Правительство определило правила контроля и надзора за соответствием обработки персональных данных требованиям законодательства

После пяти попыток и трех с половиной лет Постановлением Правительства РФ от 13.02.2019 № 146 утверждены «Правила организации и осуществления государственного контроля и надзора за обработкой персональных данных», которые 15 февраля опубликованы на Официальном интернет-портале правовой информации.

С проектами произошел просто какой-то казус. Предыдущий проект был «завернут» при регистрации Минюстом из-за отсутствия в названии «государственный контроль и надзор» слова «федеральный», которое используется в том случае, если правила контроля и надзора определяют президент или правительство. Именно с этим словом проект висит до сих пор на официальном сайте раскрытия информации о подготовке нормативных правовых актов. А документ вышел без него. И Положение превратилось в Правила. Но не в названии суть.

Я не буду сравнивать пять версий документа и анализировать, что и когда менялось, смысла нет. Самое важное – чем Правила отличаются от действующего Административного регламента Роскомнадзора, и что в них нового.

В Правилах четко и однозначно указано, что их действие не распространяется на контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных, установленных в соответствии со статьей 19 Федерального закона «О персональных данных». Поэтому никаких экспертов и экспертных организаций при Роскомнадзоре для «обследования и определения уровня защищенности негосударственных информационных систем персональных данных», о которых я писал четыре года назад. Они в правилах вообще не упоминаются.

Контроль и надзор осуществляется все-таки за соблюдением закона «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, как написано в части 1.1 статьи 23 закона, а не законодательства Российской Федерации в области персональных данных, как написано в части 1 той же статьи. Почувствуйте разницу. Снова придется возвращаться к вопросу о полномочиях по контролю и надзору за соблюдением требований главы 14 Трудового кодекса.

К плановым и внеплановым проверкам и принятием мер по пресечению и (или) устранению последствий выявленных нарушений добавились две новые формы надзорных мероприятий: контроль без взаимодействия с операторами (который в планах деятельности территориальных управлений Роскомнадзора называется «мероприятиями систематического наблюдения») и профилактика нарушений. Систематическое наблюдение ведется года так с 2015, но нормативно не регулировалось, а вот профилактики не было совсем.

Закреплена сложившая практика определения проверок не в планах проверок, а в планах деятельности территориальных органов. Разница колоссальная: планы проверок согласовываются с прокуратурой и их изменить без прокуратуры нельзя, план деятельности – нет, изменения вносятся приказом надзорного органа легко и просто. Посмотрите, например, здесь. Год только начался, а в план внесены изменения уже 13-ю приказами.

Допустимая периодичность плановых проверок в отношении оператора по-прежнему составляет 3 года, но появились исключения, когда проверка может проводиться раз в два года: операторов ИСПДн, являющихся ГИСами; обрабатывающих спецкатегории и биометрию; осуществляющих трансграничную передачу персданных в государства, не обеспечивающие адекватную защиту прав субъектов персональных данных (вниманию дочек американских, японских, китайских компаний и пользователей дешевой инфраструктуры в Бангалоре); и, наконец, обрабатывающих персональные данные по поручению иностранного государственного органа, иностранного юридического лица, иностранного физического лица, которые не зарегистрированы в установленном порядке на территории Российской Федерации (вниманию представительств и филиалов иностранных компаний, не образующих в России юрлиц). Как эти иностранные органы и лица могут быть зарегистрированы в России, я не знаю.

Из принципиально нового. Все-таки появилось такое основание внеплановых проверок (только выездных), как обращения граждан при условии наличия в обращении материалов, подтверждающих факт нарушения их прав действиями (бездействием) оператора, определенных статьями 14-17 закона «О персональных данных», чего надзорный орган добивался давно, и что далеко выходит за пределы закона 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Появилось и еще одно новое основание для внеплановых проверок – нарушение, выявленное в ходе мероприятия систематического наблюдения.

Таким образом, ситуация меняется радикально – внеплановые проверки, которых было очень мало ввиду жестких ограничений закона и Административного регламента, могут стать основным видом надзорной деятельности. Сдерживающим фактором может стать необходимость согласования проверок по новым основаниям с прокуратурой. Посмотрим.

Наконец-то вслед за законом, в котором изменения были сделаны в 2016 году, исправлена совершенно удивительная формулировка Административного регламента об уведомлении о плановых проверках («не позднее, чем в течение 3 рабочих дней до начала ее проведения»): теперь это надо делать не позднее чем за 3 рабочих дня до даты начала ее проведения. Уведомить о проверке теперь официально можно по электронной почте, что давно делается на практике, а также «иным доступным способом».

Срок проведения внеплановой проверки сокращен до 10 рабочих дней, но может быть продлен на такой же период.

Установлены основания для продления сроков плановых и внеплановых проверок. Их четыре:

·         получение в ходе проведения проверки от правоохранительных органов, органов прокуратуры, из иных источников документов, свидетельствующих о нарушении оператором требований;

·         обстоятельства непреодолимой силы (затопление, наводнение, пожар и тому подобное) на территории, где проводится проверка;

·         непредставление оператором в ходе проведения проверки необходимых документов;

·         выявление в ходе проведения проверки обстоятельств, связанных с большим объемом проверяемых и анализируемых документов, количеством осуществляемых видов деятельности по обработке персональных данных, разветвленностью организационно-хозяйственной структуры оператора, сложностью технологических процессов обработки
персональных данных.

Последнее основание применимо к деятельности любой большой компании, но продление сроков проверки, во всяком случае, в ЦФО, давно стало обыденным делом.

Еще из нового. Теперь применять принадлежащую Роскомнадзору технику и оборудование можно только в ходе мероприятий систематического наблюдения.

Принимать меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований, надзорный орган может только в установленном законодательством Российской Федерации порядке. Что это за порядок – загадка, как 12 лет назад, когда закон вступил в силу.

Протоколы об административном правонарушении теперь можно составлять по материалам систематического наблюдения, так что оператор сможет о привлечении к ответственности узнать, только получив повестку в суд.

Однозначно зафиксировано, что запрос о получении информации по существу вопросов, указанных в обращениях граждан и иных лиц, поступивших в надзорный орган, не является документарной проверкой.

Срок представления материалов для документарной проверки сокращен с 10 до 5 дней, если они представляются в электронной форме, то должны быть подписаны усиленной квалифицированной электронной подписью. Как ее может проверить надзорный орган, по-прежнему неясно.

Если документы, в том числе дополнительно запрашиваемые (для их представления отводится теперь всего 3 дня, а не 10, как в действующем Административном регламенте), не предоставляются оператором в надзорный орган в установленный срок, документарная проверка может, как и ранее, превратиться в выездную.

Назначить выездную проверку физлица, не являющегося индивидуальным предпринимателем (например, нотариуса), нельзя совсем.

Остальным проверяемым лицам на предоставление запрашиваемых при выездной проверке документов отводится не менее 2-х дней. Нынешний перечень запрашиваемых документов занимает 6 листов. То есть 6 листов только наименований документов, которые надо предоставить за два дня! Один из операторов, проверку которого мы сопровождали, подготовил и передал больше 400 документов. 

В Правилах прямо установлено, что в случае действий (бездействия) оператора, препятствующих проведению выездной проверки, составляется акт о воспрепятствовании проведению выездной проверки и подробно расписывается сценарий действий при таком воспрепятствовании.

Ну, и, наконец, что в Правилах так и не появилось, хотя этого очень ждали:

·         риск-ориентированный подход при определении операторов, у которых планируется проверка;

·         использование проверочных листов (списков контрольных вопросов), предусмотренных законом 294-ФЗ, который с 1 сентября 2015 года не регламентирует проверки соблюдения законодательства о персональных данных;

·         сроки оформления актов проверок после их окончания;

·         основания и порядок признания проверок недействительными (статья 20 закона 294-ФЗ).

Ждем теперь изменения Административного регламента.

Роскомнадзор опубликовал доклад о результатах надзорной деятельности

На официальном сайте надзорного ведомства опубликован «Доклад об осуществлении государственного контроля (надзора) и об эффективности такого контроля (надзора) за 2016 год».

Документ готовится и размещается на сайте ежегодно, что дает возможность проанализировать надзорную деятельность за достаточно большой период.

В таблице ниже приведены данные о количестве и итогах проверок за соблюдением законодательства о персональных данных, начиная с 2008 года, когда проведение контрольных мероприятий было поставлено на плановую основу.

Число проверок незначительно колеблется из года в год. Меняется и доля проверок, по результатам которых были выданы предписания об устранении выявленных нарушений: если в 2010 году после проверки выдавалось в среднем более одного предписания, то в 2016 году предписаниями об устранении заканчивалась лишь каждая третья проверка. В 2016 году Роскомнадзором было составлено 6930 протоколов об административных правонарушениях .

К сожалению, в докладе не раскрывается, по каким конкретно составам административных правонарушений привлекались к ответственности операторы персональных данных, но, учитывая, что право административного производства по новой редакции статьи 13.11 КоАП РФ должностные лица Роскомнадзора получат лишь с 1 июля 2017 года, можно предполагать, что основная часть нарушений связана с неисполнением требований главы 19 КоАП РФ «Административные правонарушения против порядка управления» и применением таких статей, как 19.7 (непредставление или несвоевременное представление в орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом (должностным лицом) его законной деятельности, либо представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор), таких сведений (информации) в неполном объеме или в искаженном виде), 19.4.1 (воспрепятствование законной деятельности должностного лица органа государственного контроля (надзора)), 19.5 (невыполнение в установленный срок законного предписания органа (должностного лица), осуществляющего государственный надзор (контроль), об устранении нарушений законодательства), 19.6 (непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения).

Похоже, замедлился рост числа обращений и жалоб в Роскомнадзор от граждан и юридических лиц (см. таблицу), который был до последнего года экспоненциальным.

При этом стабильно очень низким является доля случаев, когда доводы заявителей подтверждаются при проверке жалобы – в 2016 году она составляла 7,9%, годом ранее – 7,6%, в 2014 году – 10%. Значит ли это, что операторы стали лучше выполнять закон? Возможно. Но может быть, и наоборот, - граждане услышали про закон, стали активно жаловаться, не понимая, что в нем написано.

На кого жалуются? Традиционно, на кредитные учреждения, организации ЖКХ, владельцев интернет-сайтов (в том числе социальные сети), коллекторские агентства. На что жалуются? Тоже традиционно – на передачу банками персональных данных без согласия клиента и на коллекторов – на обработку без такого согласия. Кстати, отмечу, что с 1 января 2017 года после вступления в силу «антиколлекторского» закона № 230-ФЗ согласие должника на передачу его данных коллектору не требуется, равно, как и согласие на обращение к его родственникам, соседям и иным лицам в целях взыскания задолженности, однако у должника и третьих лиц появилась возможность отказаться от взаимодействия со взыскателем. Я об этом как-то уже писал, здесь и здесь.

Претензии к владельцам сайтов связаны с распространением (для такой претензии достаточно публикации на сайте) персональных данных без согласия субъекта, созданием фейковых аккаунтов, обработку в целях, отличных от заявленных при сборе, а на организации ЖКХ чаще всего жалуются на вывешенные в подъездах списки должников, на передачу персональных данных третьим лицам без согласия субъекта (кстати, на CISO форуме 17 апреля я буду рассказывать как раз про такое дело, когда суд в привлечении взыскателей ничего криминального не увидел), на направление платежных документов в неконвертируемом виде, неправомерность обработки персональных данных жильцов многоквартирных домов фондами капитального ремонта.

Довольно неожиданно на третье место по числу обращений граждан в Роскомнадзор вышли вопросы порядка и условий установки видеокамер, а также хранения полученных видеозаписей. Учитывая внимание к этой теме Роструда и органов прокуратуры, похоже, что ситуация в этом направлении ужесточится. Наше агентство держит руку на пульсе – именно сейчас вместе с нашим партнером мы реализуем проект по локальному нормативному регулированию использования видеонаблюдения в большом торговом центре, включая систему распознавания лиц.

Из интересного в Докладе я бы еще выделил направления методической работы, выбранные Роскомнадзором, как в отношении операторов, так и в отношении инспекторов надзорного ведомства, которым посвящен один из разделов Доклада. Сообщается, что в 2016 году для территориальных органов были разработаны методические рекомендации по организации судебной работы в области защиты прав субъектов персональных данных в сети Интернет, а также по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Одним из возможных итогов методической работы, возможно, стало то, что по сведениям, приведенным в Докладе, в 2016 году по результатам рассмотрения судами общей юрисдикции исковых заявлений, поданных Роскомнадзором и его территориальными органами по фактам незаконной деятельности 196 интернет-ресурсов, осуществляющих распространение персональных данных граждан, в 100% рассматриваемых случаев приняты решения в пользу Роскомнадзора.

Отмечу также одну весьма важную инициативу, которая может повлиять на деятельность зарубежных компаний в России, - в соответствии с Планом организации законопроектных работ Минкомсвязи на 2017 год предусмотрена подготовка проекта Федерального закона «О внесении изменений в Федеральный закон «О персональных данных» в части уточнения условий трансграничной передачи персональных данных.

Так что материала для анализа и размышлений в документе много. 

Персональные данные на уральском банковском форуме

16-19 февраля в Магнитогорске прошел традиционный Уральский форум «Информационная безопасность финансовой сферы». Из множества традиционных тем, поднятых на форуме, остановлюсь только на одной. Тема персональных данных звучала неоднократно – в выступлении заместителя руководителя Роскомнадзора А.А. Приезжевой, на Круглом столе с регуляторами, который организаторы мероприятия пригласили меня модерировать, и, совершенно неожиданно – в ходе очень интересной презентации первого зампреда Банка России С.А. Швецова. Затронута она была и в выступлении сенатора Л.Н. Боковой, депутата И.Е. Костунова, который говорил о законодательном противодействии фишинговым сайтам.

Я уже отмечал в своем «прямом репортаже» в первый день форума, что выступление А.А. Приезжевой мне показалось весьма интересным и с точки зрения его оформления, и, самое главное, по существу поднятых в нем вопросов. Редко чиновники на таких мероприятиях, да еще в ходе официально-приветственной части, говорят по существу, прямо и с четкими оценками. Полностью презентацию можно посмотреть в блоге А. Лукацкого.

В выступлении, как обычно, было две новости для банков: плохая – о том, что на долю кредитных организаций (подозреваю, что сюда попали и коллекторы, но прямо это не услышал) устойчиво приходится 40-45% жалоб субъектов о нарушении их прав в сфере персональных данных. И хорошая – о том, что лишь 6-9% изложенного в жалобах подтверждается при их рассмотрении. Все-таки научились банки решать «бумажные проблемы» соответствия требованиям и правильно писать документы.

Значительная часть жалоб касается передачи персональных данных третьим лицам (в основном это, конечно, коллекторы), действий банков после отзыва согласия субъекта на обработку и, при исполнении условий договора или его расторжении. От себя: никак вкладчики-заемщики не могут уяснить, что банк не будет и не может уничтожать их данные после завершения действия договора и даже при отзыве согласия. Часть 4 ст. 7 «антиотмывочного закона» 115-ФЗ не разрешает: «Документы, содержащие сведения, указанные в настоящей статье, и сведения, необходимые для идентификации личности, подлежат хранению не менее пяти лет. Указанный срок исчисляется со дня прекращения отношений с клиентом». Более того, нарушение работником банка этого требования при определенных обстоятельствах может стать основанием для привлечения его к уголовной ответственности.

В отношении коллекторов. Из выступления я понял, что Роскомнадзор, в отличие от Роспотребнадзора, не ставит под сомнение возможность передачи персональных данных должника от банка коллектору без согласия заемщика в рамках цессии – уступки права требования долга. При привлечении же коллекторов в качестве агентов по взысканию просроченной задолженности наличие согласия на это субъекта в кредитном договоре должно быть обязательно, причем, по мнению Роскомнадзора, это согласие должник может отозвать, и тогда банк должен прекратить привлекать агента для взыскания долга именно этого субъекта.

К сожалению, задать вопросы Антонине Аркадьевне не удалось, поэтому приходится свое мнение высказывать в посте, поскольку я с этой позицией надзорного органа не согласен. Во-первых, здесь есть, на мой взгляд, прямой конфликт норм права законодательства о персональных данных и Гражданского кодекса РФ в части агентирования. Глава 52 Гражданского кодекса, которая так и называется – «Агентирование» (как и глава 49 «Поручение», кстати), не вводит обязанности принципала получать согласие на привлечение агентов у кого бы то ни было, в том числе – у физических лиц. А статья 15 закона «О потребительском кредите (займе)» прямо предусматривает возможность привлечения агента при взыскании долга и устанавливает его обязанности, однако стыдливо умалчивает о требованиях при заключении агентского договора и его существенных условиях. Кстати, появилась судебная практика, говорящая о том, что согласие должника на передачу его данных агенту не нужно, если при этом агентом не нарушается конфиденциальность персональных данных, а такие действия кредитора расцениваются как выполняемые для осуществления прав и законных интересов оператора - см., например, здесь и здесь.

Возможность отзыва субъектом согласия только на передачу его персональных данных третьим лицам – коллекторам и требования при получении такого согласия к банку обеспечить прекращение обработки коллекторами персональных данных должника, также не основано на законе и нарушает права банка. Отношения банка с должником являются длящимися, условия договора одной из сторон (должником) не выполнены, и должник вдруг в одностороннем порядке хочет изменить условия договора – возможность привлечения третьей стороны для взыскания долга, при этом долг не возвращает. Если бы он согласия на привлечения коллекторов не давал, то и кредит бы ему, скорее всего, не дали, так что это условие договора вполне может рассматриваться как существенное. Некоторые «добросовестные» заемщики идут еще дальше – они отзывают согласие на использование банком любых контактных данных, кроме почтового адреса. Мы с нашими клиентами постоянно эти ситуации разруливаем.

Во второй день на Круглом столе с регуляторами я задал крайне интересовавший меня (надеюсь, не только меня) вопрос, касающийся исполнения поручений Президента России по итогам первого российского форума «Интернет экономика» о представлении предложений в законодательство по регулированию обработки данных граждан Российской Федерации в сети интернет и внедрению единых подходов к проверке сведений, предоставляемых при банковском обслуживании, в том числе в сети интернет: «Какие дополнительные регуляторные меры нужны, что они должны затрагивать и регламентировать?».

Вторая часть вопроса особенно интересна в свете того, что в упоминавшуюся выше статью 7 115-ФЗ, определяющую порядок идентификации клиентов, только совсем недавно, в 2014 и 2015 годах, внесены изменения восемью Федеральными законами №№ 110-ФЗ, 149-ФЗ, 218-ФЗ, 484-ФЗ, 140-ФЗ, 210-ФЗ, 423-ФЗ, 424-ФЗ. С 27.12.2015 вступило в силу новое «Положение об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», утвержденное Банком России 15.10.2015 № 499-П. Каждое подобное изменение требует корректировки локальных документов банка, в первую очередь – касающихся внутреннего контроля, их прохождение по инстанциям долго и сложно. Вот я пытался выяснить, чего же в супе опять не хватает. Ответы ожидаемы, но не радуют: Роскомнадзор за выработку политики не отвечает, поэтому вопросы – в Минкомсвязь, пожалуйста. За идентификацию клиентов и 499-П отвечает банковский надзор, а его представителя на круглом столе не было.

Похожий по смыслу ответ получен и на обещанный мною ранее вопрос к Роскомнадзору: «В этом году запланированы проверки целого ряда банков, являющихся дочерними организациями крупнейших зарубежных банков - Citibank, HSBC, «Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК». Считает ли Роскомнадзор сведения о движении средств по счету персональными данными, или эти сведения составляют иную охраняемую законом категорию – банковскую тайну. Если это персональные данные, использование АБС и ДБО материнских банков невозможно в принципе, исходя из требований, установленных в 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется в России, а далее они на законном основании выгружаются во «вторичные базы данных» за рубежом, и все идет в рамках закона. Какова будут позиция надзорного органа при проверках?». Ответ – результаты проверок покажут. Следим.

И уж совсем неожиданным оказалось мнение Сергея Анатольевича Швецова, первого зампреда Банка России, которое, как мне показалось, коротко можно сформулировать так: «Конфиденциальность персональных данных в цифровом мире и эпоху интернета? Забудьте. Да и скрывать нечего».

В общем, как обычно, ждем результатов исполнения поручений Президента и правоприменительной практики. Никто легкой жизни не обещал.

Где и когда поговорим о контроле и надзоре

За последние дни к нам поступило много запросов с просьбами прокомментировать те или иные аспекты проведения проверок выполнения законодательства о персональных данных. Один из наиболее частых вопросов – где в ближайшее время будем рассказывать о проведении контрольных мероприятий Роскомнадзором в 2016 году.

25-26 января – первый в этом году курс «Защита персональных данных», который я провожу в Учебном центре «Информзащита» уже почти 9 лет. Мы решили радикально изменить содержание темы «Контроль и надзор за соблюдением законодательства о персональных данных», полностью отказаться от рассмотрения так и не подписанного проекта «Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации». Вместо этого будет детально рассмотрен «Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных», а также особенности планирования контрольной деятельности Роскомнадзора в 2016 году. Больше внимание будет уделено набирающей силу практике систематического наблюдения за деятельностью операторов персональных данных.

Конечно, будут добавлены примеры из судебной практики, из материалов проверок и Научно-практического комментария к закону «О персональных данных», подготовленного специалистами Роскомнадзора, иллюстрирующие существующие на сегодняшний день подходы к требованиям законодательства. В частности, слушатели курса узнают, почему работодателю опасно сканировать и хранить паспорт и иные документы работника, можно ли привлекать к взысканию долга коллекторов и иные организации, и как на это смотрят суды и надзорные ведомства, имеет ли право кассир в магазине требовать паспорт у покупателя и многое другое.

Как обычно, поделюсь опытом реализации нашим агентством проектов по персональным данным в различных отраслях, в том числе, в иностранных и  международных компаниях

Точно, что скучно не будет!

С новым рабочим годом. Читаем планы проверок Роскомнадзора. Часть 2

Продолжаем начатый во вчерашнем посте анализ плана проверок. В СЗФО все гораздо сложнее и запутаннее. Планов несколько.

В «Плане проведения проверок органов местного самоуправления и должностных лиц местного самоуправления на 2016 год» 5 муниципальных органов, все проверяются по персональным данным. Первая из проверок по плану должна была начаться позавчера, 11 января, в первый рабочий день после длинных каникул. В «Плане проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2016 год» ни одной проверки по персональным данным нет.

Но зато в «Плане деятельности Управления Роскомнадзора» по Северо-Западному федеральному округу в 2016 году» картина совсем иная. Там два интересных раздела: «3.4. Осуществление контроля за соблюдением обязательных требований в сфере защиты прав субъектов персональных данных», в котором предусмотрено 20 мероприятий систематического наблюдения (об этом направлении деятельности надо писать отдельно, может быть, несколько позже удастся) и «Организация и проведение государственного контроля (надзора) за соответствием деятельности операторов, осуществляющих обработку персональных данных, являющихся государственными органами, юридическими и физическими лицами, требованиям законодательства Российской Федерации в области персональных данных». В этом разделе четкой линии и направленности, как в ЦФО, я не увидел. Несколько вузов и других образовательных учреждений, банк «Санкт-Петербург», «Несте» (сеть заправок с финским участием), «Госзнак», кабельная сеть, колл-центр, пара предприятий ЖКХ.

Из интересного и вписывающегося в концепцию – питерское подразделение «Бритиш Американ Тобакко», «В Контакте» (так в плане), «Ти-Джей Трэвел», «Кронвелл Отель Менеджмент», «Бентли» (ох, уж эти автолюбители!), «Единый визовый центр», «Две палочки» (привет «Макдоналдсу»!), «Негосударственный пенсионный фонд Оборонно-промышленного комплекса». В целом довольно скучно, учитывая резидентов Питера и окрестностей.

Зато про планирование в Вологодской области читал, как детектив. Изначально план был утвержден 29 октября прошлого года, и в нем 13 из 17 проверок затрагивали тему персональных данных. Руководителем территориального органа было приказано отправить план на согласование в прокуратуру. 25 ноября его же приказом № 168 все проверки по персональным данным были… из плана исключены: 10 просто удалены, в оставшихся трех тема была изменена на выполнение лицензионных условий в области связи и использование радиочастотного спектра. Итого в плане осталось 7 проверок, и все не про персональные данные. В обоснование этих действий в приказе указаны любимый 242-ФЗ, а также 294-ФЗ, положение о территориальном управлении и письмо Генеральной прокуратуры от 29.10.2015 № 76/2-547-2015. Тоже тема для анализа.

В УрФО две проверки муниципалов. По теме «проверка соблюдения обязательных требований в сфере обработки персональных данных» территориальное управление будет проверять Администрацию городского округа Верхняя Пышма вместе с территориальными управлениями Федеральной службы государственной регистрации, кадастра и картографии и Федеральной службы по ветеринарному и фитосанитарному надзору, а Администрацию Артемовского городского округа – вместе с Минстроем, Минприродресурсов области, автодорожным надзором, тем же ветеринарным и фитонадзором, а также Роспотребнадзором. Без комментариев. Среди не-госов в план первоначально были включены потребительский кооператив «Народный капитал», негосударственные образовательные учреждения, «ЕВРАЗ Качканарский ГОК», ФГУП «Электрохимприбор», больница, местные филиалы «Райффайзенбанка» и «Активкапитал Банка». А 2 декабря приказом руководителя 10 субъектов проверок по теме персональных данных из плана были исключены без объяснения причин.

Если Алексей Лукацкий прав в своем предположении о том, что и порядок контроля и надзора в отношении персональных данных, а также свои полномочия Роскомнадзор будет регулировать самостоятельно, нас ждут веселые времена. В полном соответствии с точкой зрения представителей ведомства: «Практика правоприменения покажет. Если надо, подкорректируем».

И в заключение, в порядке пожеланий. Уважаемые господа чиновники. Нельзя же так мучить субъектов надзора. Планы в форматах pdf (не допускающем поиск), абсолютно нечитаемом кривом tiff (оба формата требуют поворота страниц в разные стороны), иногда – Word и Excel. Нормализуйте форматы, пожалуйста. 

С новым рабочим годом. Читаем планы проверок Роскомнадзора. Часть 1

Новый рабочий год в нашем агентстве, в силу специфики деятельности, традиционно начинается с тщательного изучения плана проверок Роскомнадзора. В этот раз он начался почти невероятно. Впервые за последнее время Роскомнадзор не вывесил до начала года план проверок на своем сайте. И не только проверок в отношении персональных данных, не очень элегантно выведенных законодателями с 1 сентября 2015 года из-под регулирования Федеральным законом 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», и не требующих теперь согласования с прокуратурой (об этом я писал здесь), но и сводного плана плановых (извините за тавтологию) проверок ведомства на 2016 год.

Вместо сводного плана на первой странице официального сайта надзорного органа 31 декабря появилась короткая, но весьма интересная публикация под заголовком «О планировании контрольно-надзорной деятельности в области персональных данных на 2016 год», в которой сообщалось, что «Роскомнадзором завершено планирование контрольно-надзорной деятельности в области персональных данных. С учетом изменений, внесенных в действующее законодательство Российской Федерации, процесс планирования опирался на анализ деятельности операторов с учетом правоприменительной практики, сложившейся с 1 сентября 2015г. В общей сложности на 2016 год запланировано более 1000 плановых проверок и около 2000 мероприятий систематического наблюдения персональных данных… В ходе указанных проверок в том числе будет осуществляться контроль за исполнением операторами требований по локализации баз данных на территории Российской Федерации». Далее указывается, что «По состоянию на 31 декабря 2015 года планы территориальных органов Роскомнадзора размещены на официальных сайтах территориальных органов Роскомнадзора в соответствии с требованиями административного регламента ведомства», куда всем желающим, видимо, и надо заглянуть, чтобы узнать о перспективах увидеть представителей надзора в гостях.

Что ж, мы люди привычные к хождению не простыми путями, посмотрим сайты территориальных органов, в частности, управлений по ЦФО, СЗФО, УрФО и Вологодской области.

В ЦФО документ называется «План деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу в 2016 году». Этот план дает, пожалуй, наиболее полное представление о стратегии контрольной деятельности ведомства в новых реалиях.

Первым из гигантов, попадающих под раздачу, стала корпорация Microsoft, заодно с ней будут проверены HP и Samsung. Почему именно эти две компании, знает только автор задумки, но в отношении Microsoft, которая активно и давно сотрудничает с правительствами и спецслужбами по всему миру, в том числе и в России, раскрывая свои исходные коды и предоставляя их для сертификации по требованиям безопасности, такое решение заставляет задуматься. Корейским вендорам, похоже, спонсорство на международной конференции Роскомнадзора и громкие публичные заявления о переносе всего в Россию тоже не очень помогло.

Следующая и самая большая по численности группа – российские дочки зарубежных банков. Здесь команда подобралась более, чем достойная: Citibank, HSBC, «Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК», а заодно с ними – и «Московский кредитный банк», «Национальное бюро кредитных историй» и форекс-брокер «Альпари». В отношении дочек зарубежных банков просматривается интересная тема – будет ли Роскомнадзор считать сведения о движении средств по счету персональными данными, или согласится с тем, что эти сведения составляют иную охраняемую законом категорию – банковскую тайну. Если это персональные данные, использование АБС и ДБО материнских банков невозможно в принципе, исходя из требований 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется в России, а далее они на законном основании выгружаются во «вторичные базы данных» за рубежом, и все идет в рамках закона. Вот она, могучая сила трактовки, о которой столько уже понаписали блогеры! Постараюсь этот вопрос обсудить на круглом столе с регуляторами в Магнитогорске – тема увлекательнейшая.

Третья группа – зарубежные производители косметики, физически представленные в России и так любящие программы лояльности и рекламные рассылки потребителям. Набор почти полный: «Амвэй», «Эйвон Бьюти», «Ив Роше Восток», «Мэри Кэй», «Орифлэйм» и попавшая в достойную компанию отечественная «ФАБЕРЛИК» (к вопросу о целесообразности иноязычных названий J). Здесь, я так понимаю, центральным вопросом будет местонахождение вожделенных CRM-систем и наличие доказываемого согласия на продвижение товаров путем прямых контактов по каналам связи (тема, хорошо знакомая получателям ежедневных смс-рассылок о 50-процентных скидках сами-знаете-от-кого).

Следующая группа – продавцы автомобилей и ритейл. В первой подгруппе – тоже цвет мировой промышленности и российских дилеров: «Крайслер», «Фольксваген», и, для полного комплекта, «Рольф». Попадают ли персональные данные счастливых обладателей новых авто за рубеж, и если да – то как? Хороший вопрос.

Ритейл: «Перекресток», «ИКС 5 Ритейл Групп», близко к ним находится с точки зрения возможных проблем с законом «Макдоналдс».

Столпы туризма: «Пегас Туристик» (главное направление до недавнего времени – Турция), «ФорСи» (российское подразделение Four Seasons TravelNotes), «Островок.Ру» (отечественная система бронирования отелей), «Сирена-Трэвел» (отечественная система бронирования авиабилетов и не только), «Азимут Хотелс Компани» (международная сеть отелей), «Гелиопарк» (российская сеть отелей). Здесь тоже все понятно. Трансграничка, неадекватные страны, Турция и Египет. Согласия субъектов, в том числе не являющихся стороной договора, но получающих услуги (члены семьи, большие компании по интересам, «корпоративный туризм»). Программы лояльности, скидки, поручения многочисленным контрагентам со всего мира (бронирование, трансферы, гиды и прочее), часть 3 статьи 6 152-ФЗ в полном объеме. Сказка для знающего проверяющего.

Дошли, наконец, руки, и до порталов по поиску работы и подбору персонала «СуперДжоб» и «Хэдхантер». Здесь проверяющих тоже ждет масса интересного, если углубятся. Одни лицензионные соглашения чего стоят. Ну, и где хостятся базы, если поискать?

Негосударственные пенсионные фонды: «Согласие», «Лукойл-Гарант». Наряду с коллекторами это область бизнеса, вызывающая постоянные претензии как субъектов, так и разного рода органов надзора – от ПФР до Роскомнадзора и Роспотребнадзора.

Из российских интернет-компаний в план попал «Суп Медиа» группы «Рамблер». Не все однозначно, будем смотреть.

Очень большие интернет-магазины «Озон» («Интернет Решения»), «Купишуз» (она же – Lamoda), «Приват Трэйд» (она же - KupiVip.ru c сайтами для Казахстана и Беларуси), «Вайлдберриз» (брендовая одежда). Регистрация пользователей, доставка товара, партнеры, контрагенты, опять же – программы лояльности, сроки хранения данных (а что здесь персональные данные?), неизбыточность хранимых данных, процедура уничтожения. Тоже темы глубокие.

ООО «Телеконтакт» - крупнейший колл-центр с подразделениями в Беларуси и на Украине. Тоже очень интересно, особенно учитывая отношение Роскомнадзора к обработчикам. Поручения на обработку и адекватность принятых мер защиты напрашиваются сами собой, но вот неподведомственность ст.19 152-ФЗ Роскомнадзору несколько смущает. Кстати, это не единственный колл-центр, который будет подвержен проверке по персональным данным. Есть они и в планах других территориальных органов.

В целом план ЦФО находится в русле заявлений руководителей надзорного ведомства о критериях выбора объектов плановых проверок и направленности контрольной деятельности. Результаты будет очень интересно посмотреть.

О СЗФО (включая Вологду) и УрФО – в завтрашнем посте, а то очень много букв получается.

С новым рабочим годом. Читаем планы проверок Роскомнадзора. Часть 2

Впечатления о конференции «Защита персональных данных». Часть 1

Вчера, 10 ноября, прошла Международная конференция «Защита персональных данных», организатором которой выступил Роскомнадзор, – одно из немногих мероприятий, напрямую затрагивающих вопросы информационной безопасности, и проводимое по инициативе органа государственной власти. Кроме него, вспоминается лишь конференция ФСТЭК «Актуальные вопросы защиты информации», организуемая в рамках форума «Технологии безопасности», и магнитогорский форум по информационной безопасности банковской сферы, но его инициатор – Банк России – все-таки не орган власти.

Меня пригласили на этой конференции модерировать секцию «Регулирование сферы информационной безопасности в условиях новых вызовов и угроз», на которой присутствовали и выступили представители всех регуляторов, кроме Минкомсвязи, а также ряда коммерческих организаций.

На первом планарном заседании, на которое я попасть смог лишь к самому концу, выступил с приветствием руководитель Роскомнадзора А.А. Жаров, но я его, к сожалению, не слышал. Судя по сегодняшним публикациям в СМИ, которых много, в выступлении прозвучали совершенно конкретные тезисы: Twitter вновь возвращен в ряд операторов персональных данных, и к нему вновь предъявляются требования о переносе баз данных российских пользователей на территорию России, в плане проверок на 2016 год могут появиться иностранные компании, не присутствующие юридически в нашей стране.

Секция, которую я модерировал, открылась выступлением начальника управления по защите прав субъектов персональных данных Роскомнадзора Ю.Е. Контемирова. Из интересного, коротко с моими комментариями:

·         за неполные 11 месяцев 2015 года проведено 805 проверок, 746 плановых и 58 – внеплановых (так было на слайде), в ходе мероприятий систематического наблюдения выявлено 1188 нарушений (похоже, этот вид контроля постепенно становится главным в деятельности надзорного органа), выдано 613 предписаний об устранении нарушений;

·         статистика нарушений: 847 нарушений требований статьи 18.1 закона «О персональных данных» (отсутствие политики в отношении обработки, в том числе на сайте, если он используется для сбора персональных данных, и иных документов, предусмотренных законом); 126 нарушений – обработка персональных данных без согласия субъекта и несоответствие формы письменного согласия, установленной ст.9 закона; 113 нарушений – обработка персональных данных после достижения установленных целей; 89 – нарушение конфиденциальности персональных данных (не пояснялось, но, я так понимаю, передача третьим лицам без согласия субъекта); всего лишь 67 – неуведомление Роскомнадзора об обработке персональных данных (похоже, что-то в тактике Роскомнадзора серьезно изменилось).

По оценке надзорного органа, сейчас в стране от 5 до 7 млн. операторов (если считать с индивидуальными предпринимателями и физлицами (адвокатами, нотариусами, журналистами-фрилансерами и т.п. – похоже на правду).

Заявлено о направленности контроля на ближайшую перспективу. В первую очередь, он будет проводиться в отношении операторов, на которых поступает наибольшее количество жалоб субъектов (коллекторам и организациям ЖКХ – не расслабляться!), и тех, кто обрабатывает персональные данные большого количества субъектов (страховые компании, банки и телекомы никогда из поля зрения надзора и не выходили, есть и еще кандидаты по этому признаку, как я понимаю).

Созданы типовые программы проведения проверок, что способствует выработке единых подходов к организации проверок и их содержанию (по пресс-релизам надзорного органа и территориальных управлений, особенно по результатам систематического наблюдения, это заметно, мы давно в своих отчетах это отмечаем).

Выход из-под регулирования 294-ФЗ при осуществлении контроля и надзора за соблюдением законодательства о персональных данных не означает изменения сложившегося порядка его проведения, менять работающие механизмы смысла нет, но появятся новые формы контроля, будут совершенствоваться имеющиеся. Постановления Правительства по этому поводу нет, Роскомнадзор при проверках руководствуется Административным регламентом (как показали первые два месяца после 1 сентября, ничего страшного и не страшного тоже не произошло, без закона и даже без постановления можно, оказывается, спокойно жить). Но вот с прокуратурой план проверок на 2016 год уже согласовываться не будет (меня это очень смущает, не понятно, почему так настойчиво Роскомнадзор дистанцируется от прокуратуры, надзирающей за соблюдением прав и свобод граждан; видимо, сказывается привлечение прокурорами к ответственности инспекторов Роскомнадзора за проведение внеплановых проверок без оснований, предусмотренных 294-ФЗ).

Об уведомлении Роскомнадзора о месте нахождения баз персональных данных. Минкомсвязи подготовило приказ о внесении изменений в форму уведомления (я так понимаю, в Административный регламент о ведении Реестра операторов персональных данных), который передан на регистрацию в Минюст. А пока оператор может в инициативном порядке уведомить об этом Роскомнадзор (территориальные управления). После опубликования приказа операторам надо будет соотнести содержание ранее поданного уведомления и представить дополнительные сведения. Такая позиция мне не кажется вытекающей из закона. Когда в 2011 году, в связи с изменением содержания уведомления, потребовалось представление новых сведений, об этом было прямо указано в законе: «Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года» - сейчас такого требования не выдвигается. Кроме того, в соответствии с частью 7 ст.22, дополнительная информация предоставляется в случае изменения сведений, указанных в части 3 этой статьи, в течение 10 дней с даты возникновения таких изменений, а в предыдущих уведомлениях этих сведений не было, значит, ничего не изменилось. Явный просчет законодателей, но так написано в законе.

Ю.Е. Контемиров еще раз обратил внимание на то, что в Реестр нарушителей операторы попадают исключительно на основании вступившего в законную силу решения суда, и никак иначе. С 1 сентября туда «залетело» более 100 сайтов, примерно 60 разблокированы поле устранения нарушений, к 40 сайтам доступ по-прежнему ограничен.

Об остальных выступлениях – в следующем посте. Анонсирую в чем-то сенсационную позицию ФСТЭК России по данной тематике. Кому интересно – ждите.

Впечатления о конференции «Защита персональных данных». Часть 2

Комментарии к изменениям, вступившим в силу сегодня

Журнал «ПЛАС» опубликовал мой комментарий. Ниже – полный его текст.

С сегодняшнего дня, 1 сентября, вступили в силу изменения законодательства о персональных данных, которые коротко сводятся к трем основным нововведениям:

·         базы персональных данных, в которых происходит первичная регистрация и актуализация персональных данных российских граждан, должны находится на территории России, но слова «только» в законе нет;

·         контроль и надзор будет осуществляться не в соответствии с федеральным законом 294-ФЗ о защите прав юридических лиц и индивидуальных предпринимателей, а на основании отдельного постановления правительства;

·         появится реестр нарушителей законодательства о персональных данных и механизм блокирования доступа к любому сайту в сети интернет вне зависимости от того, в чьей юрисдикции и на чьей территории он находится, если российский суд любой инстанции, включая мировой и районный, посчитает, что работа с персональными данными, например, их сбор или размещение, не соответствует российскому законодательству.

Несмотря на то, что поправки к законам активно обсуждались в течение последнего времени на всех уровнях, а озабоченность бизнеса их последствиями была донесена и до Президента России, ясности того, что следует делать, и как новые нормы будут применяться, к моменту вступления их в силу так и не появилось.

Единственное исключение – ведение реестра нарушителей законодательства о персональных данных. Механизм включения сайтов в реестр достаточно подробно прописан в законе, по этому поводу принято специальное постановление правительства и два приказа Роскомнадзора. Насколько механизм окажется действенным, можно будет судить только после появления первых решений судов о блокировке. Отмечу лишь один казус, создаваемый новшеством. Роскомнадзор получил право снимать блокировку по своему усмотрению, при наличии действующего судебного решения об ограничении доступа к ресурсу.

В отношении системы контроля и надзора пока полная неопределенность. Закон 294-ФЗ проверки обработки персональных данных теперь не регулирует, постановление правительства по этому поводу подготовить к установленному сроку не успели (проект при обсуждении вызвал массовую и обоснованную критику), действующим остается только административный регламент Роскомнадзора, из которого совсем недавно были исключены наиболее важные основания для внеплановых проверок - жалобы субъектов, обращения органов власти и СМИ.

И самая большая проблема, конечно, с организацией переноса обработки персональных данных на территорию России. Необходимо отметить, что в законе, устанавливающем требование об обязанности оператора при сборе персональных данных, в том числе посредством сети Интернет, обеспечить их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, слова «только» нет.

Не вносятся изменения и в порядок трансграничной передачи данных. Многочисленные и противоречивые комментарии законодателей, регуляторов (Минкомсвязи) и органов надзора (Роскомнадзор) говорят о том, что нет ясности и у них. О степени растерянности говорит и комментарий Минкомсвязи, в котором обосновывается допустимость прямого использования зарубежных систем бронирования авиабилетов без их локализации, со ссылками на конвенции 1929, 1944 и 1961 годов, в которых нет ни слова о бронировании, интернете и персональных данных. Допустимость бронирования билета Москва–Новосибирск на зарубежном ресурсе выглядит более чем странно, но вполне объяснима – иначе придется останавливать все перелеты, глобальной российской системы бронирования попросту нет.

У меня четкое впечатление от общения с нашими заказчиками – все затаились и ждут первых последствий правоприменения. В зависимости от того, как будет развиваться ситуация, будут приниматься решения, в том числе и о локализации обработки персональных данных или закрытии бизнеса в России. Отмечу лишь, что несмотря на все громкие заявления, проверить находящиеся вне российской юрисдикции Facebook и Twitter невозможно. А вот заблокировать доступ к ним на территории России можно. Но это будет уже совсем другая история.

Для каких операторов персональных данных 1 сентября станет днем перемен

Есть не совсем корректное мнение, что изменения законодательства о персональных данных, вступающие в силу с 1 сентября, касаются только иностранных и международных компаний, работающих в России или предоставляющих сервисы россиянам. Это не то, чтобы не совсем так. Это совсем не так.   

На предстоящем 25 августа вебинаре, проводимом Учебным центром «Информзащита», мы подробно разберемся с этим вопросом, а пока некие предварительные оценки.

Всех операторов, на деятельности которых скажутся законодательные нововведения, можно разделить на несколько групп в зависимости от того, какие именно последствия для них имеют вступающие в силу нормы и какие действия им надо предпринять для обеспечения соответствия законодательству.

Первая группа включает абсолютно всех российских операторов персональных данных, как подавших уведомление и включенных в Реестр Роскомнадзора, так и не посчитавших для себя обязательным или целесообразным это сделать. Всех, потому что с 1 сентября 2015 года контроль за обработкой персональных данных выводится из-под регулирования Федеральным законом № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и будет регламентироваться не законом, а специальным постановлением Правительства, принятие которого ожидается в ближайшее время, а также «Административным регламентом исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации», в который также, будут внесены изменения, но, видимо, несколько позже.

Ситуация с проверками меняется довольно серьезно. Об этом мы подробно поговорим на вебинаре, рассмотрев попутно и порядок ограничения доступа к сайтам нарушителей обработки персональных данных в интернете. И поговорить будет о чем. Отсутствие необходимости согласования большинства проверок с прокуратурой, систематическое наблюдение, привлечение экспертов и, самое важное, возможность выдвижения требования надзорным органом о прекращении обработки персональных данных до приведения ее в соответствие с законом ситуацию меняют кардинально. Ау, банки, страховые компании, операторы связи, медицинские и образовательные учреждения – как вы себе представляете прекращение для своих организаций обработки персональных данных и его последствия

Следующая группа операторов включает тех, кого коснутся изменения, требующие размещения баз персональных данных в период их сбора, а также с целью актуализации, на территории Российской Федерации. Их можно разделить на пять подгрупп:

1)   органы власти всех уровней, государственные и муниципальные учреждения и предприятия;

2)   российские компании, которые сегодня хостят свои системы в зарубежных дата-центрах или облачных инфраструктурах (таких, как Amazon EC2, Google Apps, Microsoft Azure и т.п.), по экономическим или иным соображениям, в том числе – из-за качества предоставляемых сервисов;

3)   российские компании, использующие приложения и базы данных зарубежных провайдеров по схеме SaaS, например, такие, как SalesForce, Microsoft Dynamics CRM, Oracle Database Cloud Service;

4)   зарубежные, международные, транснациональные компании, имеющие дочерние компании или представительства в России, использующие, как правило, централизованные информационные системы, такие, как ERP, CRM, кадрового и бухгалтерского учета и т.п., дислоцирующиеся где-то за рубежом;

5)   зарубежные компании, не присутствующие в России, но чьими услугами пользуются россияне – социальные сети (Facebook, Twitter и т.п.), крупнейшие интернет-магазины и аукционы (Alibaba, Amazon, eBay и др.), системы бронирования всего, чего угодно (Sabre, Amadeus, Galileo, Booking.com, Hotels.сом и др). Хотя они находятся вне российской юрисдикции, механизм блокирования доступа к ресурсам в сети интернет ставит их перед выбором – подчиниться закону и перенести часть ресурсов в Россию, или принять риск возможного прекращения бизнеса в нашей стране.

Возможные варианты поведения всех этих операторов мы рассмотрим в разделе вебинара, который называется «Организация обработки персональных данных после 1 сентября российскими, международными и иностранными компаниями, ведущими деятельность на территории России».

Теперь ответы на наиболее часто задаваемые вопросы в связи с проведением вебинара. Вебинар платный. Его продолжительность – 4 часа, программа - здесь. Проводить его буду я. Полчаса в конце отведу на вопросы-ответы. Количество мест ограничено (Учебный центр бронирует общее количество подключений к сервису вебинара). Зарегистрироваться можно здесь и лучше заранее. Когда и где будет проходить еще раз, и будет ли он – пока не знаю, работы много.

До встречи!