Кто может обрабатывать персональные данные пользователей социальных сетей

Роскомнадзор определил свою позицию по использованию общедоступных персональных данных пользователей социальных сетей, фактически запретив это другим компаниям, не дожидаясь судебного решения по этой проблеме. 

Эта история началась 31 января 2017 года, когда ООО «В КОНТАКТЕ» подало в Арбитражный суд города Москвы исковое заявление к ООО «ДАБЛ» (российское подразделение, использующее технологию скорринга Double Data) и АО «Национальное бюро кредитных историй» (НБКИ). Само заявление, к сожалению, не опубликовано, но из информации в открытых источниках можно сделать вывод, что социальная сеть оспаривала право использовать размещенную в ней информацию для оценки кредитоспособности пользователей сети с целью последующей продажи полученных результатов банкам и бюро кредитных историй. «ВКонтакте» обосновывало исковые требования нарушением его исключительных смежных прав на базу данных. Обоснование, на мой взгляд, более чем странное, поскольку ответчики пользовались не базой данных, а общедоступными публикациями в сети, на основании которых формировали свою базу данных, возможно, очень отличающуюся от базы, используемой социальной сетью. 

ООО «ДАБЛ» иск не признало, а вот НБКИ и социальная сеть заключили мировое соглашение (пока не опубликовано), заявив ходатайство о его утверждении судом. Суд дал время второму ответчику ознакомиться с ним, перенеся судебное заседание по рассмотрению иска на 15 августа. 

Цель иска, как мне кажется, вполне очевидна – сеть хочет монополизировать профилирование пользователей с целью извлечения прибыли (что и понятно, на создание, поддержку и развитие ее инфраструктуры затрачены и продолжают тратиться большие деньги), а многие другие, обладающие соответствующим инструментарием, также хотели бы заработать на этих больших данных, находящихся в открытом доступе. И судебный прецедент будет иметь большое значение для всего российского сегмента Интернета. 

И вот сегодня в «Известиях» появилась неожиданная публикация под заголовком «Роскомнадзор запретил сбор данных пользователей «ВКонтакте»». Авторы, ссылаясь на имеющееся в распоряжении редакции разъяснения Роскомнадзора, утверждают, что никто не вправе без согласия пользователя сети использовать выложенные им в открытый доступ персональные данные. Далее вынужден просто процитировать газету «В надзорном ведомстве рассказали, что по Федеральному закону «О персональных данных» допускается обработка персональных данных (ПД), доступ к которым предоставил сам их владелец. Но по ст. 6 того же закона обработка таких данных возможна только с согласия субъекта ПД. В соответствии с пунктом 5.12 пользовательского соглашения сети «ВКонтакте» пользователь дает согласие только на доступ к информации, которую он размещает на персональной странице, в том числе к своим персональным данным, пояснили в пресс-службе Роскомнадзора. Согласия на сбор, обработку и передачу третьим лицам пользователь не дает. В Роскомнадзоре пояснили, что при отсутствии волеизъявления гражданина его персональные данные не могут храниться, обрабатываться и передаваться». Конец цитаты. Сначала я просто не поверил своим глазам. Нет, все правильно, именно так и написано. 

Открываем закон. Упомянутая пресс-службой Роскомнадзора статья 6 закона «О персональных данных» содержит 11 оснований обработки персональных данных, первым из которых является наличие согласия субъекта. Остальные 10 случаев согласия не требуют. В контексте обсуждаемой проблемы нас интересует пункт 10 части 1 статьи 6 закона, где однозначно и недвусмысленно указано, что без согласия субъекта допускается обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. То есть, если уж пользователь социальной сети разместил в общем доступе сведения о себе, ему придется смириться с тем, что все желающие будут ими пользоваться. Я, например, дал свои контакты в Фейсбуке и блоге и осознаю последствия этого – возможный спам и не запрошенные звонки по телефону. 

Хотелось бы также обратить внимание, что рассматриваемая статья закона не содержит ограничений по отдельным способам обработки персональных данных, и в это понятие входят и сбор, и хранение, и передача данных третьим лицам, и даже распространение, то есть раскрытие данных неопределенному кругу лиц, что пользователь соцсети уже и так сделал собственными руками. 

Публикацию в «Известиях» я назвал неожиданной по трем причинам. 

1. Надзорный орган заявляет свою позицию по вопросу, являющемуся предметом продолжающегося судебного спора, когда еще нет решения суда первой инстанции, не говоря уже о вступлении решения суда в законную силу, что может повлиять на позицию суда, внимательно относящегося к мнению уполномоченных органов исполнительной власти. 

2. Роскомнадзор много раз публично и письменно заявлял об отсутствии у него полномочий по трактовке закона, и он проверяет выполнение его требований на основании буквального понимая норм. Недаром ведомство довело до девственной чистоты страничку «Вопросы и ответы» на своем официальном портале «Персональные данные», удалив все ранее дававшиеся разъяснения. В публикации же идет речь именно о толковании, имеющем юридические последствия для участников правоотношений. Учитывая грядущее предоставление Роскомнадзору права требовать во внесудебном порядке прекращения обработки и уничтожения персональных данных, обработка которых, по мнению надзорного органа, незаконна, о чем я уже писал, ситуация становится весьма сложной. 

3. Надзорное ведомство ссылается в своем разъяснении на пользовательское соглашение социальной сети, не устанавливающее правоотношений между какими-то лицами, кроме соцсети и ее пользователями, и не имеющее значения для ООО «ДАБЛ» и НБКИ. 

Позиция Роскомнадзора фактически сводится к тому, что пользователь может разместить любые данные на общедоступных интернет-ресурсах, одновременно определив перечень допустимых действий с ними, а владелец этого ресурса автоматически получает право следить за соблюдением этого перечня в отношении любого своего пользователя, что фактически полностью перечеркивает нормы части 1 статьи 6 закона «О персональных данных» в части случаев обработки персональных данных без согласия субъекта. 

Кстати, вопросом выполнения норм статьи 8 закона о наличии письменного согласия субъекта на размещение его персональных данных в общедоступных источниках, которыми являются соцсети, почему-то никто не озадачился за 10 лет действия закона. А вопрос очень непростой. Может быть, поэтому и в тени до сих пор.

Заключительный семинар по результатам контроля и надзора за обработкой персональных данных и судебным спорам

30 мая в БизнесШколеКонсультант мой заключительный очный семинар в зимне-весенний семестр. Прощаемся со слушателями до середины октября.

Тема как никогда актуальная - «Правоприменение законодательства о персональных данных в судебных спорах и надзорной деятельности». О содержании семинара и рассматриваемых на нем вопросах можно почитать здесь. Материал семинара дополнен новыми результатами проверок и судебными делами.

В качестве бонуса поделюсь со слушателями итогами трех судебных споров, в которых мы поучаствовали вместе с клиентами и убедили суд в своей правоте, а также разъяснениями, полученными в ответ на наши запросы из Роскомнадзора, Минкомсвязи и Роструда, раскрывающими позиции указанных ведомств по вопросу получения согласия субъекта на обработку персональных данных в письменной форме и последствиях отказа такое согласие предоставить.

Семинар проводит образовательное учреждение, специализирующееся на работе с кредитно-финансовыми организациями, но материал семинара, в котором можно участвовать он-лайн, полезен всем операторам персональных данных, независимо от рода их деятельности, особенно тем, кто готовится к проверкам в этом году.  

Неправильная регистрация пользователей может обернуться блокировкой сайта

Газета «Ведомости» опубликовала статью о проблемах сайтов в интернете с формами обратной связи, рисках и последствиях их размещения. В статье есть, в том числе, и мои комментарии, соображения, что надо делать, чтобы риски минимизировать.  Упомянутое в статье решение суда опубликовано здесь. 

Неправильная регистрация пользователей может обернуться блокировкой сайта

Пока компании только штрафуют за нарушения

Павел Кантышев

В октябре 2016 г. Тамбовская городская юридическая компания (ТГЮК) не смогла оспорить в областном суде решение мирового судьи: тот счел, что компания нарушает закон, собирая с заполнивших форму на ее сайте персональные данные, а предусмотренной законом защиты не предлагает. ТГЮК не публикует свою политику по обработке персональных данных и не сообщает, как защищает их. Компании предстоит заплатить административный штраф 1000 руб., следует из опубликованного на сайте sudact.ru постановления тамбовского суда.

Законодательство о защите персональных данных весьма широко трактует это понятие, отмечают юристы. ТГЮК апеллировала, что форма обратной связи на ее сайте предназначена лишь для приема сообщений и не собирает персональных данных, говорится в постановлении мирового судьи на сайте sudact.ru. Она состояла из трех элементов: имени, сообщения и его темы – с помощью этой формы невозможно определить физическое лицо, к тому же клиент не обязательно укажет настоящее имя.

Изначально форма обратной связи ТГЮК содержала контакты обратившегося: телефон и электронную почту, рассказывает ее представитель, компания убрала эти поля, чтобы соответствовать требованиям регулятора. Из-за этого, случается, компания теряет клиентов: не все догадываются написать свои контакты, сетует представитель ТГЮК. Компания думала над тем, чтобы разработать и опубликовать политику работы с персональными данными, но в итоге решила сократить форму, рассказывает он, добавляя: штраф компания заплатит.

В форме по умолчанию запрашивается подлинное имя, уверен представитель Роскомнадзора Вадим Ампелонский, а сочетание имени и электронной почты уже является персональными данными.

Клиент мог ввести в форму обратной связи вымышленное имя, но смысл решения тамбовского суда в том, что кто-то мог ввести и истинные – и в таком случае клиент имеет право знать, как будут обрабатываться его данные, рассуждает партнер юридической фирмы Baker & McKenzie Эдуард Бекещенко.

В России нет прецедентной системы, но другие судьи будут ориентироваться на решение, что чревато рисками для других компаний с аналогичным состоянием защиты персональных данных, уверен основатель юридической компании «Катков и партнеры» Павел Катков. В последнее время Роскомнадзор действует по единым сценариям проверок, по его представлению прокуратура возбуждает административные дела, а суды в большинстве случаев соглашаются с их доводами, говорит управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.

Нарушителям грозит административная ответственность: сейчас максимальное наказание для юрлиц – 10 000 руб. Но с 1 июля вступят в силу поправки в Кодекс об административных правонарушениях, увеличивающие наказание до 30 000 руб.

Однако гораздо более серьезной мерой является блокировка сайта – закон предусматривает ее возможность, указывает Катков.

Определение

Закон относит к персональным данным «любую информацию, относящуюся прямо или косвенно к определенному или определяемому физическому лицу».

Блокировку влечет решение суда об ограничении доступа, принятое по иску пользователя, Роскомнадзора или прокуратуры, но тогда именно с таким иском они и должны обращаться, уточняет Емельянников.

По его словам, фактически сайт можно закрыть за любое признанное судом нарушение законодательства о персональных данных.

Если штраф можно выплатить и работать дальше, то блокировка сайта может повлечь убытки из-за простоя деятельности, уверен Катков. Поэтому он советует провести технико-юридический аудит сайта и поискать подобные слабые места. Кроме того, он рекомендует проверить внутренние системы защиты персональных данных, поскольку Роскомнадзор может взяться и за внутренние документы.

Владельцам форм обратной связи, чтобы не быть оштрафованными, нужно брать согласие пользователя на обработку его данных, как того требует закон, говорит Ампелонский.

Емельянников советует размещать на сайте политику по обработке персональных данных, давать посетителям возможность соглашаться на обработку их данных. Он также рекомендует публиковать политику в отношении файлов cookies (в них браузер записывает данные о посещенных сайтах), включая их передачу аналитическим службам интернета. По словам Емельянникова, в последнее время Роскомнадзор считает персональными данные, полученные при анализе файлов cookies, IP-адреса пользователей и в целом все, что помогает сформировать профиль пользователя, достаточный для таргетирования рекламы. Отсутствие в профиле ФИО на это решение не влияет. Все эти документы Емельянников советует размещать на баннере, без закрытия которого согласием пользователя он не может продолжить пользоваться сайтом.

Рецепт Бекещенко из Baker & McKenzie: исключить из форм обратной связи все поля, которые хоть каким-то образом можно причислить к персональным данным (что зачастую лишает эту форму всякого смысла), либо, как требует закон, создать нужные документы и выложить их в открытый доступ.

В феврале астраханская газета «Волга» сообщала о компаниях, которые были оштрафованы за нарушавшую закон о защите персональных данных форму обратной связи. Был аналогичный случай и в Тюмени. Форма обратной связи есть и на сайте самого Роскомнадзора – например, желающим получить ответ на свое предложение по улучшению работы сайта предлагается оставить имя, фамилию и адрес электронной почты. По закону для обработки обращения в госструктуру согласие на обработку своих персональных данных не нужно, говорит Ампелонский.

Закон об изменениях в КоАП об административных нарушениях в области персональных данных подписан: возможные последствия

Вчера в 17:45 на сайте Президента России появилось сообщение: «Внесены изменения в КоАП. Президент подписал Федеральный закон «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

С 1 июля этого года заработает новая редакция статьи 13.11 КоАП, вводящая семь составов административных правонарушений, о которых я уже писал в блоге. Изменилось и название статьи, теперь оно звучит так: «Нарушение законодательства Российской Федерации в области персональных данных».

Давайте проанализируем, что изменилось по сути и каковы возможные последствия этих изменений.

Первое и главное – протоколы об административных правонарушениях, квалифицируемых новой редакции статьи 13.11, будут после 1 июля составлять не прокуроры, как сейчас, а должностные лица Роскомнадзора и его территориальных управлений при сохранении нормы о наложении штрафа мировыми судьями. Срок привлечения к ответственности сохранился прежний – 3 месяца, но процедура привлечения к ответственности существенно упростилась.

Ранее территориальное управление Роскомнадзора, выявившее нарушение, направляло результаты проверки в прокуратуру по месту нахождения нарушителя, в прокуратуре возбуждалось административное производство, составлялся протокол о правонарушении и направлялся в суд. В результате нередко дела не возбуждались по формальному признаку истечения сроков привлечения к ответственности.

Теперь из этой цепочки прокуратура исключается, материалы будут двигаться быстрее, а штрафов, скорее всего, станет больше.

Возможно, изменится и сам порядок наложения штрафов. Раньше, в силу «универсальности» статьи 13.11 с одним составом правонарушения «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и штраф был один, независимо от содержания акта проверки и предписания об устранении правонарушения. Теперь каждое из выявленных нарушений можно квалифицировать отдельно, оформлять отдельный протокол и накладывать отдельный штраф. А если учесть практику последнего времени, когда Роскомнадзор требует получения отдельного согласия в письменной форме для каждой цели обработки персональных данных и для каждого лица, которому персональные данные передаются, протоколов и штрафов может оказаться очень много даже по результатам одной проверки. Хочется надеяться, что здравый смысл все же когда-нибудь возобладает.  

Поддерживают позицию Роскомнадзора в отношении процедуры получения согласий и суды. Так, Девятый арбитражный апелляционный суд в постановлении по делу № А40-32030/2016 прямо указывает: «Таким образом, если цели обработки персональных данных выходят за рамки ТК РФ, для каждого случая передачи ПДн работников третьим лицам необходимо получать отдельное письменное согласие работника». И далее: «доводы о том, что Обществом разработан некий перечень контрагентов, которым может быть поручена обработка персональных данных, является необоснованным и не соответствующим требованиям статьи 9 Закона о персональных данных».

Написал выше «каждое из выявленных нарушений можно квалифицировать отдельно» и был не точен. У новой редакции статьи 13.11 появилась еще одна особенность: теперь по ней можно привлечь к ответственности далеко не за каждое выявленное нарушение. Так, нет ответственности за невыполнение нашумевшего закона 242-ФЗ о территориальности персональных данных россиян, которым в статью 18 закона «О персональных данных» была добавлена новая часть 5.

Не предусмотрен штраф и за такое нарушение, как несоответствие типовой формы, предусматривающей внесение в нее персональных данных, требованиям пункта 7 Постановления Правительства № 687, а оно было одним из наиболее часто выявляемых при проверках в 2016 году. Нельзя в новой редакции статьи 13.11 наказать за отсутствие в поручении обработки персональных данных существенных условий, предусмотренных частью 3 статьи 6, которое тоже выявлялось при проверках в 2016 году очень часто.

Но все это предположения. Как будут применяться новые нормы, станет известно только после реализации их Роскомнадзором на практике. 31 января на дне открытых дверей представители надзорного ведомства отказались комментировать, как будет применяться закон, сославшись на то, что он пока не принят.

Так что наберемся терпения. Но готовиться к новым правилам надо уже сегодня, чтобы завтра не столкнуться с невиданными ранее штрафами.

О Больших пользовательских данных и блокировке LinkedIn – без эмоций

На прошедшей неделе произошли два очень важных события: 8 ноября прошла 7-я международная конференция «Защита персональных данных», которая традиционно патронируется Роскомнадзором, а 10 ноября Мосгорсуд отказал в удовлетворении апелляционной жалобы LinkedIn на решение Таганского районного суда о блокировке ресурса на территории Российской Федерации, принятое по иску Роскомнадзора в защиту неопределенного круга лиц-субъектов персональных данных.

Прежде, чем говорить о значении этих событий и последствиях того, что на них было озвучено, хотел бы отметить, что и в этом году пленарное заседание конференции «Защита персональных данных», на котором выступали представители госорганов, оказалось гораздо интереснее остальных двух его панелей, больше походивших на уютную домашнюю дискуссию очень хороших людей, согласных со всеми предыдущими выступающими, и рассказывающих об очень милых ситуациях, разрешенных или решаемых в их странах силами уполномоченных органов по защите прав субъектов персональных данных. На мой взгляд, это очень нетипичная ситуация для российских конференций, когда зачитывание формальных приветствий высоких должностных лиц и выражение спонсорами благодарности поучаствовать в мероприятии за их же деньги съедает полтора-два часа рабочего времени конференций.    

А теперь по делу. Не хочу и не буду рассуждать на тему, хорошо или плохо, правильно или неправильно, законно или нет то, что мы услышали в эти два дня. В этом никакого смысла нет. Просто обозначу ту систему координат для сферы обработки персональных данных, в которой нам всем, как работающим в России, так и в России не присутствующим, но желающим работать с россиянами, предстоит жить в ближайшее время (как долго? до изменения системы координат – читай законодательство и следи за правоприменением) и тот набор констант, который определяет эту систему координат.

1.       Государство в лице своих уполномоченных органов и специально созданных под эту проблему институтов заявило, что под контроль надо поставить не только персональные данные всех живущих в России (данные, с помощью которых можно непосредственно идентифицировать, то есть установить личность), но и данные, которые сами по себе, без дополнительной информации, не могут быть соотнесены с конкретным субъектом (то есть обезличены – сведения об активности анонимного пользователя в сети, IP- и МАС- адреса, файлы-куки, особенности поведения в интернете, сведения о геолокации и т.п.), но путем сопоставления полученных из различных источников сведений позволяют их обладателю личность установить (Игорь Ашманов утверждал, что достаточно четырех разнородных источников).

2.       Эти сведения, названные коллективным разумом участников Большими пользовательскими данными, должны быть поставлены под контроль государства или уполномоченного им лица (оператора больших данных), для чего нужно принятие новых или корректировка уже принятых законов, поскольку существующих для реализации этих планов мало.

3.       Гражданин России не имеет права на распоряжение своими персональными данными. Он безответственен и неразумен, не читает грабительских и рабских пользовательских соглашений, не понимает своей выгоды и нарушения своих прав, поэтому его персональные данные – достояние государства, нефть новой экономики (Игорь Ашманов оценил их в 20 американских долларов за единицу реализуемого товара), и государство или уполномоченное им лицо будет этими данными распоряжаться – собирать, систематизировать, использовать и т.д. – см. пункт 2. Маленькая ремарка. Можно предположить, что, если бы россияне узнали, где за их сведения об активности в интернете можно получить 20 USD, очередь к покупателю выстроилась бы побольше очереди за бесплатными бумажными пакетами мировых брендов. И московская непогода, снегопады и ледяные дожди их бы не остановили. Но этот адрес нам пока не известен, так как в выступлении не был раскрыт.

4.       Исходя из изложенного в пункт 3, две ветви российской власти – исполнительная, в лице Роскомнадзора, и судебная, в лице районных и вышестоящих судов общей юрисдикции, будут и впредь блокировать доступ к ресурсам, где есть персональные данные россиян, и которые не перенесены на территорию Россию в соответствии с горячо и активно обсуждавшимися поправками, внесенными 242-ФЗ в статью 18 закона «О персональных данных». Исследовать вопрос, чьи конкретно права нарушены, в чем заключается нарушение, как использование сведений о посещении интернет-ресурса нарушает право на неприкосновенность частной жизни, и в чем оно заключалось, в ходе судебных разбирательств вовсе не обязательно. Достаточно того, что на такой позиции стоит уполномоченный законом орган по защите прав субъектов персональных данных. То, что субъект посещал ресурс свободно, по собственной воле и в собственном интересе (часть 1 статьи 9 закона «О персональных данных»), значения не имеет – субъект неразумен по определению – см. пункт 3.

5.       Такие походы государства и уполномоченных им лиц имеют определенную поддержку бизнеса, надеющегося получить свою долю пирога. Это, примерно, как с ЦОДами для размещения баз персональных данных россиян, импортозамещением и т.п. Кому война, а кому мать родна, что русскому здорово, то немцу смерть, ну и т.д.

6.       По всем этим поводам массовых протестов и одиночных пикетов не будет. Все ограничится соплями, слезами и виртуальными прощальными обнимашками в закрываемых соцсетях. В отличие от торрентов, искать способы обхода блокировок массово тоже не будут. Вся прелесть их использования для тотального общения после блокировки будет сведена на нет. Мне, например, ресурс, где сейчас хостится мой блог, Facebook или Twitter, после блокировки доступа с территории России будут абсолютно неинтересны. Как и я владельцам этих ресурсов.

7.        Жить по-старому иностранным компаниям в России точно не получится. Как и тем, кто хочет работать с россиянами (продавать что-то, распространять рекламу и т.п.). Тем более, что выступавшая на конференции Наталья Касперская сказала, что закон о территориальности исполняется плохо (ей, наверное, видней. Роскомнадзор недавно говорил совсем другое). Надо все-таки будет привести обработку персональных данных в соответствие российскому законодательству, разработать предусмотренные законом документы и принять предусмотренные им же меры обеспечения безопасности персональных данных, перенести первичные базы персональных данных (да-да, я знаю про отсутствие этого понятия в законах, но оно тем не менее есть), в которые собираются и в которых актуализируются персональные данные россиян, на территорию России. В заблокированной соцсети LinkedIn, похоже, после решения Мосгорсуда это быстро поняли: «Мы по-прежнему заинтересованы во встрече с Роскомнадзором, чтобы обсудить их запрос локализации данных».

8.       К защите прав субъектов все описанное выше никакого отношения не имеет. От слова «совсем». После выполнения описанного в пункте 7 все персональные данные можно вполне законно сливать передавать в информационные системы за рубежом, в том числе, и для продажи их по 20 долларов за штуку. Особенно подробно про это написано на сайте уполномоченного органа по выработке государственной политики в сфере персональных данных здесь  http://www.minsvyaz.ru/ru/personaldata/ и на сайте-общественной инициативы здесь http://pd-info.ru/, где особо подчеркивается «роль Роскомнадзора в данном проекте – как представителя государства и контролирующего органа, готового к диалогу в отраслью, экспертизе закона и возникающих в связи с его исполнением нюансов, а также к постоянному взаимодействию с игроками Рунета и IT-компаниями».

Вот так, примерно, все это видится.

Жаль, что за решением таких глобальных проблем на международной конференции «Защита персональных данных» не нашли отражения такие животрепещущие вопросы, волнующие, по нашим наблюдениям, очень многих операторов персональных данных, как использование веб-форм для сбора персональных данных и обеспечение при таком использовании соответствия закону, размещение информационных систем в облаках и коммерческих ЦОДах, необходимость на это согласия субъектов, способы его законного получения, обеспечение защиты данных, обрабатываемых в ЦОДах и облаках и распределение полномочий провайдера и оператора, использование международными и иностранными компаниями баз персональных данных материнских компаний за рубежом, в том числе тех, куда российские пользователи сами вносят свои данные, и многие другие.

Но, видимо, сейчас время для других вопросов – глобальных и стратегических.

Суверенные базы данных и реестры нарушителей

Зарекся некоторое время назад комментировать проекты законов и прочих нормативных правовых актов, поскольку от окончательной редакции они порой отличаются радикально, если будут приняты вообще.

Но решил сделать исключение из правил. Уж очень удивительный акт готовится – законопроект № 553424-6 «О внесении изменений в отдельные законодательные акты Российской Федерации (в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях)».

Про него уже отпостили Алексей Лукацкий и Сергей Борисов, но есть нюансы, которых я в их комментариях не увидел и на которые хотелось бы обратить внимание. Поскольку рожденное в недрах Госдумы не подлежит опубликованию на «Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения», приходится пользоваться личным блогом для этого самого общественного обсуждения.

О сути закона высказались уже многие, сводится она к двум принципиальным моментам – размещению баз с персональными данными россиян только на территории России (с некоторыми допустимыми исключениями) и созданию очередного реестра, теперь - нарушителей прав субъектов персональных данных. Все остальное – некая обвязка к реализации этих двух основных идей.

По поводу размещения баз персональных данных россиян в России. Удивительна не сама идея суверенности баз, об этом разговоры идут очень давно, а как раз эти самые исключения. Предполагается, что на территории России будет все, но кое-что можно хостить и за ее пределами, а именно – сайты госорганов (пункт 2 части 1 ст.6 152-ФЗ, отдельно выделю базы данных судебных приставов – п.3 части 1 ст.6 152-ФЗ), государственных внебюджетных фондов, любых органов власти и самоуправления, а также организаций, оказывающих государственные и муниципальные услуги (п.4 части 1 ст.6 152-ФЗ).

Мне почему-то казалось, что должно быть ровно наоборот – коммерсанты пусть разбираются с клиентами сами, где находятся их сервера баз данных, а вот госорганы, муниципалы и организации, специально созданные для реализации их полномочий, – за рубеж ни-ни. Сначала я не поверил своим глазам, перечитал статью 1 законопроекта раз десять – точно, им можно. Т.е. систему персонифицированного учета, созданную в соответствии с Федеральным законом «Об обязательном медицинском страховании», или сайт госуслуг или муниципальных услуг города Верхневольтовска захостить где-нибудь в Германии или Латвии – это, пожалуйста, а вот базу данных АБС и веб-сайт банка - стопроцентной дочки зарубежного, или booking.com, где россияне имели неосторожность забронировать гостиницу или арендовать машину – будьте добры перенести в Россию. Я про booking.com не шучу и не ошибаюсь – постоянные требования депутатов и сенаторов проверить на предмет исполнения российского законодательства Google, Twitter или Facebook говорят о том, что законодатели ставят вопрос именно так. Иначе – заблокировать, и точка. Интересен также вопрос, каким образом оператор должен определить, россиянин ему персональные данные прислал или нет. Для абсолютного большинства сайтов указывать гражданство или паспортные данные не нужно.

По поводу включения оператора в реестр нарушителей прав субъектов персональных данных и блокировки ресурса. Попадание в реестр, в соответствии с законопроектом, происходит на основании вступившего в законную силу судебного акта. А теперь – вопрос в студию. Какого именно акта? О чем? В соответствии со ст.2 законопроекта, реестр создается «в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных» Т.е. речь идет о судебном акте, в котором определен виновный в нарушении такого законодательства? Или о судебном акте, прямо требующем блокировки сайта? Если об акте с указанием виновного – это только ст.13.11 КоАП в нынешней редакции, или вообще любое нарушение, связанное с этим законодательством? Могу навскидку предложить целый набор таки случаев:

·    Статья 5.27 КоАП (Нарушение законодательства о труде и об охране труда) – если речь идет о нарушении требований главы 14 Трудового кодекса «Защита персональных данных», например, на сайте опубликованы персональные данные работников без их письменного согласия;

·    Статья 5.39 КоАП (Отказ в предоставлении гражданину информации) – если оператор не ответил на запрос субъекта, поданный через сайт;

·    Статья 13.12 КоАП (Нарушение правил защиты информации, часть 6) – если для защиты сайта используются несертифицированные средства защиты информации или межсетевой экран стоит не того класса защищенности, который указан в Приказе ФСТЭК № 21, а канал сайта не шифруется сертифицированным СКЗИ;

·    Статья 13.13 КоАП (Незаконная деятельность в области защиты информации) – если оператор построил защиту своего сайта сам, а лицензии на ТЗКИ у него нет;

·    Статья 19.7 КоАП (Непредставление сведений (информации)) – если оператор обрабатывает персональные данные на сайте, а Роскомнадзор об обработке не уведомил;

·    Статья 137 УК РФ (Нарушение неприкосновенности частной жизни) – если на сайте собирается и выкладывается информация о частной жизни, а суд посчитал это незаконным;

·    Статья 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) – если оператор, например, выложил на сайте частное письмо, SMS-сообщение или протокол телефонного соединения;

·    И с некоторой натяжкой – статья 140 УК РФ (Отказ в предоставлении гражданину информации), если ст 5.39 КоАП показалось мало.

Еще одна проблема, заложенная в законопроекте – а как Роскомнадзор будет узнавать о вступлении в силу решения суда о нарушении законодательства? Обязанности судов это делать в законопроекте не заложено, как и прямого решения суда о блокировке. Предлагается несколько экзотический путь – право субъекта на обращение в Роскомнадзор с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства в области персональных данных на основании вступившего в силу судебного акта по утвержденной Роскомнадзором форме. А если субъект не обратится, как надзорный орган будет выполнять возложенные на него законом функции? Одни вопросы без ответов…

И еще один маленький, но существенный момент. На ряд операторов законом возлагается обязанность раскрывать на своем официальном сайте в сети интернет определенные сведения. Например, Приказ ФСФР от 10.01.2006 № 06-117/пз-н «Об утверждении положения о раскрытии информации эмитентами эмиссионных ценных бумаг» подробно расписывает порядок раскрытия на сайте предусмотренной законом «О рынке ценных бумаг» информации, обязывая предоставить пользователям «свободный и необременительный доступ» к ней и обеспечить этот доступ «в течение сроков, установленных нормативными правовыми актами, на одной странице в сети Интернет». А за нарушение, между прочим, штраф от 700 тысяч до миллиона рублей. Или Указание Банка России от 16.01.2004 № 1379-У «Об оценке финансовой устойчивости банка в целях признания ее достаточной для участия в системе страхования вкладов» признает банк обеспечивающим доступность информации о лицах, оказывающих существенное (прямое или косвенное) влияние на решения, принимаемые органами управления банка, неограниченному кругу лиц, если на официальном сайте банка или на официальном сайте Банка России размещена информация о них. Отсутствие письменного подтверждения банка о раскрытии неограниченному кругу лиц этой информации – основание для отказа в выдаче лицензии на привлечение во вклады денежных средств физических лиц, не больше и не меньше.

А теперь представим себе – эмитент ценных бумаг или банк нарушил закон о персональных данных, не разместив, например, на сайте политику в отношении обработки персональных данных, и привлечен за это к ответственности. Ситуация вполне реальная, о таких случаях не так давно писал. Решение суда вступило в законную силу, сайт заблокировали, а тут совсем к другому регулятору пришла жалоба, что нельзя получить доступ к информации, подлежащей обязательному раскрытию. Немая сцена. Занавес.

И наконец. Законопроект написан с ошибками и неточностями. Как вам, например, фраза «оператор реестра исключает выгрузки для операторов связи доменное имя, указатель страницы сайта в сети «Интернет» или сетевой адрес, позволяющий идентифицировать сайт в сети «Интернет», на основании обращения владельца сайта в сети «Интернет», провайдера хостинга или оператора связи, оказывающего услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет», не позднее чем в течение трех дней со дня такого обращения после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных, либо на основании вступившего в законную силу решения суда об отмене ранее принятого акта суда». Я, как ни старался, так и не понял, кто и что должен сделать.

В общем, по моему скромному мнению, закон в таком виде принимать не только нельзя, но и очень вредно, поскольку последствия его принятия будут совершенно непредсказуемы, причем в тех областях, о которых авторы явно и не думали.

Оказывается, есть тайны и для мегарегулятора

Помните, я недавно рассказывал про судебные споры Банка России как преемника ФСФР с операторами связи по поводу детализации переговоров?

Как и ожидалось, дело получило продолжение. Мария Ковригина на Право.Ру довольно подробно рассказала про рассмотрение кассации Банка России на решение 9 Апелляционного арбитражного суда в Федеральном арбитражном суде Московского округа о признании незаконным привлечение оператора к административной ответственности за отказ предоставить детализацию телефонных переговоров.

Поскольку мотивировочная часть решения пока не опубликована, будем исходить из описания процесса на Право.Ру.

Банк России в кассационной жалобе и в ходе ее рассмотрения никаких новых аргументов не выдвинул, за исключением пары исторических заявлений о том, что Банку решения суда не нужны, поскольку он не занимается оперативно-разыскной деятельностью, а запрашиваемые им сведения, даже если и являются охраняемой законом тайной, все равно должны быть ему представлены. Основная проблема при осуществления надзора сегодня заключается в том, что решение на доступ к тайне связи может дать только суд и только субъектам оперативно-разыскной деятельности, каковым Банк России не является, а право на получение тайны связи в законе об инсайде ограничивается информацией о почтовых переводах денежных средств.

Замоскворецкий суд в доступе надзорному органу к детализации телефонных переговоров логично отказал, и ФСФР пошла самым простым путем – истребовала ее у оператора без решения суда. Между тем закон об инсайде предполагает совсем другую схему действий (часть 7 ст.14): «В случае, если для предотвращения, выявления и пресечения неправомерного использования инсайдерской информации и (или) манипулирования рынком требуется проведение оперативно-розыскных мероприятий, Банк России обращается в органы внутренних дел в установленном законодательством Российской Федерации порядке». Этот вариант Центробанк почему-то не устроил.

Не найдя новых оснований для пересмотра решения, коллегия ФАС МО решение 9 ААС оставила без изменений, а в удовлетворении кассационной жалобы отказала. Ждем обращения Банка России в Высший арбитражный суд?

Интересно, что совершенно аналогичная история с привлечением к ответственности «Мегафона» развивается по прямо противоположному сценарию. Апелляционный суд принял признал привлечение «Мегафона» к ответственности правомерным. Решение было принято несмотря на то, что коллегия 9 ААС указала, что «поскольку затребованная в п.4 Предписания детализация счета составляет тайну телефонных переговоров и могла быть передана не иначе как на основании решения суда, которое ФСФР России не предоставлено, судебная коллегия считает, что требования Предписания о предоставлении данных сведений незаконны». Дело в том, что оператор задержал ответ ФСФР на шесть дней, что и явилось основанием для принятия судами именно таких решений.

Я уже много раз писал (например, здесь), что добиться защиты своих прав в суде при рассмотрении вопросов, связанных с охраняемой законом тайной можно лишь при скрупулезном и точном выполнении требований закона. Малейшее нарушение может стать основанием для отрицательного решения.

Подавалась ли «Мегафоном» кассационная жалоба, пока не известно.

Тайна связи и российские суды: теперь про детализацию переговоров

В прошлом блоге неделю назад я писал, что надзорная деятельность ФСФР затронула и сотовых операторов, но ввиду ограничений сего жанра тему не развил. А она тоже весьма интересна.

Итак, в феврале 2013 года ФСФР обратилась к МТС и «Вымпелкому» с просьбой предоставить информацию о телефонных переговорах некоторых абонентов, а также копии договоров и анкет клиентов. Операторы предоставили информацию «в рамках законодательства», т. е. без детализации звонков (кто, кому, когда, сколько раз, откуда и с какого конкретного телефона звонил). В апреле газета «Ведомости» сообщила, что Служба (ФСФР) подготовила предложения об изменениях в закон об оперативно-разыскной деятельности (ОРД) и передала его в правительство, поскольку субъекты ОРД делиться закрытой информацией с надзорным органом желанием не горели, а без нее инсайдера никак не поймать.

Что там с изменениями в закон, пока не ясно, а пока - суд да дело, ФСФР выписала МТС штраф (кто читал прошлый пост, сразу догадается) в 500 тысяч рублей за отказ предоставить без решения суда детализацию счетов абонента и информацию об идентификационных номерах абонентских устройств (IMEI) его телефонов, а МТС, естественно, обратилась в арбитражный суд. Судья Арбитражного суда г. Москвы проигнорировала позицию Конституционного Суда, изложенную в определении от 02.10.2003 № 345-О, и привлечение к ответственности признала правомерным.

Конституционный Суд еще в 2003 году, рассматривая запрос Советского районного суда города Липецка о допустимости предоставления детализации переговоров без решения суда Федеральной службе налоговой полиции (была такая когда-то), высказался однозначно: «Содержащаяся в ч.4 ст.32 ФЗ от 16.02.1995 года "О связи" и сохраненная в ФЗ от 07.07.2003 года "О связи" (ч.3 ст.63) норма, согласно которой получение сведений о телефонных переговорах допускается на основании судебного решения, является специальной, конкретизирующей и обеспечивающей действие статей 23 (часть 2) и 24 (часть 1) Конституции Российской Федерации применительно к вопросам сохранения тайны связи». То есть без решения суда – никак.

Конституционный Суд счел нужным разъяснить вопрос детально: «информацией, составляющей охраняемую Конституцией РФ и действующими на территории РФ законами тайну телефонных переговоров, считаются любые сведения, передаваемые, сохраняемые и устанавливаемые с помощью телефонной аппаратуры, включая данные о входящих и исходящих сигналах соединения телефонных аппаратов конкретных пользователей связи; для доступа к указанным сведениям органам, осуществляющим оперативно-розыскную деятельность, необходимо получение судебного решения». То есть детализация – тайна, решения суда нужно, и неопределенность в соответствии этой нормы Конституции напрочь отсутствует. Напомню, определение Конституционного Суда окончательно и обжалованию не подлежит.

Конституционный Суд не учел богатства фантазии наших судей, и фраза «осуществляющим оперативно-розыскную деятельность» оказалась для МТС роковой. Судья С.М. Андриянова в решении от 12 июля 2013 г.

по делу № А40-56142/2013 прямо так и написала: «Правовые позиции, изложенные в определениях Конституционного Суда РФ от 02.10.2003 № 345-О, от 21.10.2008 № 528-О-О касаются исключительно действий органов, осуществляющих оперативно-розыскную деятельность». То есть субъектом ОРД доступ к тайне надо давать по решению суда, а остальным интересующимся – просто так, по их запросу, поскольку в специальном законе говорится о доступе к охраняемой законом тайне.

Судья пошла даже дальше, указав, что информация, относительно абонентских номеров не относится к информации, составляющей тайну телефонных переговоров абонента, поскольку абонентские номера принадлежат операторам сотовой связи и выделены по договору для использования абонентами, следовательно, установление фактов использования абонентских номеров относится исключительном к информации о деятельности оператора сотовой связи. Судья посчитала, ФСФР России имеет право запрашивать информацию, имеющую непосредственное отношение к проведению проверки, в том числе детализацию счетов абонента и IMEI. Норма закона об инсайде, допускающая получение надзорным органом из всего многообразия сведений, составляющих тайну связи, исключительно информации о почтовых переводах денежных средств, была полностью проигнорирована.

При такой позиции суда в удовлетворении заявления МТС было, естественно, отказано.

МТС обратилась с жалобой на такое решение в 9 Арбитражный апелляционный суд, который Постановлением от 15.11.2013 решение суда первой инстанции отменил, основываясь все на той же позиции Конституционного суда, которую судья МГАС посчитала неприменимой, поскольку ФСФР (а теперь Банк России) – не субъект ОРД. Суд второй инстанции подчеркнул, что «решения Конституционного Суда РФ обязательны на всей территории РФ для всех представительных, исполнительных и судебных органов государственной власти, органов местного самоуправления, предприятий, учреждений, организаций, должностных лиц, граждан и их объединений. Это требование, по смыслу названного Федерального конституционного закона распространяется на все решения Конституционного Суда РФ, независимо от того, в какой форме они выносятся, то есть не только на постановления, но и на определения и заключения».

Судебная коллегия посчитала, что истребованная детализация счета конкретного абонента-физического лица и IMEI составляют тайну телефонных переговоров, поскольку к ней относятся не только сведения, содержащиеся в телефонном соединении (разговоре), но и данные о таких соединениях между конкретными абонентами (дате, времени, продолжительности), а также любые иные сведения передаваемые, сохраняемые и устанавливаемые с помощью аппаратуры связи.

Обратил внимание апелляционный суд и на ограничение сведений, составляющих тайну связи и подлежащих представлению надзорному органу, которое проигнорировала судья при первом рассмотрении, напомнив, что допускается представление только информации о почтовых переводах денежных средств, что не исключает необходимость получения решения суда для доступа к иной тайне связи, в том числе тайне телефонных переговоров.

В мотивировочной части решения суд конкретно указал, что «ни один федеральный закон не позволяет ФСФР России без судебного решения ограничивать права физических лиц на тайну телефонных переговоров посредством получения Детализации счета и IMEI», а в материалах дела имеется ответ Минкомсвязи России на запрос ОАО «МТС», из которого усматривается, что детализация счетов конкретного абонента и данные об идентификационных номерах его абонентских устройств (IMEI, IMSI) относятся к охраняемой Конституцией тайне телефонных переговоров, а за нарушение тайны связи статьей 138 УК РФ предусмотрена уголовная ответственность.

Особо надо выделить позицию суда, в соответствии с которой отсутствие у ФСФР России данных о детализации счета конкретного абонента – физического лица и IMEI не влечет невозможность привлечения виновных лиц к ответственности, предусмотренной ст. 185.3 УК РФ (манипулирование рынком), поскольку детализация счета и IMEI могут быть получены на основании судебного решения в ходе оперативно-разыскных мероприятий, проводимых в целях выявления и раскрытия предусмотренных ст. 185.3 УК РФ преступлений, а также установления виновных лиц.

Вот и сказке конец. На этот раз, на мой взгляд – счастливый, основанный на верховенстве закона. Вот только согласится ли с ним Банк России? Отведенные на обжалование два месяца уже истекли.

Тайна связи, электронная почта и российские суды

Одним из самых интересных вопросов в области информационной безопасности во второй половине прошлого года, на мой взгляд, стал вопрос о том, что такое тайна и оператор связи в современном мире и в России в частности.

Вопрос родился из исков операторов мобильной связи и интернет-компаний, оспаривающих правомерность наложения на них штрафов ФСФР и ее преемником, Банком России, за отказ предоставить детализацию переговоров и электронной переписки лиц, подозреваемых в неправомерном использовании инсайдерской информации и манипулировании рынком. С такими исками в прошлом году в суд обращались операторы большой тройки – МТС и Мегафон, владельцы социальной сети «В Контакте» и публичных почтовых сервисов Mail.ru и Рамблер.

Суды закончились совершенно с разными результатами и довольно неожиданно.

Итак, в мае 2013 года ООО «Рамблер Интернет Холдинг» и в июне 2013 года ООО «ВКонтакте» подали иски в арбитражные суды соответственно г. Москвы, г. Санкт-Петербурга и Ленинградской области о признании незаконным привлечение компаний к административной ответственности за отказ предоставить сведения о пользователях почтового сервиса и социальной сети, подозреваемых в инсайде.

В рамках камеральной проверки возможного неправомерного использования инсайдерской информации и манипулирования рынком акций ОАО Концерн «КАЛИНА» ФСФР потребовало от ООО «В Контакте» в течение семи рабочих дней предоставить справку, содержащую все сведения (за исключением пароля), указанные при регистрации личной страницы в социальной сети «В Контакте» (vk.com) пользователем, идентифицируемым следующими данными: id72670996, Маша Иванова, а также дату регистрации пользователя, список IP-адресов, с которых в период с 01.03.2012 по 16.05.2012 осуществлялся вход на личную страницу пользователя, с указанием даты и времени начала и окончания сессии с учетом используемого IP-адреса. Ссылаясь на отсутствие санкции суда и нарушение тайны связи, владельцы социальной сети информацию представить отказались и были привлечены к административной ответственности с небольшим таким штрафом 500 тысяч рублей (судя по последним делам, это нижний порог, с которого стартовала ФСФР).

Аналогичная информация о переписке владельца почтового ящика daria-skok@rambler.ru была запрошена ФСФР у Рамблера.

Обосновывая наложение санкций, ФСФР высказывала точку зрения, что тайна связи не распространяется на электронные сообщения, поэтому отказ в предоставлении информации неправомерен. Примерно в то же время подобные запросы получали и два крупнейших сотовых оператора – «Вымпелком» и МТС, которые среагировали на них по-разному. По сообщению Газеты.ру, представитель «Вымпелкома» А. Айбашева заявила, что в соответствии с федеральными законами «О связи», «Об оперативно-разыскной деятельности», «О персональных данных» компания представила запрошенную информацию в полном объеме. Представитель МТС И. Агаркова сказала, что оператор направил в ответ все запрашиваемые данные, за исключением тех, которые составляют тайну связи, поскольку такие данные в рамках действующего законодательства оператор вправе предоставлять только по решению суда.

Коллизия связана с тем, что в соответствии с ч.1 статьи 16 Федерального закона № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации…» юридические лица обязаны по мотивированному письменному требованию (запросу) ФСФР представлять документы, объяснения, информацию в письменной и устной форме, в том числе сведения, составляющие коммерческую, служебную, банковскую тайну, тайну связи (в части информации о почтовых переводах денежных средств) и иную охраняемую законом тайну (за исключением государственной и налоговой тайны). Т.е. в отличие от субъектов оперативно-разыскной деятельности, которым на доступ к тайне связи необходимо решение суда, ФСФР получала эти сведения просто по запросу.

Надо обратить внимание и еще на один нюанс. Право на доступ к сведениям, составляющим тайну связи, в законе существенно ограничено и предусматривает получение только информации о почтовых переводах денежных средств. Само же понятие тайны связи гораздо шире и включает в себя тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи.

Арбитражный суд г. Санкт-Петербурга и Ленинградской области при рассмотрении иска в содержание запроса не вникал, а постановление о назначении административного наказания РО ФСФР по СЗФО признал незаконным и отменил ввиду незначительности правонарушения и его неумышленного характера.

Отменил постановление ФСФР и Арбитражный суд г. Москвы (АСГМ), рассматривавший иск «Рамблера». Однако, рассматривая в мотивировочной части довод ФСФР о том, что под тайной связи понимается именно тайна информации, содержащейся в сообщении, а сведения об адресах электронной почты, с которыми осуществлялась переписка, не относятся к информации, указанной в п.3 ст.63 закона «О связи», который ни в одной статье не устанавливает запрета для оператора связи сообщать эти сведения уполномоченному федеральному органу, действующему в рамках норм специального закона, суд принял во внимание довод «Рамблера» о том, что для получения адресов электронной почты необходим доступ к переписке, что нарушает тайну связи.

9 Арбитражный апелляционный суд решение АСГМ отменил. И вот тут начинается самое интересное. Суд апелляционной инстанции согласился с доводом ФСФР в том, что сведения об адресах электронной почты, с которыми пользователь осуществлял переписку, не относятся к тайне связи, поскольку регистрация физического лица как пользователя электронного почтового ящика в сети Интернет законодательно не регламентирована, а Интернет-ресурсы (поисковые системы, сервисы), в том числе и «Рамблер», сами определяют условия создания физическим лицом почтового ящика и осуществления в связи с этим электронной переписки с другими пользователями (владельцами почтовых ящиков). Как правило, для создания почтового ящика требуется введение логина и пароля, при этом конкретный пользователь – физическое лицо не обязан указывать в адресе электронной почты свои персональные данные, например, ФИО, год рождения и т.п., телефонный номер, паспортные данные.

Т.е. довод простой. Почтовый ящик может (подчеркиваю, может) принадлежать анониму, а аноним права на тайну связи не имеет. Вывод весьма интересный и может иметь далеко идущие последствия. Не обязан указывать упомянутые судом год рождения, телефонный номер, паспортные данные  и т.д. и отправитель почтового сообщения. И что, почту можно читать кому угодно? Нет, ст.15 ФЗ «О почтовой связи» четко и недвусмысленно определяет, что «осмотр и вскрытие почтовых отправлений, осмотр их вложений, а также иные ограничения тайны связи допускаются только на основании судебного решения». Причем, в отличии от более общего закона «О связи», закон «О почтовой связи» не содержит норм, разрешающих нарушать тайну органам власти без судебного решения на основании специальных законов.

Странно, что при рассмотрении дел суды не учли еще два фактора.

Первый. В перечне наименований услуг связи, утвержденным Постановлением Правительства РФ от 18.02.2005 № 87, электронная почта как услуга отсутствует, есть там лишь почтовая связь и передача данных. И является ли владелец публичного почтового сервиса оператором связи с вытекающей из этого обязанностью хранить тайну связи – большой вопрос.

И второй. Московский областной суд, рассматривая в 2010 году кассационную жалобу на увольнение работницы ОАО «Арктел» за разглашение персональных данных, которые она отправила на свой же почтовый ящик сервиса Mail.ru, с истицей не согласился и признал привлечение к дисциплинарной ответственности законным. Решение основывалось на том, что пользовательским соглашением ООО «Мэйл.Ру» может как ограничивать, так и разрешать доступ к информации, содержащейся в электронных почтовых ящиках. Следовательно, в силу ст. 2 ФЗ «Об информации, информационных технологиях и защите информации» названная компания является обладателем информации, она против воли работодателя и субъектов получила персональные данные и факт разглашения – налицо.

Есть аналогичные нормы и в «Правилах пользования проектами и сервисами Рамблера»: компания имеет право ограничивать доступ к информации на Интернет-сайтах проектов и сервисов и предоставлять пользователям Интернета доступ к ним на условиях предварительной регистрации, устанавливать ограничения в использовании проектов и сервисов, перечень которых определяется регламентами и правилами отдельных проектов и сервисов Рамблера.

Таким образом, обладателями информации являлись не указанные в запросах ФСФР лица, а интернет-компании, и про тайну связи говорить вообще сложно.

Мне кажется, решения судов – не последняя точка в истории. 

Читая приговоры…

Лето оказалось совсем не отпускным. Столько работы в это время еще никогда не было. Особенно активизировался интерес к коммерческой тайне. В ходе одного из проектов пришлось детально разбираться с решениями и приговорами судов по поводу разглашения коммерческой тайны.

Из них можно вынести много весьма полезной информации о том, как воспринимаются судами аргументы сторон при разборе подобных дел, и что надо учесть (куда соломки подстелить), если одной из задач установления режима является возможность привлечения виновного в нарушении исключительных прав на секрет производства к дисциплинарной, административной или уголовной ответственности. Я как-то об этом писал, но появились и новые решения.

Итак, первое и главное. В последние пару лет суды научились анализировать полноту принятия мер по установлению режима, предусмотренных частью 1 статьи 10 ФЗ «О коммерческой тайне» и организации работы с информацией, составляющей коммерческую тайну (ИКТ), предусмотренных частью 1 статьи 11. Это очень радует, поскольку ранее судьи в это особо не вникали. К примеру, не признается законным увольнение работников по п.п. «в» пункта 6 ст.81 ТК РФ (разглашение охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей), если даже часть режимных мер не принята – нет учета лиц, получивших доступ к ИКТ или грифов на документах в электронном виде. Можно высекать на граните и ставить на проходной организации цитату из одного приговора: А.Б.В. «не может нести неблагоприятные последствия за бездействие других работников этого юридического лица, ненадлежащую организацию с их стороны работы по охране сведений конфиденциального характера, невведение обладателем информации в отношении нее режима коммерческой тайны».

Суды, как с этим не пытаются спорить некоторые коллеги, принимают доказательства неправомерных действий, собранные службой безопасности или ИТ-подразделением пострадавшего работодателя, - электронные письма, копии баз данных, даже логи, причем, по понятным причинам, к электронным письмам отношение гораздо более благосклонное, чем к логам. А вот конструкции типа «мог предположить, что данные сведения составляют», «имел основания полагать», «другие лица, кроме него, не могли», отметаются напрочь. Как замечательно написано в одном из приговоров, «предположительные доводы органа предварительного следствия и стороны государственного обвинения о наличии в действиях А.А.А. состава преступления, не основаны на нормах материального и процессуального права и не могут быть положены в основу обвинительного приговора суда». А в одном из процессов суд напомнил работодателю, что такого основания для отстранения от работы, как разглашение секретов, Трудовой кодекс не предусматривает (см.ст.76 с исчерпывающим перечнем оснований).

Весьма значительная часть судебных процессов посвящена краже, выносу, уносу, продаже, передаче клиентских баз. Недаром профессия «менеджер по продажам со своей базой» - самая востребованная на рынке труда. При этом, определяя обладателя охраняемой информации и возможность ее независимого получения самостоятельно одной из сторон, суды стали сравнивать оспариваемые сведения, и, при наличии большого количества совпадений, принимать сторону того, от кого эта информация ушла к конкуренту.

Есть совершенно замечательные решения. Суд посчитал отправку работником письма с персональными данными другого работника со своего служебного почтового ящика на свой же почтовый адрес публичного сервиса www.mail.ru разглашением. Читаем внимательно: «Пользовательским соглашением, текст которого размещен на сайте www.mail.ru, в соответствии с условиями которого ООО «Мэйл. Ру» может как ограничивать, так и разрешать доступ к информации, содержащейся в электронных почтовых ящиках. Следовательно, в силу ст. 2 ФЗ "Об информации, информационных технологиях и защите информации" названная компания является обладателем информации». Вот так. Поэтому увольнение по тому же п.п. «в» пункта 6 ст.81 ТК РФ (разглашение персональных данных другого работника) суд посчитал правомерным, причем доказательства отправки сам работодатель в суд и принес. На заметку всем обладателям охраняемой законом информации. Открывается новый пласт ограничительной деятельности, особенно для тех, кто допускает использование публичных почтовых сервисов.

В связи с этим очень интересным представляется еще одно решение. Определяя обязанности своего работника по охране коммерческой тайны, обладатель обязал его «не распространять сведения, составляющие конфиденциальную информацию, следующими способами: устно, письменно, в средствах массовой информации». А он отправил их «электронным способом, не охватываемым условиями Соглашения о конфиденциальности, соответственно чему доказательств распространения работником конфиденциальной информации способами, предусмотренными Соглашением о конфиденциальности, суду ответчиком не представлено». А? Каково? Я всегда говорил, что в защите информации ограниченного доступа 80% работы связано с правовыми и оргмерами, и только 20% - с техническими.

И, наконец, про технические меры. Сложилось впечатление, что будь у пострадавших от неправомерных действий инсайдеров поставленная система контроля-блокирования-логирования, и дел самих могло бы не быть, а уж если случилось бы – в суде выиграли бы точно.