Слушания в Совете Федерации по изменениям в 152-ФЗ

Сегодня под председательством спикера Совета Федерации В.И. Матвиенко, с участием сенатора Р. Гаттарова, депутата Д. Вяткина, министра Н. Никифорова, представителей ФСБ, операторов связи и экспертного сообщества (кого признал в зале) прошли парламентские слушания «Законодательное обеспечение прав субъектов персональных данных при их автоматизированной обработке». Слушания – заключительный этап стараний рабочий группы, созданной по инициативе Р. Гаттарова, которая готовила предложения по изменению закона.

Редкий случай, когда участием в работе госоргана и, главное, результатом, я удовлетворен полностью.

Итак, Совфед обещал не позднее 1 декабря этого года инициировать законопроект о внесении изменений в Федеральный закон 152-ФЗ «О персональных данных».

Отметив неоднозначность формулировок действующего закона и избыточность некоторых требований к операторам, стремясь к достижению баланса между техническими требованиями и ответственностью оператора за утечки данных граждан, предлагается перекосы устранить и внести правки, которые можно разбить на шесть групп. Положения нового законопроекта кратко излагаю с моими комментариями, которые я высказал на слушаниях.

1.   Ввести понятие субоператора (сейчас это лицо, осуществляющее обработку персданных по поручению оператора) и, главное, отказаться от требования обязательного согласия субъекта на поручение обработки персональных данных субоператору, сохранив ответственность оператора перед субъектом и ограничив возможность обработки субоператором целями и условиями, установленными оператором. Здорово.

2.   Наконец-то прямо написать, что конфиденциальность не требуется в отношении персональных данных, сделанных общедоступными субъектом, обезличенных, подлежащих опубликованию или обязательному раскрытию. Общедоступность персональных данных лица, ответственного за их обработку у оператора, ликвидировать как класс.

3.   Прямо предусмотреть возможность получения согласия субъекта на обработку персональных данных дистанционно, путем использования электронных средств (т.е., например, через веб-форму на интернет-сайте), которые позволяют оператору в согласии (например, путем простановки галочки). Учитывая практику правоприменения и постоянные попытки смешать требования 152-ФЗ и ст.159 Уголовного кодекса, я предложил дополнить часть 1 ст.9 словами «Ответственность за правомерность и достоверность дистанционно предоставляемых персональных данных лежит на субъекте, их предоставивших» (или чем-то аналогичным).

4.   Наконец-то связать биометрию с возможностью автоматической идентификации и считать биометрическими только те персональные данные, которые оператором для автоматической идентификации используются. Я ранее предлагал более радикальную формулировку, но подойдет и эта. Единственное, предложил убрать из определения «поведенческие характеристики», опять-таки исходя из практики правоприменения – мы до этого еще не доросли, а лишние слова в законе порождают лишние проблемы.

5.   В законе предлагается описать порядок обработки персональных данных иностранных граждан, собранных за пределами России, и регулировать эти вопросы законодательством государств, где такие данные собираются. Все правильно, но мало. Надо прямо указать, что при трансграничной передаче персональных данных на территорию иностранных государств требования по их защите определяются законодательством соответствующего государства. Это могло бы решить две основные проблемы, существующие сегодня: хостинг ИСПДн в зарубежных дата-центрах и передачу персданных в головные (или специально определенные) офисы иностранных и транснациональных компаний, работающих на территории России, в том числе от «дочек» зарубежных банков, страховых компаний, промышленных предприятий и т.д.

6.   Самое радикальное, на мой взгляд. Просто процитирую законопроект. «Состав и содержание установленных Правительством Российской Федерации требований по обеспечению безопасности персональных данных при их обработке операторами для целей предоставления государственных и муниципальных услуг или исполнения иных государственных и муниципальных функций устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий». Соответственно, контроль и надзор за соблюдением этих мер со стороны ФСБ и ФСТЭК возможен только в отношении указанных операторов. И никаких наделений полномочиями в отношении частных компаний. Все остальные (не-госы) защищают данные по международным, российским или собственным стандартам. Естественно, ФСБ и примкнувший к ней Роскомнадзор не согласны, поэтому шансов на прохождение таких формулировок мало. Но можно пожить с надеждой, подержать кулачки и скрестить пальцы.

Есть еще ряд предложений, на мой взгляд, закон только улучшающих. Я предложил добавить в закон определения утечки персональных данных и их неправомерного использования.

Проект поддержан практически всеми участниками процесса его создания и обсуждения, за исключением указанных выше. Есть воля вносить изменения в комплексе: с ужесточением ответственности за нарушения операторами требований закона и расширением состава административных правонарушений, передачей полномочий по возбуждению административных дел от прокуратуры Роскомнадзору, увеличением сроков привлечения к ответственности, полной отменой плановых проверок и наделением Роскомнадзора полномочиями по проведению внеплановых по обращениям и жалобам субъектов.

В.И. Матвиенко пообещала, что такие слушания станут не разовой акцией, а системой. Тем временем Межведомственный экспертный совет Минсвязи готовит свои предложения, а Н. Никифоров по просьбе Матвиенко будет готовить почву в Правительстве для правильного восприятия инициативы. 

Безопасность и приватность в цифровом мире обсудили, впереди – использование электронной подписи

Сегодняшняя дискуссия о приватности в цифровом мире с Ф. Циммерманном, С. Рябко и В. Смирновым на «Информационной безопасности России 2013» (о ней я писал) мне понравилась. И не потому, что я ее вел (как говаривал незабвенный Константин Аркадьевич, «не поймите меня правильно»). Обсудить с тремя умнейшими и интеллигентными людьми то, что кажется тебе важным – бесценно. Началась она со справедливого замечания Филиппа о том, что компромисс в английском языке наряду с положительным имеет и негативный смысл – соглашательство, частичное, неполное исполнение требований. И разговор пошел о добровольном отказе людей от неотъемлемого права на частную жизнь, обмене свободы на безопасность и отсутствие того и другого в результате (В. Смирнов очень к месту привел высказывание Беджамина Франклина). 

Самым большим пессимистом неожиданно (для меня, во всяком случае) оказался С. Рябко. В разумность и осмотрительность homo sapiens он не верит категорически и заразил этим неверием остальных. Вывод печальный: человеку, желающему отстоять право на частную жизнь, но не готовому отказаться от благ и соблазнов глобальной сети, никто, кроме него, не поможет. Минимизировать размещаемую в сети информацию и свое присутствие на публичных ресурсах, тщательно оценивать свое доверие к посещаемым сайтам и предлагаемым сервисам, поднимать и настраивать средства защиты на персональном компьютере, шифровать решениями от независимых вендоров все, что шифрованию поддается – путь самурая в эпоху интернет. И обязательно при размещении информации о себе в сети помнить правило Миранды цифрового мира, которое я сформулировал еще в июне 2011 года: «Все, что вы указали о себе в сети, будет храниться там вечно и всегда может быть использовано против вас».

Завтра на блогер-панели «Электронная подпись - простая, усиленная, квалифицированная: что, где, когда» ждем следующих выступлений:

Первое - В. Смирнов: «Электронная подпись: регулирование и обратная связь», самые общие вопросы применения электронного аналога собственноручной. Углубляет С. Муругов, акцентируясь на областях применения: «Проблематика PKI, электронных документов, юридической силы, электронных подписей и трансграничного обмена». Затем Н. Храмцовская определяет ниши для конкретных реализаций: «Простая и усиленная квалифицированная подписи: своя ниша есть у каждой из них». Ю. Маслов расскажет о подробностях: «Технология реализации электронной подписи – истина в деталях». Разгружаю я, очень быстро пытаясь решить вопрос из практики: «Хочу нанять дауншифтера с Бали» (это про удаленный найм и работу в свете новой главы 49.1 Трудового кодекса «Особенности регулирования труда дистанционных работников»).

Так что заглядывайте. Надеюсь, будет не менее интересно.

22-23 октября: дискуссия Фила Циммерманна и российских криптографов. И не только их, и не только об этом

В Москве пройдет еще одна конференция по информационной безопасности с простым названием «Информационная безопасность России 2013». Поскольку предложение поучаствовать я принял, расскажу о том, что мне кажется на предстоящей конференции наиболее интересным.

Самое главное, наверное, приезд в Россию Филиппа Циммерманна, одного из гуру безопасности и фактически «отца» гражданской криптографии, основателя и разработчика легендарного Pretty Good Privacy (PGP). Фил обещал поучаствовать в полуторачасовой генеральной сессии «Безопасность и приватность в цифровом мире: в поисках компромисса». Помимо Ф.Циммерманна в обсуждении примут участие 3 специалиста в области криптографии из России:

·         Владимир Смирнов, Генеральный директор Сигнал-КОМ     

·         Дмитрий Рябко, Президент Группы компаний С-Терра          

·         Михаил Емельянников, Управляющий партнер Консалтингового агентства "Емельянников, Попова и партнеры" (модератор сессии).  

Тема утраты приватности лично меня волнует давно и серьезно (и здесь еще), вот и разберемся, насколько такие опасения оправданы, растет ли опасность проникновения в частную жизнь со стороны государства, насколько серьезны кражи «электронной личности» и почему люди, довольно замкнутые в обычной жизни, готовы рассказать о себе в интернете все. Обсудим, к чему это ведет и можно ли гражданину, не готовому жить «с окнами без штор», самостоятельно противостоять атакам на приватность.

Кроме генеральной сессии, планируется, что Ф. Циммерманн утром второго дня на часовой сессии в формате живого общения ответит на вопросы участников конференции, а после обеда проведет мастер-класс «Как защитить себя и свой бизнес в условиях глобального контроля?».

Предметом дискуссии на первой панели первого дня, участниками которой станут Максим Степченков из «IT Task», Дмитрий Головин из ФГУП МГРС и Евгений Веселов из НПО «Эшелон», будет тема технической защиты персональных данных после Постановления № 1119 и приказа ФСТЭК № 21. Мы будем обсуждать:

·         что поменялось и поменялось ли в подходе регуляторов,

·         стало ли проще или сложнее,

·         почему ФСБ в своих документах пишет об обязательной сертификации, а ФСТЭК – об оценке соответствия,

·         когда оператор должен считать актуальными угрозы персональным данным первого и второго типа,

·         что делать, если он признал их актуальными.

Во второй день пройдет организуемая мною блоггер-панель, название которой говорит само за себя – «Электронная подпись - простая, усиленная, квалифицированная: что, где, когда». Формат с короткими постами известных специалистов, пишущих об ИБ, впервые опробованный мною на «Инфобез-Экспо» в прошлом году, слушателям понравился, дискуссии получаются нешуточными, поэтому именно в этом формате мы и поговорим с людьми, не просто знающими об электронной подписи все, но и делящимися своими знаниями и раздумьями в сети - Юрием Масловым («Крипто-Про»), Сергеем Муруговым  («Топ Кросс»), Владимиром Смирновым («Сигнал-КОМ») и Натальей Храмцовской («Электронные офисные системы»). Где можно и где категорически нельзя использовать конкретные виды электронных подписей, когда подписанные ими документы становятся юридически значимыми, кто и как регулирует применение аналогов собственноручных подписей – в коротких выступлениях участников панели.

Программа конференции обещает еще ряд интересных мероприятий. Как новые информационные технологии, появляющиеся практически каждый день, вписываются в прокрустово ложе требований Банка России обсудят участники дискуссионной панели «Новые технологии информационной безопасности в платежных системах и их соответствие требованиям Центрального Банка России». А на второй день тема безопасности банковских систем продолжится на панельной дискуссии «Методики аудита безопасности и мониторинга событий в системах ДБО».

Участники технологических дебатов в первый день будут оппонировать, обсуждая полюсы и минусы аутсорсинга информационной безопасности, а во второй - технологии обнаружения и предотвращения утечек информации, причем участник дискуссии будет представлять три разные продвигаемые их компаниями DLP-решения. А почтенная публика в зале будет иметь возможность высказать, что она обо всем этом думает.

Илья Медведовский организует круглый стол, посвященный теме, все чаще выходящей на первый план – анализу исходного кода. Кстати, тем, кто признает актуальными угрозы, связанные с наличием недекларированных возможностей системного и прикладного программного обеспечения информационных систем персональных данных, весьма полезно узнать, с чем они столкнутся, пытаясь эти угрозы нейтрализовать.

Обо всем в одном коротком посте не рассказать. Будет еще много чего – интересного и разного.

И в заключение - несколько слов на тему, будоражащую моих друзей в Фейсбуке, об избытке мероприятий по информационной безопасности. Я лично в этом проблемы не вижу. Большой выбор – для специалиста всегда хорошо. Никто никого не заставляет посещать все. Возможность выбрать из многого интересное именно тебе – это гораздо лучше, чем информационный вакуум или ограниченный выбор. А законы конкуренции пока никто не отменял. В конечном итоге должны остаться лучшие. Если верить старику Дарвину.

Блогеры, львы, гладиаторы и интересующиеся коммерческой тайной

8-10 октября в павильоне № 7 Экспоцентра на Красной Пресне – традиционная осенняя выставка- конференция  «Инфобез-Экспо».

Наше агентство примет участие в трех мероприятиях. Во второй день конференции, 9 октября, с  12.30 до 14.00 пройдет блогер-панель на этот раз на тему «Стандартизация в информационной безопасности. Какие стандарты нужны и зачем». Тема животрепещущая, и обсудить ее приглашены коллеги, ведущие свои личные блоги, которые много и с удовольствием читают специалисты по информационной безопасности, и не только они.

Алексей Комаров (Злонов) расскажет про близкие каждому отечественному специалисту «Колбасу, дороги и стандарты ИБ», Александр Бондаренко (Security Insight) – про пришедший с Запада PCI DSS, его плюсы и минусы. Михаил Хромов (Ригельз Дыбр) поделится мыслями о том, почему нам нужны стандарты внутренние и для взаимодействия, а ваш покорный слуга (Рецепты безопасности от Емельянникова) – выпишет рецепт для лечения после прочтения стандартов на примере ГОСТ Р 53647.6-2012 и объяснит, почему принимать их вредно. Наталья Храмцовская (Кто не идёт вперед, тот идёт назад) раскроет секреты Международной организации по стандартизации ISO. А Андрей Прозоров (Жизнь 80 на 20) приготовит сюрприз, который преподнесет нам  непосредственно на месте.

Придуманный нами в прошлом году формат блогер-панели оказался вполне удачным и меняться не будет: каждое выступление длится 4-6 минут, а затем обсуждается блогерами и присутствующими в зале. Итого на каждый озвученный пост - 10-15 минут. Скучать будет некогда.

На третий день, 10 октября, я с 12.30 до 14.00 проведу в конференц-зале № 2 мастер-класс, на котором подготовлю ответы на шесть вопросов о коммерческой тайне, которые вы всегда хотели узнать, но стеснялись спросить:

1. Кому и зачем надо устанавливать режим коммерческой тайны?
2. Как можно защитить результаты интеллектуальной деятельности, в чем достоинства и недостатки различных режимов защиты (патентное и авторское право, институт коммерческой тайны)?
3. Можно ли защищать секреты производства и иные сведения, ограничив доступ к информации и не устанавливая режим коммерческой тайны?
4. Какие режимные меры необходимо принять и как регулировать, отношения с работниками и контрагентами?
5. Правомерен ли контроль за использованием работниками средств хранения, обработки и передачи информации при реализации режимных мер?
6. Можно ли защитить свои интересы в суде?

Времени на этот раз для обстоятельного погружения в тему достаточно, поэтому я с удовольствием отвечу на другие волнующие слушателей вопросы. Готовьте.

А закончится конференция традиционным конкурсом продуктов и услуг «Львы и гладиаторы» (10 октября, 14.30-16.00, конференц-зал № 1). Трепать бойцов, выступающих за гладиаторские школы российских и зарубежных вендоров, будут ветераны информационных битв, компетентность и объективность которых никто не рискнет поставить под сомнение. Среди них Дмитрий Устюжанин из «Вымпелкома», Олег Маслов из «Фосагро», Алексей Волков из «Северстали», Артем Кроликов из «АльфаСтрахования», Алексей Овчинников из «X5 Retail Group».

В прошлом году некоторые гладиаторы пожаловались, что львы были недостаточно агрессивны, и им было не страшно на арене. На этот раз мы договорились со львами, что обедать они в день конкурса не будут, так что гладиаторам понадобятся дополнительные доспехи. Пусть готовятся к не самым приятным вопросам.

Будет на конференции и много другого интересного.

Дмитрий Костров, в этом году ушедший из бизнеса в непростую по нынешним временам  жизнь госслужащего и ставший заместителем директора департамента Минкомсвязи, проведет в первый день планарное заседание «Текущая ситуация в мировом киберпространстве. Реальное положение дел. Мнения», на котором обещает разобраться с модными словами «кибер» и «электронный» (-е), которые подставляют сейчас к чему угодно, и проанализировать, как с ними сочетается слово «безопасность». Андрей Москвитин приоткроет тайны Microsoft и расскажет, как обеспечивается безопасность облачной инфраструктуры гиганта и как разместить там информационные системы персональных данных.

Не только интересным, но и непредсказуемым обещает быть обсуждение во второй день темы безопасности АСУ ТП на круглом столе, модерируемом лидерами двух компаний, конкурирующих в одном и том же сегменте рынка – Сергеем Гордейчиком из Positive Technologies и Ильей Медведовским из Digital Security.

Алексей Волков проведет круглый стол «Блеск и нищета DLP-систем», а Рустем Хайретдинов расскажет, как бороться с утечками, сбалансированно используя технические, методические, юридические и кадровые средства.

Дмитрий Устюжанин во второй раз будет ставить опыты в Лаборатории мобильной безопасности. Посетители получат возможность скачать и протестировать понравившееся решение на своем устройстве. Выступающие предоставят несколько тестовых смартфонов, на которых заинтересовавшиеся смогут протестировать предлагаемые продукты. Предложивший лучшее по мнению зрителей решение будет награжден призом. Обещают, что эксклюзивным.

На конференции не будут обойдены стороной проблемы обеспечения безопасности банков, борьбы с мошенничеством и другие.

Надеюсь, что, как и раньше, интересное для себя найдет каждый пришедший на выставку-конференцию. Пригласительные билеты можно оформить здесь.

Мониторинг персонала, DLP, и ментальность

Оценка допустимости контроля со стороны работодателя за действиями своих работников –одна из сложных и наиболее часто обсуждаемых проблем. Евгений Бартов сделал подборку из переводов трех статей, касающихся подходу к организации такого контроля в трех странах – США, Франции и Германии.

Материал интересный, а в преддверии DLP Russia-2013 - весьма актуальный. Учитывая тематику и направленность мероприятия вопросы мониторинга персонала и использования DLP-систем всплывут обязательно. Я, во всяком случае, в своем выступлении «О разрешительной системе доступа к информации, допустимых границах контроля и доверии работнику» об этом обязательно  выскажусь.

В статьях, упомянутых выше, приводятся очень яркие примеры влияния ментальности наций как на сами законы, так и на практику их правоприменения.

Ближе всех к нашему отношению к вопросам мониторинга за персоналом из рассмотренных стран, безусловно, США. Все просто – работодатель может практически все, и это все будет законно. Более того, если действия работников не контролировать, можно влететь в правило «принципал отвечает» и понести конкретные убытки. Ну, а рассмотрение нюансов различных подходов к полноте и содержанию мониторинга, условно названных «нравственность», «прагматичность», «справедливость» и «всеобщее благо», - это от нас еще очень далеко. Мы люди простые и суровые.

С Францией сложнее. Там право на приватность есть, но личную переписку с рабочего места или личные файлы на рабочем компе надо фактически маркировать так, чтобы контролер работодателя мог это однозначно понять. Опять-таки, читать про разумные пределы использования средств работодателя для личных целей в судебных решениях занятно.

А в Германии опять все просто. В целом нельзя. Никогда. Никому. Частная жизнь и приватность священны и неприкосновенны. Но, если очень надо, то все-таки можно. Критерии того, когда допустимо, например, видеонаблюдение в общедоступных местах, впечатляют:

1) отсутствуют признаки нарушения законных интересов людей;

2) наблюдение необходимо для выполнения следующих задач:

·       предоставление возможности государственным службам выполнять свои обязанности;

·       препятствование попаданию нарушителей на территорию;

·       достижение правомерных целей в определенных ситуациях (например, при подозрении в совершении преступления).

Как вам правомерные цели в определенных ситуациях?

При скрытом наблюдении (в общественных местах недопустимо) надо заранее предупредить работников и дать им возможность самостоятельно решать, что можно делать с полученными результатами. Фантастика. А вот еще: «При возникновении конфликта между общими правами работника на приватность и интересами работодателя эти интересы и права подлежат сравнению, чтобы по ситуации определить, что приоритетнее». Или: «Согласно решениям Федерального суда по трудовым вопросам скрытое наблюдение с использованием технических средств разрешается только в следующих случаях:

• имеются конкретные признаки уголовного преступления или иных серьезных правонарушений, осуществляемых за счет работодателя;  

• наблюдение является самым безобидным средством для проверки возникших подозрений;  

• скрытое наблюдение является практически единственным средством решения проблемы;  

• скрытое наблюдение адекватно (например, причины недостач в кассе не могут быть выявлены никаким иным способом)».

Самое безобидное, практически единственное и адекватное. Как критерии допустимости.

Ну и про нас. У нас в законах ничего про это нет. Да и с судебными решениями плохо. Не до этого угнетенному персоналу. Зарплату бы получить.

Поэтому выскажу свою точку зрения. Мониторить можно. Но только открыто. На основании доведенных до работника регламентов. С его согласия. А если не даст – отключим газ (отберем компьютер, электронную почту, интернет – добавить недостающее). И пусть себе трудится и выполняет свои обязанности без всего этого.

А про детали – в пятницу, 20 сентября, на конференции.

Персональные данные в негосударственных пенсионных фондах

Когда речь идет о проектах, связанных с приведением порядка обработки персональных данных в соответствие с федеральным законодательством, очень часто приходится слышать мнение, что дело это простое, шаблонное, думать особо не надо, требования закона одни для всех и т.д. То есть, проблем нет – взял в интернете любой шаблон, подставил нужное название – и все дела. С результатами такого подхода мы сталкивались не раз, когда после прочтения документов, уже имеющихся у клиентов и сделанных весьма солидными компаниями понять, чем занимается оператор, чьи данные, и зачем он обрабатывает, было абсолютно нельзя. Ну, когда торчат ушки другого заказчика, это понятно, тут и обсуждать нечего. А вот когда при всем желании нельзя определить, для кого написаны положение и политика – для банка, провайдера вычислительных услуг или трубного завода – случай уже клинический, хотя и не редкий.

Так получилось, что за прошедший год наше агентство сделало несколько проектов для негосударственных пенсионных фондов, промежуточным итогом которых стало участие в подготовке изменений законодательства, о котором я писал.

На примере этих проектов как раз и можно разобраться, насколько такая работа шаблонна, и чем один проект отличается от другого.

Первая и главнейшая задача – выявить все категории субъектов, чьи данные необходимы фонду для выполнения своих функций в соответствии с законом. В дополнение к традиционным категориям, характерным для каждого из операторов – работникам (в том числе бывшим), соискателям вакантных должностей, представителям контрагентов и посетителям  добавляются весьма специфические группы: вкладчики и участники фонда (а это не всегда одно и то же), застрахованные лица, заключившие договора об обязательном пенсионном страховании, и лица, в пользу которых заключены договора о создании профессиональной пенсионной системы, правопреемники участников фонда и застрахованных лиц (не будем забывать о бренности жизни и сроках, когда наступают выплаты), страхователи, представители субъектов, обращающиеся в фонд по их поручению и др.  

Для каждой такой категории необходимо четко определить правовые основания обработки данных, при необходимости – способы получения согласия на это субъектов (оно должно быть конкретным, информированным и сознательным, и при необходимости оператору придется это доказывать), сформулировать цель обработки персональных данных и конкретные группы сведений, которые необходимо обрабатывать фонду как оператору. Здесь не обойтись без анализа специальных законов. Кроме очевидного «О негосударственных пенсионных фондах» придется покопаться и в таких, как «Об обязательном пенсионном страховании в Российской Федерации», «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений», «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации» и так далее... Эти законы очень важны для определения не только состава обрабатываемых персональных данных, но и сроков их хранения. Например, выяснится, что персональные данные, связанные с трансфер-агентской деятельностью, должны храниться в фонде 6 лет. Или что одной из целей обработки персональных данных работников и их близких родственников является предотвращение конфликтов интересов, для чего необходимы весьма специфические сведения – о наличии у должностных лиц фонда и их родственников в собственности ценных бумаг или долей в уставном капитале организаций, в которые инвестированы средства пенсионных накоплений и наличии заинтересованности в изменении их рыночной цены.

В каждом фонде появляется своя специфика, связанная, например, с размещением вычислительной инфраструктуры в коммерческом облаке или дата-центре по схеме SaaS, PaaS или IaaS (а это сегодня – сплошь и рядом, при этом регулирование отношений между провайдером и фондом может быть осуществлено по совершенно разным схемам), привлечением различного рода организаций – колл-центров, служб доставки, рекламных, ивент-агентств и т.д к работе с клиентами фонда (существующими и потенциальными), и опять-таки, необходимость оценки правовых оснований и условий передачи им персональных данных, наличием и содержанием поручения на обработку. Для агентов и брокеров, действующих в интересах пенсионного фонда, целью такого поручения может быть и сбор персональных данных для заключения фондом в дальнейшем договора пенсионного обеспечения с субъектом.

Все эти вопросы необходимо отразить в локальных актах фонда, в том числе – политике в отношении обработки персональных данных. Если фонд создает на своем сайте для клиентов такой популярный сервис, как личный кабинет, политика должна быть опубликована на сайте обязательно.

И заключительный момент – оценка необходимости направления фондом уведомления об обработке персональных данных в Роскомнадзор. По нашему опыту, под исключения, определенные частью 2 ст.22 ФЗ «О персональных данных», негосударственные пенсионные фонды не подпадают в силу наличия категорий субъектов, не являющихся участниками или выгодоприобретателями по договорам пенсионного страхования и обеспечения. К тому же фраза «персональные данные также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» и отсутствие в нем упоминания таких оснований для предоставления персональных данных, как случаи, предусмотренные федеральными законами, вообще ставит под сомнения существование исключений в принципе. И практика применения Роскомнадзором ст.19.7 КоАП такой вывод подтверждает.

Вот, если коротко, что такое учет специфики деятельности негосударственного пенсионного фонда оператора. А более подробно об этом можно будет поговорить 16 октября на конференции «Защита персональных данных и автоматизация на финансовом и пенсионном рынках», которую организует и проводит Национальная ассоциация негосударственных пенсионных фондов, пригласившая меня принять участие в мероприятии.

Информационная безопасность железных дорог

По просьбе журнала для менеджмента РЖД я написал статью о проблемах информационной безопасности, которые в первую очередь затрагивают интересы бизнеса транспортников. На мой взгляд, это безопасность АСУ ТП, особенно использующих интернет в качестве транспорта, персональные данные пассажиров, on-line бронирование и приобретение билетов, коммерческая тайна. Если покопаться в интернете, окажется, что сайты и информационные системы железных дорог – одни из самых атакуемых. И то, что ЧП там происходят в основном в силу человеческого фактора, как нам сообщают СМИ, – это еще большой вопрос. Упражнения на PH Days со SCADA от Siemens как-то такой уверенности не вселяют. Правда, в том же журнале менеджеры перевозчиков, довольно далекие от безопасности, уверяют, что все у них хорошо. Но показалось важным, что значительная часть номера весьма специфического журнала со специфической же аудиторией посвящена проблемам безопасности. Не антитеррористической деятельности, не транспортной безопасности и не кадровой даже. Информационной.

Говорят, журнал читает не просто менеджмент, а топ-менеджмент железнодорожного монополиста. Если так, может, кто-то действительно прочитает и задумается.

Новые разъяснения Роскомнадзора – теперь про биометрические персональные данные

В обстановке «строгой конспирации и секретности», конечно же, поздним вечером пятницы, на сайте Роскомнадзора опубликован второй документ, подготовленный уполномоченным органом с участием экспертной группы, куда вхожу и я. На этот раз разъяснения касаются вопросов отнесения фото- и видео- изображений, дактилоскопических данных и иной информации к биометрическим персональным данным и особенностей их обработки.

Судя по количеству прочтений, тема биометрии – самая популярная среди читателей моего блога. На персональной страничке прямых заходов на пост «Биометрические персональные данные: что это?» – более 7200, на портале Security Lab, где есть зеркало блога, – без малого 3000 прочтений. Если к ним добавить те посты, где я так или иначе писал про проблемы обработки биометрических персональных данных (здесь и здесь, например), общее число посещений страниц только с этой тематикой уже превысило 20 тысяч.

Поскольку в написании текста разъяснений я принимал самое непосредственное участие, позволю себе выделить главное, что в них отражено.

С самого начала я настаивал на формулировке «биометрические персональные данные, обработка которых регламентируется 152-ФЗ», но поддержки у коллег не нашел. Тем не менее, крайне важным представляется, что в разъяснении четко указаны три признака, при которых на работу с этой категорий сведений распространяются ограничения, определенные ст.11 152-ФЗ. Это сведения, которые:

·         характеризуют физиологические и биологические особенности человека;

·         на основании которых можно установить его личность;

·         которые используются оператором для установления личности субъекта персональных данных.

Все три признака должны присутствовать одновременно! Из чего следует логичный вывод, что «отнесение сведений персонального характера к биометрическим персональным данным и их последующая обработка должны рассматриваться в рамках проводимых оператором мероприятий, направленных на установление личности конкретного лица». Нет идентификации – нет биометрии в понимании Федерального закона «О персональных данных».

Поэтому рентгеновские снимки или результаты биохимического анализа крови в поликлинике – не биометрические персональные данные. Как и результаты видеосъемки в офисе или фотография в личном деле работника. Все они не используются для идентификации субъекта медицинским учреждением, кадровым органом или службой безопасности. Но как только они попадут в органы следствия, дознания или исполнения судебных актов для розыска или установления личности, они становятся именно биометрическими персональными данными. А оператором в отношении этих биометрических данных будут как раз следственные и исполнительные органы.

Исходя их этих же соображений, цифровое фото, зашитое в чип загранпаспорта или пропуска, используемого в СКУД, – биометрия, поскольку используется оно как раз при установлении личности владельца пропуска, предъявившего его на входе, паче чаяния у охранника возникнут сомнения, что молодой человек, проходящий через трипод, похож на пожилую даму, чей портрет в этот момент появился на экране монитора.

К чему это я? А к тому, что в соответствии с законом, организации, поставившие у себя СКУД, использующие фотографии и уж тем более дактилоскопическую систему идентификации, должны получить у владельцев пропусков или лиц, прислоняющих свои пальчики к считывателю, согласие на обработку персональных данных в письменной форме, предусмотренной частью 4 ст.9 Федерального закона. И никак по-другому. А вот ФМС, выдающей биометрические загранпаспорта, никаких согласий получать не надо. Часть 2 ст.11: «Обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных… в случаях, предусмотренных законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию».

Можно, наконец, вздохнуть с облегчением банкам, которых Управление Роскомнадзора по Краснодарскому краю и республике Адыгея и некоторые его коллеги-единомышленники постоянно штрафуют за ксерокопирование паспортов без письменного согласия клиентов. Теперь всем будет ясно, что «В иных случаях, когда сканирование паспорта осуществляется оператором для подтверждения осуществления определенных действий конкретным лицом (например, заключение договора на оказание услуг, в том числе банковских, медицинских и т.п.) без проведения процедур идентификации (установления личности), данные действия не могут считаться обработкой биометрических персональных данных и ст. 11 Федерального закона «О персональных данных» не регулируются. Соответственно, обработка сведений, в данных случаях, осуществляется в соответствии с общими требованиями, установленными Федеральным законом «О персональных данных». Аналогичный подход следует применять при осуществлении ксерокопирования документа, удостоверяющего личность».

Конечно, всех сложных проблем, связанных с биометрией, данное разъяснение решить не может. Остается, например, просто неприличное несоответствие оснований для обработки биометрических данных без согласия субъектов в федеральных законах «О персональных данных» и «О геномной регистрации». Но все равно такие разъяснения представляются крайне важными для создания единой практики правоприменения. И не надо в очередной раз писать, что толкование законов – вне компетенции Роскомнадзора. Оно уж тем более не в компетенции авторов таких высказываний.

Считаю, что надо радикально менять определение биометрии в 152-ФЗ. В рамках рабочей группы, созданной при Совете Федерации, я предложил следующее: «Биометрические персональные данные – это зафиксированные по определенным правилам параметры, характеризующие биологические особенности человека и используемые в системах автоматической идентификации (распознавания), такие, как изображения папиллярных узоров пальцев, сетчатки глаза и т.п. Само по себе фотографическое изображение человека, в том числе и в цифровой форме, к биометрическим данным не относится, если не используется для его автоматической идентификации».

С обратной связью пока трудно, но можно обсудить и усовершенствовать это определение прямо на блоге. При случае передам заинтересованным и компетентным.

Базаданныхмания

Нас решили внезапно пересчитать, рубрицировать и систематизировать. Разложить по таблицам, полям и записям. Чтобы было о каждом все  учтено и записано. Те, кто писал базы данных, понимает.

За последний месяц (всего месяц!) количество инициатив, связанных со всевозможными формами учета недосчитанных жителей страны, просто зашкаливает. Причем на каждую отдельную базу есть разумное и убедительное обоснование.

ФМС совместно с Росфинмониторингом подготовили законопроект, в соответствии с которым предполагается создать единую базу данных граждан, в которой, помимо фамилии, имени и отчества, будут данные о регистрации и месте пребывания, паспортные данные (если гражданину меньше 14 лет – реквизиты свидетельства о рождении и (внимание!), если гражданин умер – данные свидетельства о смерти), номер индивидуального лицевого счета в системе обязательного пенсионного страхования и информация о судимости. Особенно радует последнее. Обосновывается тем, что отбывание наказания предполагает снятие с регистрационного учета.

Законопроект возлагает на ФМС обязанность вести адресно-справочную работу по предоставлению информации о регистрации граждан по месту пребывания и по месту жительства. Зато при его принятии госорганам будет запрещено требовать от заявителя документы, подтверждающие регистрацию по месту жительства. В открытом доступе законопроекта пока нет. Остается только догадываться, кому и как такая информация будет предоставляться. Среди просочившихся сведений – наличие доступа к этой базе банков, которые давно добиваются такой возможности. О том, смогут ли получить сведения из этой базы сами граждане, правительственный пресс-релиз скромно умалчивает. Депутат Госдумы Вадим Соловьев с коммунистической прямотой утверждает, что создание такой базы в отношении россиян – правильный шаг, она поможет отслеживать уклонение от армии, налогов, алиментов, штрафов.

Возможно существенное расширение круга сведений, включаемых в кредитные истории, а также источников их пополнения. Минэкономики опубликовало финальную версию изменений в закон «О кредитных историях», которая предусматривает введение обязанности передавать данные хотя бы в одно бюро кредитных историй (БКИ) для микрофинансовых организаций, коллекторов, приобретших долги, конкурсных управляющих при банкротстве кредитора. Право передавать данные в бюро получат любые лица, долг перед которыми подтвержден решением суда, а также кредитные кооперативы. Закон вводит обязанность передачи в БКИ сведений о кредитах и долгах индивидуальных предпринимателей, юрлиц – вообще без их согласия. Граждане пока устояли. Но это уже пустая формальность – попробуйте получить кредит без согласия на доступ к кредитной истории.

Руслан Гаттаров, глава комиссии Совета федерации по развитию информационного общества, предлагает создать в России …, естественно, единую базу данных. На этот раз – по запросам ведомств в отношении персональных данных граждан, что «позволит избежать злоупотреблений при использовании персональных данных россиян». Сенатор высказал предположение, что доступ к ней субъекты могли бы получить через личный кабинет на портале госуслуг. Главная проблема при создании такой базы – чтобы «подобная информация не мешала оперативно-разыскной деятельности».

И обращаться за электронными госуслугами, похоже, скоро будет можно только с помощью специально создаваемой электронной почты. Никаких там публичных сервисов и корпоративных ящиков. Обратная связь предполагается …, конечно, с участием «Почты России». Орган власти или местного самоуправления отправляют электронное сообщение на официальный электронный ящик получателя, а его копию — на официальный электронный ящик территориального отделения почтовой связи, ближайшего к адресу места жительства получателя. «Распечатка и конвертирование корреспонденции будет осуществляться на «Почте России» автоматически, в целях сохранения конфиденциальности». Без комментариев.

Минздрав создает базу данных историй болезни с «ограниченным доступом пациентов» через интернет. ФСИН создает базу дактилоскопических данных адвокатов, и при отказе адвоката предоставить пальчики администрация следственных изоляторов препятствует встрече с подзащитными.

Для обеспечения возможности перехода от одного оператора сотовой связи к другому с сохранением номера создадут единую базу этих самых номеров. Ну, а чтобы работа зря не пропала и был какой-никакой задел на будущее, базу создадут с небольшим запасом. Как сообщается, задачей оператора базы данных будет не только перенос номера, но и предоставление запрашиваемой информации как абонентам и операторам связи, так и опять-таки банкам и платежным системам. Общее количество запросов может достигать несколько миллиардов в день. Несколько неожиданно. Банки, платежные системы…

Глава удостоверяющего центра оператора Yota предложил Дмитрию Медведеву повсеместно внедрить сим-карты с поддержкой электронной подписи и, конечно же, данные обо всех сим-картах гражданина хранить в единой базе данных идентификации.

И наконец, на МВД возложено ведение списка лиц (читай – базы данных), которым запрещено посещение официальных спортивных соревнований. Информация о таких лицах будет предоставляться в Министерство спорта РФ. Организаторы официальных спортивных соревнований теперь должны вместе с собственниками или пользователями стадионов и прочих объектов установить требования к продаже входных билетов, препятствующие попаданию на матчи, соревнования и пр. лиц из «черных списков». «Билеты болельщикам «Зенита» на ближайший матч с «Динамо» будут продаваться только по предъявлению паспортов». Стартовали.

Уже вижу вопросы в комментах: «А что, Вы против? Порядка, честности, доступности и т.д.?»

Нет, я за. Но у меня есть условие. Как у субъекта и гражданина. Тот, кто решил эти базы создавать, должен сделать так, чтобы ими не торговали. А если они попадут в продажу – так, чтобы виновные сидели в тюрьме, а организации, этими данными владевшие (а возможно, и их защищавшие) – оказались банкротами или были расформированы.

Напоследок – бинго. «Национальная служба взыскания», безуспешно судившаяся со своим бывшим сотрудником, рассказавшим о методах работы коллекторов правоохранительным органам, активно использовала в своей деятельности базы данных. Перечисляю названия: «Магистраль», «Поток», «Розыск», ЗИЦ, ЦАБ ГУВД Москвы. Вы не знаете, чьи это базы, и где коллекторы их взяли? А теперь добавьте к ним все те, о которых я рассказал выше (болельщиков-буянов для чистоты картины можно не считать). И представьте, что они есть не только у коллекторов. Я думаю, богатого воображения для этого не надо.  

Инциденты с персональными данными: почувствуйте разницу

Всего три сухих сообщения последнего месяца.

Проверка транспортной прокуратуры подтвердила факт публикации на одной из страниц официального сайта ОАО «Тюменское центральное агентство воздушных сообщений» персональных данных пассажиров с указанием их фамилии, имени, отчества, даты рождения, места проживания, паспортных данных, маршрутов полетов и прочих личных данных за период с 20 июля 2005 года по 26 июня этого года (8 лет!). Организации придется выплатить штраф – 5000 рублей (!). Виновные в нарушении закона были привлечены к дисциплинарной ответственности, а выявленные нарушения закона о персональных данных обществом устранены.

Американская страховая компания WellPoint Inc, которая специализируется на медицинском страховании, согласилась выплатить $1,7 млн (!) штрафа за утечку персональных данных более 612 тыс. своих клиентов. Личные данные о клиентах из базы данных страховщика попали в Интернет в период с октября 2009 г. по март 2010 г. (полгода!). В результате в свободном доступе оказались имена, даты рождения, адреса, номера социального страхования и мобильных телефонов, а также информация о состоянии здоровья клиентов.

Нью-йоркский велопрокат Citi Bike уведомил своих пользователей о том, что их персональные данные были размещены в общем доступе в интернете и, теоретически (!), могли быть украдены злоумышленниками. Личная информация, включая имена, даты рождения, номера банковских карт, сроки их действия и секретные коды, содержалась в «журнале ошибок» (error log), который был опубликован на сайте Citi Bike 9 мая 2013 года. Об этом говорится в письме, разосланном велосипедистам администрацией сервиса 19 июля.

Помимо размеров штрафов, можно заметить и еще ряд существенных отличий.

Тюмень: количество пострадавших никого не волнует, равно как и их уведомление об инциденте, на взгляд, весьма существенном. Кто, куда, когда и с кем летал – тема более чем интимная. Никто не собирается извиняться перед пострадавшими.

Если посмотреть сообщения о других аналогичных инцидентах «у нас» и «у них», можно увидеть и массу других отличий. Наши суды в своих решениях о привлечении к ответственности никогда не заявляют о праве каждого пострадавшего обратиться с индивидуальным иском о компенсации ущерба и морального вреда. Никто не предлагает после этого потерпевшим оказание в этом помощи (потому как бесполезно). Органы, уполномоченные по защите прав субъектов, не выступают инициаторами исков в защиту интересов неопределенного (или определенного) круга лиц, чьи данные в результате недостаточных действий или бездействия оператора стали общедоступными.

Можно ли после этого говорить, что наш закон направлен на защиту интересов субъекта персональных данных?   

Вопросы риторические. Ответы все знают.

Но разницу все-таки надо почувствовать.

В частную жизнь нельзя вмешиваться. Но некоторые ее меняют на скидку

Очередной интересный перевод Евгения Бартова - статья Линды Мастхайлер «Privacy Double Standard: You Can Track Online But Not On Foot» натолкнул на ряд мыслей. Если коротко, суть статьи в том, что покупатели интернет-магазинов уже фактически смирились с отслеживанием их деятельности в сети и на конкретном сайте в частности, однако когда аналогичные действия пытаются выполнить владельцы обычных магазинов с полками и тележками, это вызывает резкое неприятие. Фиксация местоположения покупателя и времени нахождения рядом с каким-либо товаром (с использованием Wi-Fi) и реакция на этот товар (мимика лица, фиксируемая веб-камерой и анализируемая специальной программой) большинством граждан расценивается как недопустимое вмешательство в частную жизнь.

При этом факт ведения видеосъемки в общественных местах – на улицах, в магазинах, в метро, в банках или на территории предприятий давно никаких отрицательных эмоций не вызывают. В этом отношении примечательна много раз обсуждавшаяся ст.152.1 ГК РФ: «Обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи …) допускаются только с согласия этого гражданина. Такое согласие не требуется в случаях, когда … изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения…». Никаких ограничений на использование результатов видеосъемки без их обнародования здесь не просматривается.

Но речь в данном случае не об этом. Возмущение сходит на нет, если только что резко осуждавшееся «вмешательство в частную жизнь» сопровождается выдачей «печеньки». Дама, о которой упоминается в этой же статье, заявила, что «она была бы счастлива, если бы на ее телефон сразу приходил соответствующий скидочный купон». Т.е. задержался у витрины, вскинул бровями – и тут же скидка. Тем более, что технологии слежения развиваются быстро, и куда-то же их применять все равно надо.

Вот, например, англичане придумали «умные урны» RENEW ORB, фиксирующие и отслеживающие MAC-адреса мобильных устройств прохожих и вовсю их тестируют на улицах Лондона. А в московском метро появятся датчики, которые позволят следить за пассажирами при помощи считывания информации с SIM-карт, установленных в их мобильных телефонах, и станут частью интеллектуальной системы безопасности. В новосибирском метро решили пойти дальше и установить на станциях видеосистему, которая позволит распознавать лица людей из баз данных, например, находящихся в розыске. Слово «например» в этом сообщении для меня ключевое. Сразу вспоминается Отец Кабани из бессмертного «Трудно быть богом» братьев Стругацких: «Колючки от волков?! Это я, дурак, — от волков… Рудники, рудники оплетать этими колючками… Чтобы не бегали с рудников государственные преступники». Но как только появляется «печенька», все это может перестать иметь значение. По данным, полученным в ходе исследования компанией Infosys, потребители готовы делиться своими персональными данными, если получат в обмен понятные и прозрачные преимущества. Легче всего персональные данные своих потребителей получить докторам, банкирам и продавцам – 90%, 76% и 70% пользователей соответственно готовы предоставить дополнительную информацию, если это поможет им получить что-то взамен. Авторы публикации называют это «очень хорошим звоночком для всех компаний, которые тратят гигантские деньги на сбор и анализ данных о своих клиентах» и идут еще дальше, высказывая мысль, что 78% потребителей мечтают о том, чтобы реклама была должным образом таргетирована. Сделаем скидку на возможного заказчика исследования, но все равно… 

А вот и результат подобных выводов. Крупнейший американский оператор связи - компания AT&T объявила, что начнёт, подобно Verizon, Facebook и другим своим конкурентам (всем можно, а нам нельзя?), использовать данные пользователей в маркетинговых целях. В ближайшие недели компания планирует изменить политику приватности: она начнёт направлять пользователям рекламу, основываясь не только на том, какие приложения они используют, но и где, согласно данным GPS, они находятся. Как отказаться от такого сервиса, компания не сообщила.

Но я не думаю, что желающих отказаться или пожаловаться будет много. Особенно, если вместе с сообщением о ближайшем кинотеатре придет и скидочка процентов на 10 на билет. В таких условиях очень важно оставить пользователю возможность быстро и просто отказаться от подобного рода сервисов.

Кто имеет право знать наши тайны?

Весенняя сессия Государственной Думы в очередной раз расширила права органов власти получать информацию, доступ к которой ограничен федеральным законодательством, для осуществления своих функций и реализации возложенных полномочий.

Ситуация выглядит парадоксальной – в стране порядка пятидесяти видов различных тайн, установленных законами, но как только вопрос коснется полномочий того или иного властного института, оказывается, что для него получить скрываемые на законном основании сведения не составляет никакой проблемы. Да и ответственность за неправомерные действия с защищаемыми сведениями в большинстве случаев лишь декларируется, а на деле ограничивается почти не работающей статьей 13.14 КоАП «Разглашение информации с ограниченным доступом» со смешными по нынешним временам максимальными штрафами в 1000 рублей для граждан и 5000 рублей для должностных лиц, да статьей 81 ТК РФ, допускающей увольнение за такое однократное грубое нарушение трудовых обязанностей, как разглашение охраняемой законом тайны, в том числе разглашение персональных данных другого работника. Кстати это сразу вызывает вопрос о последствиях разглашения персональных данных не-работника, а, например, клиента. Это тоже охраняемая законом тайна, но зачем-то ведь работника отметили отдельно?

Ситуация с тайнами, доступом и ответственностью давно требует серьезной систематизации, осмысления и изменения нормативного регулирования, а пока несколько «заметок на полях законов».

В Рунете активно обсуждался Федеральный закон от 23.07.2013 № 205-ФЗ «О внесении изменений в отдельные законодательные акты РФ в связи с уточнением полномочий органов прокуратуры РФ по вопросам обработки персональных данных», наделяющий прокуратуру правами доступа к врачебной тайне без согласия субъекта и судебного решения, но лишь немногие обратили внимание на гораздо более серьезное изменение в законе «О прокуратуре», которое касается не только врачебной тайны, но вообще любых охраняемых законом сведений и наделяет надзорный орган правом получать необходимую для осуществления прокурорского надзора информацию, доступ к которой ограничен в соответствии с федеральными законами. То есть фактически – к любой! Есть там, правда, слова «в установленных законодательством Российской Федерации случаях», но проверка и надзор и есть установленные законом случаи. А вот знакомить гражданина с материалами проверки, затрагивающими его права и свободы, но содержащимисведения, составляющие охраняемую законом тайну, нельзя ни при каких обстоятельствах.

Обязательность представления тем или иным органам власти сведений, доступ к которым органичен законом, регулируется очень большим количеством актов, часто не соответствующих друг другу и противоречивых, и разобраться в них совсем не просто.

Например, в соответствии с законами «О рекламе» и «О защите конкуренции» коммерческие и некоммерческие организации обязаны представлять в антимонопольный орган по его мотивированному требованию в установленный срок информацию, составляющую коммерческую, служебную, иную охраняемую законом тайну. Слово «иную» означает так же, как и в случае с прокуратурой, фактически любую. А в случае отказа такая информация истребуется путем обязания ее предоставления судебным решением. Мотивированность же запроса – понятие относительное и не главное. 

Не захотел, к примеру, в 2007 году «Псковпищепром» предоставлять запрошенные Управлением ФАС по Псковской области сведения об объеме реализации алкогольной продукции и организациях, чья доля составляет на рынке более 10% от общего объема продаж, а суды в первой, апелляционной и кассационной инстанциях с ним не согласились, обязав представить сведения, составляющие на законном основании коммерческую тайну, в УФАС. В отношении мотивированности запроса Федеральный арбитражный суд Северо-Западного округа постановил, как отрезал: «По смыслу положений ст.1, 22, 23 и 25 ФЗ «О защите конкуренции», а также ст.6 ФЗ «О коммерческой тайне», степень конкретизации имеющих правовое значение критериев (мотив, цель, правовое основание запроса) как оценочная категория представляется юридически подчиненной общим задачам и целям соответствующего запроса, равно как и пределам полномочий антимонопольного органа». Чего там мотивировать…

Для многих будет, наверное, неожиданностью, что в отличие от антимонопольных органов права налоговиков на доступ к охраняемым законом сведениям очень ограничены. Если к банковской тайне, как я уже писал, теперь доступ у них фактически неограниченный, то с коммерческой тайной ситуация другая. При проверке налоговиками документов, связанных с исчислением и уплатой обязательных платежей, не являющихся налогами или сборами, пенями, штрафами, предусмотренными Налоговым кодексом, они могут получать необходимые объяснения, справки и сведения, за исключением сведений, составляющих коммерческую тайну, определяемую в установленном законодательством порядке. Т.е. тех, в отношении которых владельцем установлен режим коммерческой тайны.

Например, ООО «Баренц-Алко» при проведении налоговой проверки отказалось ознакомить налоговиков с результатами проведенного по их заказу маркетингового исследования рынка, которое посчитало составляющим коммерческую тайну. Налоговая инспекция требовать ознакомления не стала, а просто посчитала неправомерным отнесение стоимости исследования на расходы, т.к. в договоре на проведение работ отсутствовала цена, а акт выполнения работ и калькуляция не соответствовали требованиям закона «О бухгалтерском учете», и доначислила налоги. И суд кассационной инстанции с инспекцией согласился.

В соответствии с законом «Об организации страхового дела в Российской Федерации» Банк России, получивший функции надзорного органа в отношении субъектов страхового дела, тем не менее не вправе получать (во всяком случае, пока) от страховых компаний сведения, составляющие банковскую тайну.

А вот Агентство страхования вкладов вправе получать информацию, составляющую служебную, коммерческую и банковскую тайну банка, в отношении которого наступил страховой случай, необходимую для осуществления им функций, установленных законом «О страховании вкладов физических лиц в банках Российской Федерации».

Напоследок еще один забавный случай. Истребовала инспекция ФНС по Ленинскому административному округу Омска у местного филиала «Промсвязьбанка» информацию, которую банк посчитал составляющей банковскую тайну. Банк запрос удовлетворить отказался, ссылаясь на то, что запрос таких сведений требует особого подтверждения подлинности, а печать налоговики на письме не поставили.

Инспекция попыталась привлечь банк к административной ответственности за отказ в предоставлении информации, однако банк оспорил это в суде, и во всех трех инстанциях суды с банком согласились. Я, правда, до сих пор не понимаю, почему на письмо нельзя было поставить печать и не доводить рассмотрение этого сложного вопроса до окружного федерального арбитражного суда.

Ну, и рецепт. Читайте внимательно законы, особенно регламентирующие деятельность вашей конкретной организации. Может оказаться, что предоставлять информацию органу власти по его запросу вы не только не обязаны, но и получать такую информацию запрашивающий орган права не имеет.