее сложные вопросы, которые в очевидном, простом виде в законах и подзаконных актах не содержатся.

Трансформация Федерального закона «О персональных данных», вызванная принятым в июле ФЗ-261, заставила по-иному взглянуть на проблему соответствия порядка обработки персональных данных закону. Изменения в законе иногда просто радикальны, а смысл их зачастую запрятан так глубоко, что при  поверхностном прочтении совершенно не виден. Чего стоят только слова «прямо или косвенно» в определении персональных данных или исчезновение из ФЗ-152 определения такого вида их обработки, как использование!  

В этих условиях у добросовестных и законопослушных организаций, а также занятых в них данной проблематикой специалистов неизбежно встает вопрос: «А что же мы за пять лет наваяли по выполнению закона, и что теперь с этим делать? Что можно оставить, что переделать, а что сделать полностью заново, дополнительно?». Можно, конечно, сесть за текст нового закона, лучше – вместе с юристами, и попытаться разобраться в этом самим. В том случае неплохо основательно пошариться по блогам-форумам-специализированным сайтам-изданиям и почитать, что думают другие. Очень увлекательно и полезно. Но долго.

А можно изучить результаты труда тех, для кого эта работа – один из основных видов деятельности и совметно с такими же специалистами, перед которыми стоят аналогичные вопросы и которым поставлены аналогичные задачи, обсудить предлагаемые выводы и рекомендации. Что, собственно, и будет на новом учебном курсе, о котором я пишу.

Детальное, часто в виде таблицы «было-стало», сравнение текстов закона в старой и новой редакции, подробный анализ всех нововведений и констатация тех положений, которых в новом тексте не стало, позволяет получить целостную и систематизированную картину как произошедших изменений, так и того, что надо сделать для достижения соответствия. Для иллюстрации – пара слайдов из нового курса.

Интеграторо- и вендоро- независимость не сковывает руки и позволяет не оглядываться на интересы, связанные с сертификацией, аттестацией, лицензированием, а дать объективную картину. После каждого раздела – время на вопросы-ответы-обсуждения.

Есть и бонус, но только для пришедших на премьеру 12 октября. Каждый из участников курса сможет до 5 октября задать один вопрос, который будет рассмотрен в процессе обучения в виде практического кейса – анализа практической ситуации. Т.е. получит бесплатный микро-консалтинг по мучающей проблеме.

И в завершение. Я категорически против появления в отношении ФЗ-152 истин в последних инстанциях. Я анализирую и делаю выводы, предлагаю их Вам. Вы с ними соглашаетесь или спорите, принимаете или нет. Сегодня «окончательных справок для Швондера» по ФЗ-152 нет и быть не может, как бы в этом не убеждали некоторые авторы курсов и учебные центры. Есть поиск путей выхода из ситуации, созданной новой редакцией закона, формирование и закрепление в своих локальных актах позиции оператора персональных данных, которую он будет отстаивать во взаимоотношениях с субъектами и регуляторами. Чем подготовленнее и грамотнее будут отстаивающие права, тем проще им будет выполнять эту непростую задачу. И новый курс – подспорье для этого, а не универсальная пилюля, излечивающая от всех проблем.

Вот такой официоз…

Дважды подряд изумила «Российская газета». Официальное издание, учрежденное Правительством, сначала дало фантастический комментарий к ФЗ-261 о внесении изменений в закон о персональных данных, а потом без пояснений сообщило о корректировке текста этого же закона, опубликованного ею чуть ранее. 

Комментарий называется «Тайна за семью печалями. Как защитить персональные данные граждан РФ». Как следует из текста, статья основана на экспертном мнении «руководителя одной из крупных российских компаний, специализирующихся на проблемах информационной безопасности, Павла Шибкова».  Пересказывать это творение не буду, слов просто таких у меня нет.

Коллеги, может быть кто-нибудь знает, кто такой этот Павел Шибков и чем таким крупным он руководит? Может, узнав это, будет понятно, откуда такие перлы?

Ну, а с текстом ФЗ-261 просто класс. «Уточнение. В Федеральном законе "О внесении изменений в Федеральный закон "О персональных данных", опубликованном в "РГ" N 162 от 27 июля 2011 г., следует читать…». Осталось понять, кто, когда и почему решил, что читать надо именно так.

Выполнение требований ФЗ-152 предприятиями, ведущими бизнес в Интернете

В последние дни, и, не в последнюю очередь, в связи с продолжающимися дискуссиями вокруг поисковиков, в наше агентство от предприятий, ведущих бизнес в Интернете (Интернет-торговля, прием заказов, информационные услуги и др.) поступает большое количество вопросов, связанных с соответствием требованиям ФЗ-152 «О персональных данных» и внесенными в него ФЗ-261 от 27.07.11 изменениями.

Для заинтересованных 23 августа компанией «Код Безопасности» будет проводиться вебинар, в котором приму участие и я в качестве эксперта Консалтингового агентства «Емельянников, Попова и партнеры» J. Особое внимание в презентации будет уделено сложным проблемам достижения соответствия ФЗ-152 в интернет-магазинах и действиям, которые предприятиям электронного бизнеса необходимо предпринять, чтобы минимизировать риски предъявления санкций со стороны госрегуляторов и при этом не понести чрезмерных затрат.

Участие в вебинаре бесплатное, но по предварительной записи. Участникам вебинара будет предоставлена возможность задать вопросы экспертам. Более подробная информация о вебинаре - здесь.