Заключительный семинар по результатам контроля и надзора за обработкой персональных данных и судебным спорам

30 мая в БизнесШколеКонсультант мой заключительный очный семинар в зимне-весенний семестр. Прощаемся со слушателями до середины октября.

Тема как никогда актуальная - «Правоприменение законодательства о персональных данных в судебных спорах и надзорной деятельности». О содержании семинара и рассматриваемых на нем вопросах можно почитать здесь. Материал семинара дополнен новыми результатами проверок и судебными делами.

В качестве бонуса поделюсь со слушателями итогами трех судебных споров, в которых мы поучаствовали вместе с клиентами и убедили суд в своей правоте, а также разъяснениями, полученными в ответ на наши запросы из Роскомнадзора, Минкомсвязи и Роструда, раскрывающими позиции указанных ведомств по вопросу получения согласия субъекта на обработку персональных данных в письменной форме и последствиях отказа такое согласие предоставить.

Семинар проводит образовательное учреждение, специализирующееся на работе с кредитно-финансовыми организациями, но материал семинара, в котором можно участвовать он-лайн, полезен всем операторам персональных данных, независимо от рода их деятельности, особенно тем, кто готовится к проверкам в этом году.  

Предупрежден – значит, вооружен. Готовимся к проверкам обработки персональных данных

30 марта в Учебном центре «Информзащита» - премьера моего нового авторского семинара «Правоприменение законодательства о персональных данных в судебных спорах и надзорной деятельности». Семинар уникальный, материалом для него послужили результаты проверок, проведенных Роскомнадзором в 2016 году – акты, предписания, справки, материалы судебных дел, связанных с привлечением операторов к административной ответственности и исками о блокировке сайтов, обрабатывающих персональные данные с нарушением российского законодательства, в том числе – находящихся за рубежом и принадлежащих компаниям, не ведущим деятельность на территории России.  

А начнем мы его с анализа того, как организована надзорная деятельность за обработкой персональных данных после 1 сентября 2015 года, когда ее проведение было выведено из-под регулирования Федеральным законом от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля». Разберемся, что написано в Административном регламенте Роскомнадзора, определяющем порядок проведения проверок. Посмотрим статистические данные проведенных надзорным ведомством мероприятий, узнаем, что такое мероприятия систематического наблюдения, как они проводятся и к каким последствиям ведут, какие еще формы и методы контроля стали использоваться надзорными органами.

Слушатели семинара узнают об особенностях планирования и организации проверок, чем план проверок территориального управления Роскомнадзора отличается от плана деятельности и где можно найти сведения о том, будут ли в этом году проверять конкретную организацию. В заключение этого раздела семинара заглянем в проект постановления Правительства, которым предполагается регулировать контрольную и надзорную деятельность Роскомнадзора, и оценим, что нас всех может ждать в ближайшем будущем.

Значительная часть семинара будет уделена разбору нарушений, вскрытых управлением Роскомнадзора по ЦФО при проверках в 2016 году. Думаю, многие слушатели узнают для себя много нового – например, сколько согласий в письменной форме надо получать от работника организации, когда Роскомнадзор соглашается с тем, что документы передаются внешней организации на архивное хранение, а когда считает это распространением персональных данных без согласия субъекта, нарушающим его права и законные интересы. Детально разберем, когда и как надо получать доказываемое согласие родственников работников на обработку работодателем их персональных данных, и может ли дать такое согласие работник как представитель, например, своей супруги.

Ответим для себя на вопрос, когда передача персональных данных является поручением иному лицу их обработки, а когда – не связана с поручением, и чем отличается порядок оформления согласия на передачу в этих случаях. Когда персональные данные могут передаваться оператором иным лицам в рамках исполнения договора с субъектом, а когда такая передача выходит за пределы договора и должна подтверждаться согласием.

Будет уделено время и «вечному» вопросу - что является персональными данными, а что - нет, что думают по этому поводу и, самое главное, пишут в материалах проверки надзорные органы.  Например, относятся ли к персональным данным сведения о пользователе: его IP-адрес, местонахождение, поисковые запросы, интернет-адреса веб-страниц, посещаемых пользователем, тематику информации, размещённой на посещаемых пользователем интернет-ресурсах оператора, и об используемом для доступа в Интернет оборудовании и программном обеспечении: разрешение и глубина цвета экрана, версия и характеристики браузера, версия Flash и т.д. Являются ли персональными данными сведения о предпочтениях субъекта по заказу такси и выбору авиакомпании, наличии у него кредитных карт и карт лояльности сетевых гостиниц. Можно ли работодателю хранить анкету соискателя и его резюме после приема на работу. И многое другое.

Практика показывает, что даже такие мелочи, казалось бы, как документальное оформление ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и информирования лиц, осуществляющих обработку персональных данных без использования средств автоматизации, может стать причиной претензий со стороны проверяющих.

Закончим мы семинар двумя темами – распространением рекламы и обращений к потребителям услуг как факторе риска, влекущем немалые штрафы в случае нарушения закона, и анализом нового содержания статьи 13.11 КоАП РФ, вступающей в силу с 1 июля 2017 года и вводящей семь составов административных правонарушений и совсем другие штрафы по сравнению с предусмотренными действующей редакцией.

Поделимся мы с вами и опытом общения с прокуратурой и судами при привлечении операторов к административной ответственности за нарушения законодательства о персональных данных и порядка уведомления госорганов в случае, когда предоставление информации является обязательным в соответствии с законом.

Шесть часов внимания и интерактивного обсуждения – и вы будете знать о проверках значительно больше, а, значит, сможете снизить риски привлечения вашего работодателя к ответственности и поводы для этого. 

16-17 марта: Опыт проектов и судебная практика по режиму коммерческой тайны

16-17 марта читаю в Учебном центре «Информзащита» курс «Реализация режима коммерческой тайны на предприятии» - самый первый учебный курс, который я создал и с которого начинал свою преподавательскую деятельность. Поэтому, наверное, и самый любимый, и очень сложный. Сам по себе вопрос установления режима коммерческой тайны, его необходимости и целесообразности уже очень непростой, и решать его надо очень осторожно, деликатно и продуманно. Я уже не раз об этом писал, например, здесь.

К сожалению, из-за высокой загруженности в консалтинговых проектах вести его удается не часто, примерно раз в полгода, поэтому он тщательно обновляется и корректируется к каждому такому случаю.

За это время курс оброс большим количеством практических примеров из наших проектов по установлению и изменению режима коммерческой тайны, каждый их которых приносит что-то новое и в наше понимание конкретных путем реализации требований законодательства применительно к различным видам деятельности и условиям функционирования компаний.

Вот и в этот раз мы, на основании полученного опыта, рассмотрим, как реализовать режим коммерческой тайны по единым правилам в крупной холдинговой структуре с большим количеством вертикальных и горизонтальных связей, в условиях постоянной реорганизации и наличия конкурентных отношений между организациями холдинга.

Как выстроить отношения обладателю коммерческих секретов с материнской компанией, инфраструктурой которой дочернее предприятие активно пользуется, но не отождествляет себя с нею и не готово всю информацию передавать «наверх».

Как защищать секреты производства в новых условиях, созданных изменением норм четвертой части Гражданского кодекса РФ, разделением понятий «информация, составляющая коммерческую тайну» и «секрет производства». Для понимания этого вопроса очень важна практика деятельности нового судебного органа - Суда по интеллектуальным правам.

Как владельцу секретов защитить себя от действий недобросовестного и нелояльного работника, намеренно не проставляющего гриф «Коммерческая тайна» на документах и надеющегося таким образом избежать ответственности за разглашение секретов работодателя.

Что и почему нельзя относить к коммерческой тайне, где эти требования установлены и к каким последствиям приводит их невыполнение.

И это не все, по ходу курса нас ждут и другие новинки, в том числе касающиеся вопросов технической защиты коммерческих секретов в информационной системе. Так, мы поговорим о технологии virtual data room, пока не очень распространенной в России, но широко используемой по всему миру для организации коллективного защищенного доступа к охраняемым ресурсам. Проанализируем последние инициативы ФСТЭК России, касающиеся корректировки процесса лицензирования деятельности по технической защите конфиденциальной информации в целом и мониторинга защищенности в частности, которые так важны для надежной защиты коммерческой тайны.

Предлагаемые в курсе выводы и рекомендации будут подкреплены примерами из судебной практики, российской и Европейского суда по правам человека, в который все чаще обращаются россияне, а также из материалов правоохранительных органов. Из наиболее интересных новинок – решения судов 2015-2017 годов, касающиеся необходимости нанесения грифа на электронные документы и влияния этого фактора на возможность привлечения работника к ответственности за разглашение охраняемых сведений; регулирование отношений с работником, ушедшим к конкурентам с секретами «в голове», которые вычленить или стереть нельзя; анализ действий полицейского-коррупционера, активно добывавшего коммерческие секреты конкурентов для подельника и препятствовавшего деятельности пострадавшим от его действий коммерческим организациям, и многое другое.

Детально разберем мы дело румынского инженера Барбулеску и его значение, в том числе, и для российской практики использования DLP-систем и других средств слежения за использованием работниками компьютерного и коммуникационного оборудования.

В общем, как я люблю говорить перед курсами и семинарами: «Скучно не будет. Обещаю».

14 октября: Как общаться с должником и не нарушить закон

А знаете ли вы, что:

·         Общая задолженность россиян банкам на конец 2015 года - 11 трлн рублей.

·         Количество должников – 40 млн человек.

·         В состоянии обслуживать свои долги — только 8 млн человек.

·         Просроченная задолженность по кредитам – 1,3 трлн рублей.

·         Не выполняют свои долговые обязательства – более 5 млн человек.

·         25% закредитованных заемщиков обслуживают сразу два займа, 18% — три и более.

·         Заёмщики, которые не платят банкам более 90 дней, просрочили 780 млрд из 1,3 трлн рублей.

·         В срок не обслуживается каждый пятый кредит, а каждый десятый - безнадёжен.

Статистика пугающая и выглядит еще более мрачной на фоне «расстрельных троек» банков, лишенных лицензий, которые появляются практически каждую неделю.

С долгами надо что-то делать. Но не бросать коктейли Молотова в детские кроватки и не писать о кредиторах на стенах подъездов.

Наконец-то принят Федеральный закон от 03.07.2016 № 230-ФЗ, регламентирующий коллекторскую деятельность, о котором я уже писал.

Закон – не самый простой для понимания и восприятия. Поэтому мы вместе с Учебным центром «Информзащита» 14 октября и поможем разобраться в его хитросплетениях, причем совершенно безвозмездно, то есть бесплатно J. Но при условии обязательной предварительной регистрации на сайте Учебного центра.

О чем будем рассказывать? Вот о чем:

·         Общая ситуация с просроченной дебиторской задолженностью в России.

·         Взаимодействие кредитора и взыскателя долгов с должником.

·         Передача третьим лицам сведений о должнике и согласие должника.

·         Обязанности лиц, взыскивающих долги.

·         Отказ должника от взаимодействия с кредитором и взыскателем.

·         Обращение кредитора и взыскателя к третьим лицам для взыскания задолженности и условия такого обращения.

·         Требования к коллекторам и их обязанности.

·         Ответственность за несоблюдение требований закона при взыскании задолженности.

Кому это может быть интересно? Безусловно, банкам и коллекторским агентствам (теперь они называются лицами, осуществляющими деятельность по возврату просроченной задолженности в качестве основного вида деятельности и должны быть включены в специальный реестр). Но не только им. Поскольку закон принят в целях защиты прав и законных интересов физических лиц и устанавливает правовые основы деятельности по возврату просроченной задолженности физических лиц, возникшей из денежных обязательств, то им должны руководствоваться операторы связи, предприятия ЖКХ и иные организации, взыскивающие дебиторскую задолженность с населения.

Так что милости просим на регистрацию и вебинар. Он уже совсем скоро.

Обсудим особенности обработки персональных данных в негосударственных пенсионных фондах

16 марта пройдет семинар по персональным данным, на этот раз – для негосударственных пенсионных фондов, пенсионных администраторов, страховых и управляющих компаний, который мы проводим совместно с Национальной ассоциацией негосударственных пенсионных фондов (НАПФ), а точнее – ее Учебно-методическим информационным центром.

Опыт наших проектов в этих организациях показывает, что их деятельности присуща специфика, существенно отличающая их от других операторов персональных данных, что требует отдельного анализа и обоснования правовых оснований обработки персональных данных, их допустимого состава.

В первую очередь, это связано с категориями субъектов, чьи данные обрабатываются в фондах. Помимо обязательных для всех операторов работников, их родственников, соискателей вакантных должностей, посетителей, представителей контрагентов и субъектов персональных данных, значительное количество сведений относится к вкладчикам, участникам фонда и клиентам по негосударственному пенсионному обеспечению, страхователям и застрахованным лицам, правопреемникам участников фонда и застрахованных лиц, выгодоприобретателям, а также агентам фонда, действующим на основании договора и обязавшихся совершать по поручению фонда действия как от своего имени, но за счет фонда, так от имени и за счет фонда. Для каждой такой категории необходимо определить наличие предусмотренных законом оснований для обработки данных, необходимость получения согласия и его форму, состав сведений, необходимых и достаточных для достижения предопределенных целей обработки, но не выходящих за установленные ими пределы.

Да и перечень законов и иных нормативных правовых актов, содержащих основания обработки персональных данных, помимо традиционного закона «О персональных данных» и Трудового и Гражданского кодексов РФ дополняется большим количеством документов, устанавливающих те или иные нормы, к примеру:

·         ФЗ от 07.05.1998 № 75-ФЗ «О негосударственных пенсионных фондах»;

·         ФЗ от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

·         ФЗ «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений»;

·         ФЗ от 24.07.2002 № 111-ФЗ «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации»;

·         Постановление Правительства РФ от 03.11.2007 № 742 «Об утверждении Правил выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, правопреемникам умершего застрахованного лица средств пенсионных накоплений, учтенных на пенсионном счете накопительной части трудовой пенсии»;

·         Постановление Правительства РФ от 21.12.2009 № 1048 «Об утверждении Правил единовременной выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, средств пенсионных накоплений лицам, которые не приобрели право на установление трудовой пенсии по старости»

·         Постановление Правления ПФР от 31.07.2006 № 192п «О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и Инструкции по их заполнению».

И в каждом из документов содержатся обязательные требования, которые необходимо учесть при организации работы негосударственного пенсионного фонда, разработки локальных нормативных актов, договоров с контрагентами и субъектами персональных данных.

Часть этих норм требует для их реализации дополнительных усилий, а часть, напротив, существенно облегчает деятельность оператора, освобождая его от весьма трудоемких, а иногда и затратных действий по реализации норм закона «О персональных данных». Крайне важными здесь представляются положения статьи 15 закона «О негосударственных пенсионных фондах», к которым в свое время приложил руку и я, в соответствии с которыми фонд не обязан получать согласие вкладчиков-физических лиц, страхователей-физических лиц, участников, застрахованных лиц, выгодоприобретателей на обработку персональных данных, касающихся состояния здоровья указанных лиц и предоставленных ими или с их согласия третьими лицами в объеме, необходимом для исполнения договора, а также право фонда поручить обработку персональных данных указанных выше лиц организациям при определенных условиях.

В ходе семинара будет рассмотрена позиция регулятора и надзорного органа в отношении негосударственных пенсионных фондов – Банка России, связанная с организацией обработки персональных данных и обеспечением информационной безопасности, новые тенденции ее правового регулирования, озвученные на магнитогорском форуме по банковской безопасности. 

В заключении семинара будет подробно проанализирована система контроля и надзора за соблюдением законодательства о персональных данных, ее изменения, произошедшие после 1 сентября 2015 года, примеры из практики надзорной деятельности, типичные нарушения, выявляемые при проведении надзорных мероприятий и мероприятий систематического наблюдения, а также практика разрешения судебных споров, связанных с персональными данными.

Учитывая, что во многих негосударственных пенсионных фондах подразделений по информационной безопасности традиционно нет, а занимаются описанными выше проблемами самые разные специалисты, мы вместе с НАПФ надеемся, что семинар поможет им разобраться в непростых вопросах и обеспечить соответствие обработки персональных данных всех категорий субъектов закону. 

Блоги по информационной безопасности – как они пишутся вживую

На международной выставке-конференции по информационной безопасности «Инфобез-Экспо», открывающейся в Экспоцентре на Красной Пресне 3 октября, будет много интересного – семинары, дискуссии, обсуждения, круглые столы, мастер-классы, презентации новых решений и продуктов.

В качестве эксперимента договорились с коллегами провести 4 октября блогер-панель. Что это такое? Пригласили тех, кто работает на ниве информационной безопасности, ведет свой блог и кого действительно читают. Выбрали тему, исходя из того, о чем пишут много и что много комментируют. Вы догадались – это, естественно, тема персональных данных, ну, а мероприятие будет называться «Персональные данные – год после новой редакции закона».

Получилось пять участников, имена которых читающим блоги коллег хорошо известны – Алексей Лукацкий, Алексей Волков, Евгений Царев, Александр Бондаренко, и ваш покорный слуга, эту кашу заваривший, а потому и взявший на себя обязанность секцию модерировать.

Хотелось отойти от традиционных форматов с обязательными презентациями по 20-30 минут и последующими скоротечными обсуждениями услышанного-увиденного с парой вопросов из зала. Поэтому все будет как в живом журнале. Сначала каждый из авторов воспроизведет короткий пост на выбранную им тему, связанную с персональными данными (5-7 минут, не больше), а затем  все желающие (в разумных пределах регламента) получат возможность эту тему прокомментировать, поспорить с автором и с оппонентами. В общем, все как в интернете, только вживую.

Поскольку главным объектом внимания приглашенных блогеров является обеспечение информационной безопасности при обработке данных о гражданах в условиях изменившегося закона, сценарий панели будет выглядеть примерно так.

1.     Евгений Царев порассуждает о персональных данных в цифровом мире и возможности выражения согласия на обработку данных проставлением «галочки» в соответствующей веб-форме, а также попытках аналогичным способом это согласие отозвать, например, отписаться от рассылки.

2.     Алексей Лукацкий будет отвечать на бесконечно обсуждаемый вопрос, надо ли применять сертифицированные средства защиты в информационных системах персональных данных или без этого вполне можно обойтись. Вопрос представляется особенно актуальным в свете письма Банка России по этому вопросу и публикации проектов постановлений Правительства по уровням защищенности, в тексте которых появились неожиданные нюансы, свидетельствующие о некоторых подвижках в позиции регуляторов.

3.       Александр Бондаренко выскажет свою точку зрения на то, как и для чего требуется оценивать угрозы безопасности персональным данным. И вообще, что надо делать – моделировать или исполнять?

4.     Темой Михаила Емельянникова (т.е. моего поста J) будет выполнение оператором своих обязанностей при поручении обработки персональных данных иному лицу, загадочному ЛООПДППО. Есть некоторые соображения относительно того, как реализовать требования закона о моделировании оператором угроз безопасности, определении потенциальных каналов утечки сведений и выборе средств защиты в условиях, когда у ЛООПДППО таких операторов много – десятки и сотни, которые в глаза не видели информационную систему этого самого «лица, организующего…», и вряд ли ее увидят. Ну, у всяких там ЦОДов, аутсорсеров кадрового и бухгалтерского учета и прочих лиц.

5.     А завершит обсуждение подкаст Алексея Волкова «Разъясняй и властвуй: могут ли федеральные органы исполнительной власти разъяснять законодательство и как следует к ним [этим разъяснениям] относиться». Этот же вопрос будет касаться и всего того, что скажут выступающие до Алексея коллеги, но оставим интригу, послушаем автора поста. А потом тоже обсудим.

Вот такое предполагается живенькое мероприятие. Приходите. Читайте посты, готовьте аргументы, участвуйте в обсуждении. Место встречи – Экспоцентр, конференц-зал «ФОРУМ», 7 павильон, 5 зал, время – с 14.30 до 16.00 4 октября.

Вебинар: Типовые ошибки операторов при построении системы защиты персональных данных

Во вторник, 24 июля компания «Код Безопасности» проводит бесплатный вебинар «Типовые ошибки операторов при построении системы защиты персональных данных. Способы решения проблем соответствия требованиям 152-ФЗ». Ну, а рассказывать про типичные ошибки и способы достижения соответствия требованиям регуляторов буду я.

В основе семинара – обзоры типичных нарушений, выявляемых в ходе контрольной и надзорной деятельности, в первую очередь – ФСБ России и ФСТЭК России, поскольку речь пойдет, в основном, о проблемах технической защиты. Бытует расхожее мнение о том, что до наделения этих органов соответствующими полномочиями на предприятиях и в организациях, не являющихся государственными, проверок с их стороны ждать не стоит. Да и планы проверок этих уважаемых федеральных служб составлены так, что разобраться в них сложно – в плане ФСТЭК на 2012 год среди поставленных целей проверки выполнения требований по защите персональных данных нет, а в плане ФСБ проверяемые вопросы вообще не указаны, и узнать из него, какие проверки будут проводиться именно по тематике персональных данных, нельзя.

Но есть еще сайт Генеральной прокуратуры, на котором размещен «Сводный план проверок субъектов предпринимательства на 2012 год». И пусть вас не смущает название – в плане есть сведения не только о проверках коммерческих организаций, но и органов власти. Построен он, правда, в виде поисковой системы, а среди параметров поиска целей проверки или проверяемых вопросов нет. Но если надо узнать, включена ли в план конкретная организация, и кто ее будет проверять, сделать это довольно легко. Можно попробовать и навскидку. Так, при вводе всего двух параметров – субъекта федерации и надзорного органа, можно выяснить, что из пяти проверок ФСБ, например, в Республике Адыгея три посвящены контролю за выполнением хорошо знакомого всем читателям Постановления Правительства № 781, т.е. как раз защите персональных данных с использованием криптографических средств.

Деятельность ФСБ и ФСТЭК в области персональных данных не так публична, как Роскомнадзора. Но кое-что узнать о ней все-таки можно. Я уже писал, что в этом году в «Отчет о деятельности Уполномоченного органа по защите прав субъектов персданных за 2011 год» включены сведения о проверках этих федеральных служб. Есть еще публичные выступления на различного рода конференциях и редкие статьи в специализированных изданиях.

На базе всего этого материала и будут проанализированы типичные недостатки при построении подсистемы безопасности информационных систем персональных данных, вызывающие претензии регуляторов, а к ним добавим еще и те ошибки, которые иногда выявляются в ходе проектной деятельности и связаны с подходом самого оператора персональных данных к их обработке. Т.е. говорить мы будем про грабли в траве, наступать на которые смысла никакого нет.

Предвижу ехидные записи, появляющиеся на подобных проводимых мною вебинарах в чате: «Рекламная пауза!». Да, «латание дыр» и эффективные решения будут проиллюстрированы примерами с продуктами компании «Код Безопасности». Если кто-то ждет чего-то другого от бесплатного вебинара, организуемого и проводимого вендором, стоит задуматься над адекватностью восприятия мира J и воздержаться от участия в этом мероприятии

Регистрируйтесь. На прошлом вебинаре было более 200 слушателей. Мест, как показывает опыт, может не хватить тем, кто решит поучаствовать слишком поздно.