Иногда ничего и комментировать не надо. Это две первые
страницы выдач по запросу «облако в законе» в Гугле (сверху) и Яндексе (снизу). Искал тут
иллюстрации для презентации по этой теме. Просто смотрите.
23 ноября 2015 г.
12 ноября 2015 г.
Впечатления о конференции «Защита персональных данных». Часть 2
Продолжаю вчерашний рассказ
о том, что показалось интересным на
конференции «Защита персональных данных». Как и вчера, в скобках – мои
соображения об услышанном.
Начальник управления
ФСТЭК России В.С. Лютиков начал свое выступление с совершенно неожиданного, на
мой взгляд, заявления о том, что ФСТЭК не является регулятором в области защиты
персональных данных, поскольку для этого нужны полномочия в положении о
ведомстве, а их там нет. ФСТЭК – регулятор по вопросам защиты информации вообще.
Вот так. После этого логичен вопрос, а кто же регулирует вопросы обеспечения
безопасности персональных данных. Был дан ответ и на него. Неожиданный.
Регулятором является … Роскомнадзор. Расспросить подробно, где это отражено, не
удалось – Виталий Сергеевич уехал до окончания работы секции.
Следующий важный
момент его выступления: в государственных информационных системах (ГИС) методы
и средства защиты информации в целом, и персональных данных, как части этой
информации, в частности, – одни и те же.
ФСТЭК не выделяет
контроль за защитой персональных данных из общего состава надзорных мероприятий
(видимо, поэтому отдельного плана проверок защиты персональных данных на сайте
ФСТЭК нет). Всего в 2014-2015 годах ведомство провело более 200 проверок, в
которых выявлено более 300 нарушений правил защиты информации (а это, если
помните, влечет административную ответственность по ст.13.12 КоАП). Рассмотрено
более 100 моделей угроз ГИС и технических заданий на федеральные информационные
системы.
В этой работе наиболее
важным службе представляется вопрос защиты от актуальных угроз информационной
безопасности, в 80% случаев есть нарушения реализации этого требования, и этот
уровень не снижается, причем это не связано с защитой от каких-то сложных типов
угроз или наличием у возможного нарушителя высокого потенциала и особых
возможностей. Чаще всего это угрозы хорошо известные и требующие усилий для их
нейтрализации. Особую озабоченность у надзорного органа вызывает использование
госзаказчиками операционных систем, снятых с технической поддержки вендорами, и
поэтому имеющих не устраняемые уязвимости.
В презентации В.С. Лютикова
были даны рекомендации по первоочередным мерам обеспечения безопасности (8
групп), их можно будет посмотреть в оригинале после размещения презентаций
выступавших на сайте конференции (обещают после 16 ноября).
А.Г. Бодров из 8
Центра ФСБ России сразу же подчеркнул, что в области защиты персональных данных
компетенции службы ограничиваются применением средств криптографической защиты.
Следующее заявление весьма насторожило зал: с 2016 года ФСБ не будет
согласовывать с прокуратурой проверки защиты персональных данных (видимо,
прокуратура, принимая это решение, исходила из того, что 294-ФЗ, вводящий такую
обязанность надзорного органа, регулирует вопросы проверок субъектов
предпринимательства, во всяком случае, на сайте прокуратуры сводный план
проверок озаглавлен именно как «Сводный
план проверок субъектов предпринимательства». ФСБ же, в соответствии со
ст.19 закона «О персональных данных», проверяет только защиту в ИСПДн,
являющихся государственными, на которые 294-ФЗ не распространяется).
Александр Геннадьевич
также сослался на часть 6 ст.13.12 КоАП как главное основание для привлечения к
ответственности нарушителей правил использования СКЗИ, но отметил, что число
наиболее распространенных нарушений – отличие применяемых СКЗИ от указанных в
сертификате соответствия, постепенно сходит на нет.
Как ни странно (мне,
во всяком случае), самое ходовое нарушение, выявляемое при проверках ФСБ, –
отсутствие в организации перечня лиц, которым необходим доступ к персональным
данным (странно – потому что создание такого перечня - азы при разработке
нормативной базы по персональным данным). Среди прочих выявляемых:
·
отсутствие
документального определения помещений для хранения персональных данных и
установки СКЗИ;
·
отсутствие
поэкземплярного учета СКЗИ;
·
невыполнение
требований эксплуатационной документации на средства криптографической защиты;
·
незадокументированные
уровни защищенности ИСПДн и классы СКЗИ или уровни-классы, установленные
неверно;
·
отсутствие
документов по выявлению актуальных угроз безопасности.
Представитель ФСБ
отметил фактическое игнорирование федеральными и исполнительными органами
власти требования части 5 ст.19 закона «О персональных данных» власти о
разработке и принятии нормативных правовых актов (НПА), определяющих актуальные
угрозы безопасности персональных данных при осуществлении соответствующих видов
деятельности с учетом содержания персональных данных, характера и способов их
обработки, выделив на общем фоне бездействия только Банк России, работающий в
этом направлении, а также органы власти некоторых субъектов Федерации. Он
обратил внимание на создание ведомством методического документа по разработке
таких нормативных правовых актов, который размещен на
сайте службы в разделе «Научно-техническое сотрудничество» (кстати, я
как-то пропустил бурное обсуждение профессиональным сообществом этого
документа. Или...?).
Операторам свои
модели угроз с ФСБ согласовывать не надо.
Еще раз выделены два
случая, в которых, по мнению ведомства, использование СКЗИ является наиболее
простым способом нейтрализации актуальных угроз – (1) передача персональных
данных по незащищенным каналам сети связи общего пользования и (2)
невозможность иным способом предотвратить несанкционированный доступ к ним при
хранении в информационных системах.
А.М. Сычев из ГУБЗИ
Банка России отметил, что создаваемая мегарегулятором модель угроз безопасности
будет распространена и на некредитные учреждения - страховые компании,
микрофинансовые организации, организаторов торгов и др. FinCERT
– дело сугубо добровольное, тянуть туда банки насильно никто не будет. «Письмо
шестерых» остается действующим документом, но актуальность его сильно снизилась.
Сейчас ЦБ не готов его пересматривать, сначала надо завершить работу по
созданию модели актуальных угроз, стандартизации для некредитных учреждений, а
потом можно будет вернуться и к письму.
Е.А. Войниканис, руководитель
направления департамента по взаимодействию с органами государственной власти
Ростелекома рассказал об интересной зарубежной практике регулирования
отношений, связанных с персональными данными, в том числе – их локализацией. К
сожалению, выступление не сопровождалось презентацией, и мне, если честно, было
сложно следить за мелькающими названия стан, правовых актов и пр. без их
визуализации на экране.
Три выступления были
от российских дата центров, одного – отечественного и двух – «дочек» зарубежных,
которые состояли из тезисов о счастье оператора после переноса в них обработки
персональных данных и не сопровождались хоть каким-то прояснением вопросов
обеспечения безопасности, моделирования угроз и выполнения требований нормативных
правовых актов к защите данных. Зарубежным ЦОДам вопросов задать возможности не
дали, а российскому пару задали, я, в том числе. Ответы были
стандартно-поразительными: «Спасибо! Отличный вопрос! Я переадресую его нашим
техническим специалистам, и они вам обязательно ответят». Правда, спросить,
куда надо отвечать, выступавшая не удосужилась. Кстати, когда я пресек попытки
начать выступления с рекламы ЦОДа и его услуг, маркетолог центра уложилась со
своей презентацией в 4 минуты вместо 15 отведенных. Господа, никогда не
присылайте на такие мероприятия меркетологов. Никогда! Будет только хуже.
Читатели и слушатели
знают о моем критическом отношении к выступлению зарубежных спикеров на
российских мероприятиях. К сожалению, после конференции оно не изменилось. Из
всего услышанного отмечу лишь сообщение советника Совета Европы Марии Микейледу
о том, что в новую редакцию ETS-108 войдет норма об обязательном уведомлении
оператором соответствующего национального органа о нарушении требований
безопасности при обработке персональных данных. Очень интересно.
Мероприятие
показалось мне полезным из-за возможности услышать из первых уст новости в
части регулирования. Очень хотелось бы видеть и слышать там законодателей (не с
приветствием, а с концептуальными положениями) и Минкомсвязи как уполномоченный
орган по выработке государственной
политики в области персональных данных – с изложением этой самой
политики.
Из недостатков отмечу
слишком короткое время на выступления – 10-15 минут. Модерировать с таким
интервалом очень сложно, вопросы задавать нет времени, да еще подсказчик-таймер
работал неправильно, смущая докладчиков.
В целом же
впечатление – позитивное.
11 ноября 2015 г.
Впечатления о конференции «Защита персональных данных». Часть 1
Вчера, 10 ноября,
прошла Международная конференция
«Защита персональных данных», организатором которой выступил Роскомнадзор,
– одно из немногих мероприятий, напрямую затрагивающих вопросы информационной
безопасности, и проводимое по инициативе органа государственной власти. Кроме
него, вспоминается лишь конференция ФСТЭК «Актуальные вопросы защиты информации»,
организуемая в рамках форума «Технологии безопасности», и магнитогорский форум
по информационной безопасности банковской сферы, но его инициатор – Банк России
– все-таки не орган власти.
Меня пригласили на
этой конференции модерировать секцию «Регулирование сферы информационной
безопасности в условиях новых вызовов и угроз», на которой присутствовали и
выступили представители всех регуляторов, кроме Минкомсвязи, а также ряда
коммерческих организаций.
На первом планарном
заседании, на которое я попасть смог лишь к самому концу, выступил с
приветствием руководитель Роскомнадзора А.А. Жаров, но я его, к сожалению, не
слышал. Судя по сегодняшним публикациям в СМИ, которых много, в выступлении прозвучали
совершенно конкретные тезисы: Twitter вновь возвращен в ряд
операторов персональных данных, и к нему вновь предъявляются требования о переносе
баз данных российских пользователей на территорию России, в плане проверок на
2016 год могут появиться иностранные компании, не присутствующие юридически в
нашей стране.
Секция, которую я модерировал, открылась выступлением начальника управления по защите прав субъектов персональных данных Роскомнадзора Ю.Е. Контемирова. Из интересного, коротко с моими комментариями:
Секция, которую я модерировал, открылась выступлением начальника управления по защите прав субъектов персональных данных Роскомнадзора Ю.Е. Контемирова. Из интересного, коротко с моими комментариями:
·
за
неполные 11 месяцев 2015 года проведено 805 проверок, 746 плановых и 58 –
внеплановых (так было на слайде), в ходе мероприятий систематического
наблюдения выявлено 1188 нарушений (похоже, этот вид контроля постепенно
становится главным в деятельности надзорного органа), выдано 613 предписаний об
устранении нарушений;
·
статистика
нарушений: 847 нарушений требований статьи 18.1 закона «О персональных данных»
(отсутствие политики в отношении обработки, в том числе на сайте, если он
используется для сбора персональных данных, и иных документов, предусмотренных
законом); 126 нарушений – обработка персональных данных без согласия субъекта и
несоответствие формы письменного согласия, установленной ст.9 закона; 113 нарушений
– обработка персональных данных после достижения установленных целей; 89 –
нарушение конфиденциальности персональных данных (не пояснялось, но, я так
понимаю, передача третьим лицам без согласия субъекта); всего лишь 67 –
неуведомление Роскомнадзора об обработке персональных данных (похоже, что-то в
тактике Роскомнадзора серьезно изменилось).
По оценке надзорного
органа, сейчас в стране от 5 до 7 млн. операторов (если считать с
индивидуальными предпринимателями и физлицами (адвокатами, нотариусами,
журналистами-фрилансерами и т.п. – похоже на правду).
Заявлено о
направленности контроля на ближайшую перспективу. В первую очередь, он будет
проводиться в отношении операторов, на которых поступает наибольшее количество
жалоб субъектов (коллекторам и организациям ЖКХ – не расслабляться!), и тех,
кто обрабатывает персональные данные большого количества субъектов (страховые
компании, банки и телекомы никогда из поля зрения надзора и не выходили, есть и
еще кандидаты по этому признаку, как я понимаю).
Созданы типовые
программы проведения проверок, что способствует выработке единых подходов к
организации проверок и их содержанию (по пресс-релизам надзорного органа и территориальных
управлений, особенно по результатам систематического наблюдения, это заметно,
мы давно в своих отчетах это отмечаем).
Выход из-под
регулирования 294-ФЗ при осуществлении контроля и надзора за соблюдением
законодательства о персональных данных не означает изменения сложившегося
порядка его проведения, менять работающие механизмы смысла нет, но появятся новые
формы контроля, будут совершенствоваться имеющиеся. Постановления Правительства
по этому поводу нет, Роскомнадзор при проверках руководствуется
Административным регламентом (как показали первые два месяца после 1 сентября,
ничего страшного и не страшного тоже не произошло, без закона и даже без постановления
можно, оказывается, спокойно жить). Но вот с прокуратурой план проверок на 2016
год уже согласовываться не будет (меня это очень смущает, не понятно, почему
так настойчиво Роскомнадзор дистанцируется от прокуратуры, надзирающей за
соблюдением прав и свобод граждан; видимо, сказывается привлечение прокурорами
к ответственности инспекторов Роскомнадзора за проведение внеплановых проверок
без оснований, предусмотренных 294-ФЗ).
Об уведомлении Роскомнадзора
о месте нахождения баз персональных данных. Минкомсвязи подготовило приказ о
внесении изменений в форму уведомления (я так понимаю, в Административный
регламент о ведении Реестра операторов персональных данных), который передан на
регистрацию в Минюст. А пока оператор может
в инициативном порядке уведомить об этом Роскомнадзор (территориальные
управления). После опубликования приказа операторам надо будет соотнести
содержание ранее поданного уведомления и представить дополнительные сведения. Такая
позиция мне не кажется вытекающей из закона. Когда в 2011 году, в связи с
изменением содержания уведомления, потребовалось представление новых сведений,
об этом было прямо указано в законе: «Операторы, которые осуществляли обработку
персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный
орган по защите прав субъектов персональных данных сведения, указанные в
пунктах 5, 7.1, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не
позднее 1 января 2013 года» - сейчас такого требования не выдвигается. Кроме
того, в соответствии с частью 7 ст.22, дополнительная информация
предоставляется в случае изменения сведений, указанных в части 3 этой статьи, в
течение 10 дней с даты возникновения таких изменений, а в предыдущих
уведомлениях этих сведений не было, значит, ничего не изменилось. Явный просчет
законодателей, но так написано в законе.
Ю.Е. Контемиров еще
раз обратил внимание на то, что в Реестр нарушителей операторы попадают
исключительно на основании вступившего в законную силу решения суда, и никак
иначе. С 1 сентября туда «залетело» более 100 сайтов, примерно 60
разблокированы поле устранения нарушений, к 40 сайтам доступ по-прежнему
ограничен.
Об остальных
выступлениях – в следующем посте. Анонсирую в чем-то сенсационную позицию ФСТЭК
России по данной тематике. Кому интересно – ждите.
29 октября 2015 г.
Новый обзор правоприменения законодательства о коммерческой тайне и ноу-хау
Консалтинговым агентством
«Емельянников, Попова и партнеры» подготовлен очередной обзор
правоприменительной практики, связанной с использованием информации, отнесенной
к коммерческой тайне или являющейся секретом производства. В обзоре проанализировано
более 90 кейсов – решений судов различных инстанций, публикаций в СМИ и на
интернет-ресурсах, включая и самые последние инциденты - вплоть до октября 2015
года.
На наш взгляд, обзор
интересен практикам, устанавливающим и поддерживающими режим коммерческой тайны,
обосновывающим руководству необходимость принятия мер, предусмотренных законом
или готовящимся к судебным спорам с работниками, в том числе бывшими,
конкурентами и контрагентами. Право у нас не прецедентное, но прецедент –
источник права!
Не лишним будет он и
для производителей и внедренцев DLP-систем, систем управления цифровыми
правами, контроля и архивирования электронной почты и прочих средств борьбы с
утечками и выявления инцидентов. Показ клиенту практических примеров, как такие
системы позволяют доказать правоту в суде, гораздо эффективнее эфемерных
расчетов зарплаты за время интернет-серфинга работника в поисках развлечений в
рабочее время.
В обзоре детально
рассматриваются дела, связанные с оспариванием работниками увольнения за
разглашение коммерческой тайны, в том числе анализируются вопросы принятия
судом доказательств разглашения, собранных работодателем.
Специально для
любителей ссылок на Конституцию и неприкосновенность личной жизни на рабочем
месте цитирую решения одного из судов по этому вопросу: «Ссылку истца на
нарушение ст. 23 Конституции РФ, ч. 2 ст. 55 ГПК РФ, суд считает
несостоятельной, поскольку информация была извлечена из компьютера,
установленного на рабочем месте истца, используемого для осуществления трудовой
функции».
А это – для сторонников
того, что при увольнении необходимо доказывание вины, объективной и
субъективной стороны дисциплинарного нарушения, из другого судебного решения: «Довод
апелляционной жалобы истца о том, что судом не установлено обстоятельство
наличия либо отсутствия ущерба, причиненного ответчику в результате действий
истца, несостоятелен, поскольку не имеет правового значения и не может повлечь
отмену постановленного по делу решения».
А вот еще из одного решения,
по поводу того, что собрать доказательства неправомерных действий работодатель
не может, и суд их не примет: «Комиссия во исполнения приказа генерального
директора провела проверку на предмет нарушения коммерческой тайны, установила,
что ААА имела доступ к служебной информации, охраняемой режимом коммерческой
тайны и допускала нарушения режима коммерческой тайны: многократно с
использованием персонального компьютера переписывала на личную флэш-карту 57
файлов, содержащих конфиденциальную информацию, также передала по электронной
почте третьим лицам информацию о планируемых у заказчика объемах работ и их
стоимости». Пользователи DLP-систем,
вам в помощь!
Рассматриваются
случаи привлечения к уголовной ответственности за неправомерное добывание информации,
составляющей коммерческую тайну, и ее разглашение лицами, которым сведения были
доверены или стали известны в связи с исполнением ими трудовых обязанностей, в
том числе дело об экономическом шпионаже, которое «связано с недобросовестной
конкуренцией без политической подоплеки», кража секретов производства для
предприятия на сопредельной территории и «сдача» работодателем своего
работника, укравшего секреты у клиента в ходе выполнения технического
обслуживания оборудования.
Несколько новых
случаев привлечения к уголовной ответственности бывших работников, которые
решили попользоваться коммерческими секретами на новом месте вопреки воле
обладателя. Это – для скептиков, считающих, что за воротами предприятия ничего
доказать уже нельзя. Можно. Там же – случаи применения штрафов в сотни тысяч
рублей по новой редакции ст.183 УК РФ.
Детально
анализируется арбитражная практика и споры в арбитражных судах, связанные с
восстановлением права, прекращением незаконного использования коммерческих
секретов, взысканием понесенных убытков, правомерностью отнесения информации к
коммерческой тайне и секретам производства, нарушением условий договоров о
конфиденциальности и содержанием таких договоров. Особое внимание уделено
вопросам оценкой судами полноты мер по установлению режима коммерческой тайны и
влияния этой оценки на решения, принимаемые судами. Изюминка на торте – спор о
действиях участника общества, голосовавшего за передачу коммерческих секретов
конкурирующей организации, принадлежащей … ему же.
Рассматриваются также решения нового органа – Суда по интеллектуальным правам –
по спорам, связанным с использованием секретов производства. Наиболее
интересны, на мой взгляд, решения по лицензионным договорам об использовании
секретов производства – как в пользу лицензиара, так и и в пользу лицензиата, а
также обстоятельства дел, послужившие причиной этих решений.
Анализируются решения
арбитражных судов, принятые при опротестовывании органами власти отказов обладателей
представить им информацию, составляющую коммерческую тайну.
В отдельный раздел обзора
выделены споры, связанные с предоставлением
информации, составляющей коммерческую тайну, акционерам и участникам общества.
Кроме судебных решений, в этом разделе рассматриваются позиции Конституционного
Суда Российской Федерации и Высшего арбитражного суда Российской Федерации по
данному вопросу. Одно из наиболее интересных решений из принятых в последнее
время – о правомерности предоставления участнику не только бухгалтерской
отчетности, но и полной копии баз данных бухгалтерского учета компьютерной
бухгалтерской программы 1С.
Обзор основан на
опубликованных судебных решениях, а также публикациях средств массовой
информации по рассматриваемой тематике, содержит гиперссылки на соответствующие
публикации.
В течение месяца
обзор будет доступен по спеццене. Обращаться, как обычно, по электронной почте mezp11@gmail.com или телефону +7 495 761-5865.
23 сентября 2015 г.
Один день из жизни консультанта
Языком молоть - это вам не мешки ворочать.
Добро пожаловать на экскурсию в чудный мир консультанта-бездельника. Один день
из жизни...
Подъем - 6.00. В 7.00 старт из Южнобутовска в
Северомосковск, в прокуратуру на помощь клиенту. 2 с гаком км в порядке
утренней зарядки рысью в полной выкладке - туфли, пиджак и портфель в качестве
горячо любимых на марш-бросках элементов снаряжения.
Час милых улыбок, трансфер в центр Москвы,
последовательные переговоры по часу с двумя клиентами, контрактование в устной
форме второго договора с имеющимся клиентом и договоренность с новым о
дальнейшей работе.
Трансфер (всегда - общественным транспортом и
пешком, Москва, пробки, пунктуальность) в Западномосковск, два семинар-вебинара
за 3 с гаком часа в качестве последнего мероприятия по сдаче проекта.
Трансфер в Южнобутовск. Финальное
редактирование и отправка презентации для партнерского выступления в четверг,
финальное редактирование, расчет тайминга на восьмичасовой семинар завтра.
Ужин, красное вино, 1 фильм.
Движение в сторону сна. Отправить
неотправленное, ответить на не отвеченное. Порадовать этим постиком в
мордокниге. Пока спать.
Подъем в 6.00, в 7.00 марш-бросок на 100 км
от Москвы, 8-ми часовой семинар, возвращение, подготовка к партнерской
конференции, ответы, отправки.
Жизнь бьет ключом. Консультанты снимают
деньги с клиентов, чтобы ответить на их вопрос, сколько сейчас времени.
16 сентября 2015 г.
Станут ли владельцы российских ЦОДов богаче и счастливее после 1 сентября
В журнале "ЦОДы.РФ" №12 за 2015 год
опубликована моя подробная статья «Станут ли владельцы российских ЦОДов богаче
и счастливее после 1 сентября».
Первого сентября вступили в силу поправки в
российское законодательство, вносимые самым обсуждаемым в этом, да и в прошлом
году законом – 242-ФЗ с привычно-длинным названием «О внесении изменений в
отдельные законодательные акты Российской Федерации в части уточнения порядка
обработки персональных данных в информационно-телекоммуникационных сетях».
Закон с легкой подачи СМИ получил звонкое название «О территориальности (или
локализации) баз персональных данных россиян», про него написаны террабайты
публикаций и мегабайты разъяснений, в том числе от уполномоченных и совершенно
не уполномоченных органов власти и должностных лиц, и тем не менее ясности, как
жить дальше, так и не наступило.
По-прежнему нет нормативных правовых актов и,
соответственно, однозначных ответов на вопросы, что переносить, а что можно
оставить за рубежом; как организуется обработка персональных данных в
соответствии с новыми требованиями; допустима ли и если да, то когда и в каких
целях трансграничная передача; законно ли использование прикладного
программного обеспечения иностранных вендоров, территориально расположенного за
рубежом, ЦОДов и облачных инфраструктур зарубежных провайдеров, если их
технические средства находятся вне территории России.
- Какие изменения внесены законом 242-ФЗ
- Кого изменения в законе затронут непосредственно
- Придут ли все эти операторы в российские ЦОДы
1 сентября 2015 г.
Комментарии к изменениям, вступившим в силу сегодня
Журнал «ПЛАС» опубликовал
мой комментарий. Ниже – полный его текст.
С сегодняшнего дня, 1
сентября, вступили в силу изменения законодательства о персональных данных,
которые коротко сводятся к трем основным нововведениям:
·
базы
персональных данных, в которых происходит первичная регистрация и актуализация
персональных данных российских граждан, должны находится на территории России,
но слова «только» в законе нет;
·
контроль
и надзор будет осуществляться не в соответствии с федеральным законом 294-ФЗ о
защите прав юридических лиц и индивидуальных предпринимателей, а на основании
отдельного постановления правительства;
·
появится
реестр нарушителей законодательства о персональных данных и механизм
блокирования доступа к любому сайту в сети интернет вне зависимости от того, в
чьей юрисдикции и на чьей территории он находится, если российский суд любой
инстанции, включая мировой и районный, посчитает, что работа с персональными
данными, например, их сбор или размещение, не соответствует российскому законодательству.
Несмотря на то, что
поправки к законам активно обсуждались в течение последнего времени на всех
уровнях, а озабоченность бизнеса их последствиями была донесена и до Президента
России, ясности того, что следует делать, и как новые нормы будут применяться,
к моменту вступления их в силу так и не появилось.
Единственное
исключение – ведение реестра нарушителей законодательства о персональных
данных. Механизм включения сайтов в реестр достаточно подробно прописан в законе,
по этому поводу принято специальное постановление правительства и два приказа
Роскомнадзора. Насколько механизм окажется действенным, можно будет судить
только после появления первых решений судов о блокировке. Отмечу лишь один
казус, создаваемый новшеством. Роскомнадзор получил право снимать блокировку по
своему усмотрению, при наличии действующего судебного решения об ограничении
доступа к ресурсу.
В отношении системы
контроля и надзора пока полная неопределенность. Закон 294-ФЗ проверки
обработки персональных данных теперь не регулирует, постановление правительства
по этому поводу подготовить к установленному сроку не успели (проект при
обсуждении вызвал массовую и обоснованную критику), действующим остается только
административный регламент Роскомнадзора, из которого совсем недавно были
исключены наиболее важные основания для внеплановых проверок - жалобы
субъектов, обращения органов власти и СМИ.
И самая большая
проблема, конечно, с организацией переноса обработки персональных данных на
территорию России. Необходимо отметить, что в законе, устанавливающем
требование об обязанности оператора при сборе персональных данных, в том числе посредством сети
Интернет, обеспечить их запись, систематизацию, накопление, хранение, уточнение
(обновление, изменение), извлечение персональных данных граждан РФ с
использованием баз данных, находящихся
на территории РФ, слова «только» нет.
Не вносятся изменения
и в порядок трансграничной передачи данных. Многочисленные и противоречивые
комментарии законодателей, регуляторов (Минкомсвязи) и органов надзора
(Роскомнадзор) говорят о том, что нет ясности и у них. О степени растерянности
говорит и комментарий Минкомсвязи, в котором обосновывается допустимость
прямого использования зарубежных систем бронирования авиабилетов без их
локализации, со ссылками на конвенции 1929, 1944 и 1961 годов, в которых нет ни
слова о бронировании, интернете и персональных данных. Допустимость бронирования
билета Москва–Новосибирск на зарубежном ресурсе выглядит более чем странно, но
вполне объяснима – иначе придется останавливать все перелеты, глобальной
российской системы бронирования попросту нет.
У меня четкое
впечатление от общения с нашими заказчиками – все затаились и ждут первых последствий
правоприменения. В зависимости от того, как будет развиваться ситуация, будут
приниматься решения, в том числе и о локализации обработки персональных данных
или закрытии бизнеса в России. Отмечу лишь, что несмотря на все громкие
заявления, проверить находящиеся вне российской юрисдикции Facebook и
Twitter невозможно. А вот заблокировать доступ к ним
на территории России можно. Но это будет уже совсем другая история.
28 августа 2015 г.
И еще раз про персональные данные россиян после 1 сентября, теперь - в зарубежных облачных сервисах
До 1 сентября, после которого
большое количество операторов оказывается в совершенно новых условиях работы с
персональными данными, осталось совсем немного. Несмотря на то, что на эту тему
я уже писал неоднократно (например, здесь и здесь), мы завалены вопросами по
телефону, почте, скайпу, фейсбуку на эту тему. Поэтому остановлюсь на тех нововведениях
закона, которые волнуют наибольшее количество компаний.
Начну с понятий, что же такое
персональные данные, и кто является оператором этих данных. Пункт 1 статьи 3
Закона о персональных данных определяет персональные данные как любую
информацию, относящуюся к прямо или косвенно определенному или определяемому
физическому лицу (субъекту персональных данных). Данное определение является
весьма неопределенным и допускает сколь угодно широкое его толкование. При
таком определении к персональным данным могут быть отнесены практически любые
сведения о физическом лице, независимо от того, возможна ли его однозначная
идентификация (установление личности) с использованием указанных сведений или
нет. Эта проблема определения основных понятий достаточно глубоко анализируется
в вышедшем в этом году Научно-практическом комментарии к закону «О персональных
данных» под редакцией заместителя руководителя Роскомнадзора А.А.Приезжевой.
Оператор – это государственный
орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или
совместно с другими лицами организующие и (или) осуществляющие обработку
персональных данных, а также определяющие цели обработки персональных данных,
состав персональных данных, подлежащих обработке, действия (операции),
совершаемые с персональными данными. Ключевыми в этом определении являются
слова об определении целей обработки, состава обрабатываемых данных и действий,
совершаемых с ними.
Хотелось бы акцентировать внимание на
поправках в закон «О персональных данных», касающихся размещения баз
персональных данных российских граждан в период их сбора на территории
Российской Федерации:
·
ограничения
на размещение баз персональных данных вводятся на период сбора персональных
данных и не затрагивают их последующей обработки после завершения сбора, кроме
ряда конкретных способов обработки;
·
ограничения
касаются только персональных данных граждан Российской Федерации и не касаются персональных
данных граждан других государств и лиц без гражданства;
·
ограничения
вводятся только на 9 из 18 способов обработки, установленных частью 3 статьи 3
закона «О персональных данных» (сбор, запись, систематизация, накопление,
хранение, уточнение, обновление, изменение, извлечение) и не ограничивают
расположением баз данных на территории России такие действия с персональными
данными как использование, передача, распространение, предоставление, доступ,
обезличивание, блокирование, удаление, уничтожение.
Последний вывод
означает, что после завершения сбора персональных данных они должны находиться (храниться)
в базах данных на территории Российской Федерации, при этом изменения в данные
(в том числе, уточнения и обновления) должны вноситься также в базы данных на
территории Российской Федерации.
При этом указанное требование не накладывает
никаких ограничений на передачу персональных данных после их сбора и записи в
базу данных на территории России, в том числе – на трансграничную передачу,
предоставление к ним доступа с территории иных государств, а также на
использование персональных данных граждан Российской Федерации после их
трансграничной передачи, в том числе – на использование данных из
информационных систем, находящихся за пределами Российской Федерации. Закон в новой
редакции не устанавливает новых, дополнительных ограничений на трансграничную
передачу персональных данных, не вводит запрет на обработку персональных
данных в дата-центрах и облачных инфраструктурах, находящихся вне
территории Российской Федерации, за исключением периода их сбора.
Российская Федерация законом от 19.12.2005 №
160-ФЗ ратифицировала Конвенцию Совета Европы о защите физических лиц при
автоматизированной обработке персональных данных (ETS № 108). Ратификационная
грамота принята Советом Европы 15.05.2013, и с 01.09.2013 вступили в силу
обязательства Российской Федерации, обусловленные данной конвенцией. В
соответствии с частью 2 статьи 12 «Передача персональных данных через границы и
национальное право» Европейской конвенции, сторона конвенции не будет запрещать
или ставить под специальный контроль информационные потоки персональных данных,
идущие на территорию другой Стороны, исходя исключительно из соображений защиты
неприкосновенности личной сферы.
Часть
1 статьи 12 закона «О персональных данных» устанавливает, что трансграничная
передача персональных данных на территории иностранных государств, являющихся
сторонами Европейской конвенции, а также иных иностранных государств,
обеспечивающих адекватную защиту прав субъектов персональных данных,
осуществляется в соответствии с настоящим Федеральным законом и может быть
запрещена или ограничена лишь в целях защиты основ конституционного строя
Российской Федерации, нравственности, здоровья, прав и законных интересов
граждан, обеспечения обороны страны и безопасности государства.
Иностранными
государствами, обеспечивающими адекватную защиту прав субъектов персональных
данных, в соответствии с частями 1 и 2 статьи 12 закона «О персональных данных»,
помимо государств-сторон Европейской конвенции, являются страны, включенные в
утверждаемый Роскомнадзором перечень иностранных государств, не являющихся
сторонами Европейской конвенции.
Вместе с тем, надо отметить, что актуализация
всех ранее собранных персональных данных (их обновление, изменение, уточнение)
первоначально также должна производиться в базах данных на территории
Российской Федерации, и эти базы на территории России всегда должны содержать
все актуальные персональные данные, используемые оператором и полученные или
актуализированные им в период времени, начиная с 1 сентября 2015 года. Таким
образом, после 1 сентября 2015 года российский оператор для использования при
обработке персональных данных облачных сервисов, серверы которых расположены за
пределами Российской Федерации, должен принять дополнительные меры, в
частности, базу персональных данных, предназначенную для их первичного сбора,
записи и накопления, а также последующей актуализации (уточнения, обновления,
изменения) разместить на территории Российской Федерации и постоянно хранить обрабатываемые
персональные данные в такой базе. При этом возможным является последующее
копирование (перенос) этих данных на сервера за пределами Российской Федерации.
База данных – пока
категория не определенная. Согласно
разъяснениям на сайте Минкомсвязи, можно
предположить, что в качестве базы данных надзорные органы готовы рассматривать,
в том числе хранилища бумажных документов, не говоря уже о файлах офисного
формата и сканах документов.
Если принятие указанных выше дополнительных
мер не может быть реализовано соответствующим российским оператором, то в
качестве возможных сценариев организации обработки персональных данных,
размещенных в дата-центрах и облачных инфраструктурах, находящихся вне
территории Российской Федерации, могут быть рассмотрены следующие:
1. Размещение данных, предварительно прошедших
процедуру обезличивания, при условии, что их де-обезличивание реализуется
только на территории Российской Федерации. При выполнении процедуры
обезличивания целесообразно руководствоваться требованиями приказа
Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по
обезличиванию персональных данных», обязательного к исполнению для операторов,
являющихся государственными или муниципальными органами. В этом случае
операторы, не являющиеся государственными или муниципальными органами, при
обосновании правомерности, разумности и достаточности выбранного способа
обезличивания, могут ссылаться на требования, установленные в нормативном акте
уполномоченного федерального органа исполнительной власти.
2.
Размещение
персональных данных в зашифрованном виде при условии, что их расшифрование
осуществляется только на территории Российской Федерации. Для шифрования должны использоваться
сертифицированные средства криптографической защиты, поскольку в данном случае
шифрование выполняется с целью нейтрализации актуальной угрозы безопасности
персональным данным, связанной с возможностью несанкционированного доступа к
ним неавторизованного персонала дата-центра или облачного провайдера.
Такие
варианты не должны рассматриваться как размещение персональных данных за
рубежом, поскольку они не соотносятся с определяемым в такой системе субъектом
и, собственно, персональными данными не являются.
После 1 сентября 2015
года оператор, осуществляющий сбор персональных данных российских граждан с
использованием баз данных, находящихся не на территории Российской Федерации,
может быть привлечен к административной ответственности по основаниям,
предусмотренным статьей 13.11 КоАП (размер штрафа для юридических лиц
составляет от 5 до 10 тысяч рублей), поскольку невыполнение требования о месте
нахождения баз персональных данных при их сборе является прямым нарушением
вступающей в силу нормы закона «О персональных данных», которая определяет
новый порядок сбора персональных данных с 1 сентября 2015 года.
Кроме того, после 1
сентября 2015 года, в соответствии с изменениями в закон «Об информации,
информационных технологиях и о защите информации», может быть ограничен
(фактически – заблокирован) доступ пользователей с территории Российской
Федерации к сайту (странице сайта) в сети интернет, на котором персональные
данные обрабатываются с нарушениями требований российского законодательства.
Данная мера может быть принята, в том числе и в отношении сайтов, размещенных за
пределами Российской Федерации, и сайтов, владельцы которых находятся вне
юрисдикции Российской Федерации.
21 августа 2015 г.
Принято Постановление Правительства о реестре нарушителей прав субъектов персональных данных
Информируем о принятом
Правительством РФ Постановлении от 19.08.2015 №857 «Об автоматизированной информационной
системе «Реестр нарушителей прав субъектов персональных данных».
Постановление опубликовано: http://publication.pravo.gov.ru/Document/View/0001201508200028
Комментарий «Коммерсанта»: http://www.kommersant.ru/doc/2792453
Также на днях была опубликована информация о регистрации в Минюсте
приказов Роскомнадзора по этому же вопросу:
В ближайшее время ожидается принятие Правительством РФ
Постановления «Об утверждении Положения о государственном контроле и надзоре за
соответствием обработки персональных данных требованиям законодательства
Российской Федерации».
На вебинаре 25 августа мы рассмотрим и свежепринятые
документы.
Подробнее о вебинаре:
11 августа 2015 г.
Для каких операторов персональных данных 1 сентября станет днем перемен
Есть не совсем корректное мнение, что изменения
законодательства о персональных данных, вступающие в силу с 1 сентября,
касаются только иностранных и международных компаний, работающих в России или
предоставляющих сервисы россиянам. Это не то, чтобы не совсем так. Это совсем
не так.
На предстоящем 25 августа вебинаре, проводимом Учебным центром «Информзащита», мы подробно разберемся с этим вопросом, а пока некие предварительные оценки.
Всех операторов, на деятельности которых скажутся
законодательные нововведения, можно разделить на несколько групп в зависимости
от того, какие именно последствия для них имеют вступающие в силу нормы и какие
действия им надо предпринять для обеспечения соответствия законодательству.
Первая
группа включает абсолютно всех российских операторов
персональных данных, как подавших уведомление и включенных в Реестр Роскомнадзора,
так и не посчитавших для себя обязательным или целесообразным это сделать.
Всех, потому что с 1 сентября 2015 года контроль за обработкой персональных
данных выводится из-под регулирования Федеральным законом № 294-ФЗ «О защите
прав юридических лиц и индивидуальных предпринимателей при осуществлении
государственного контроля (надзора) и муниципального контроля» и будет
регламентироваться не законом, а специальным постановлением Правительства, принятие
которого ожидается в ближайшее время, а также «Административным регламентом
исполнения
Роскомнадзором государственной функции по осуществлению государственного контроля
(надзора) за соответствием обработки персональных данных требованиям
законодательства Российской Федерации», в который также, будут внесены
изменения, но, видимо, несколько позже.
Ситуация
с проверками меняется довольно серьезно. Об этом мы
подробно поговорим на вебинаре, рассмотрев попутно и порядок ограничения
доступа к сайтам нарушителей обработки персональных данных в интернете. И
поговорить будет о чем. Отсутствие необходимости согласования большинства
проверок с прокуратурой, систематическое наблюдение, привлечение экспертов и,
самое важное, возможность выдвижения требования надзорным органом о прекращении
обработки персональных данных до приведения ее в соответствие с законом
ситуацию меняют кардинально. Ау, банки, страховые компании, операторы связи,
медицинские и образовательные учреждения – как вы себе представляете
прекращение для своих организаций обработки персональных данных и его
последствия
Следующая
группа операторов включает тех, кого коснутся изменения,
требующие размещения баз персональных данных в период их сбора, а также с целью
актуализации, на территории Российской Федерации. Их можно разделить на пять
подгрупп:
1)
органы
власти всех уровней, государственные и муниципальные учреждения и предприятия;
2)
российские
компании, которые сегодня хостят свои системы в зарубежных дата-центрах или
облачных инфраструктурах (таких, как Amazon EC2, Google Apps, Microsoft Azure и
т.п.), по экономическим или иным соображениям, в том числе – из-за качества
предоставляемых сервисов;
3)
российские
компании, использующие приложения и базы данных зарубежных провайдеров по схеме
SaaS, например, такие, как SalesForce, Microsoft Dynamics CRM, Oracle Database
Cloud Service;
4)
зарубежные,
международные, транснациональные компании, имеющие дочерние компании или
представительства в России, использующие, как правило, централизованные
информационные системы, такие, как ERP, CRM, кадрового и бухгалтерского учета и
т.п., дислоцирующиеся где-то за рубежом;
5)
зарубежные
компании, не присутствующие в России, но чьими услугами пользуются россияне –
социальные сети (Facebook, Twitter
и т.п.), крупнейшие интернет-магазины и аукционы (Alibaba,
Amazon, eBay и др.), системы бронирования всего, чего угодно (Sabre, Amadeus,
Galileo, Booking.com,
Hotels.сом и др). Хотя они находятся вне российской юрисдикции,
механизм блокирования доступа к ресурсам в сети интернет ставит их перед
выбором – подчиниться закону и перенести часть ресурсов в Россию, или принять риск
возможного прекращения бизнеса в нашей стране.
Возможные варианты
поведения всех этих операторов мы рассмотрим в разделе вебинара, который
называется «Организация обработки
персональных данных после 1 сентября российскими, международными и иностранными
компаниями, ведущими деятельность на территории России».
Теперь ответы на наиболее часто задаваемые вопросы в связи с проведением
вебинара. Вебинар платный. Его продолжительность – 4 часа, программа - здесь. Проводить его буду я.
Полчаса в конце отведу на вопросы-ответы. Количество мест ограничено (Учебный
центр бронирует общее количество подключений к сервису вебинара).
Зарегистрироваться можно здесь и лучше заранее. Когда и где будет проходить еще раз, и будет ли он – пока не знаю,
работы много.
До встречи!
6 августа 2015 г.
О комментариях Минкомсвязи к 242-ФЗ
Retail & Loyalty опубликовал мои комментарии к разъяснениям Минкомсвязи относительно обработки персональных данных после 1 сентября 2015 года в связи с вступлением в силу поправок в закон о персональных данных, внесенных 242-ФЗ. Ниже – полный текст ответов на поставленные вопросы.
Вопрос: Многое ли проясняют или меняют разъяснения Минкомсвязи, размещенные на сайте ведомства?
Ответ: Они очень важны, поскольку именно Минкомсвязи является ведомством, отвечающим за выработку государственной политики и государственное регулирование в сфере обработки персональных данных. Однако, учитывая, что ранее оно практически этими вопросами никак не занималось, а Роскомнадзор параллельно дает свои разъяснения, не всегда совпадающие с министерскими, ситуация не очень проясняется. Сейчас очень важно, будет ли Роскомнадзор в своей деятельности следовать мнению Минкомсвязи или будет проводить свою линию.
Вопрос: Справедливо ли наше понимание, что, согласно разъяснениям:
- системам бронирования авиабилетов ничего не угрожает, и их не коснется перенос данных, и ничего, как пугали многие, в этой сфере не «остановится»?
Ответ: Разъяснения Минкомсвязи в отношении бронирования авиабилетов говорят о том, что принято решение сложившуюся ситуацию не ломать, а действовать постепенно, и это очень хорошо. Однако справедливости ради надо отметить, что в документах, в том числе международных конвенциях, на которые ссылается Минкомсвязи, ничего не говорится о глобальных системах бронирования и их территориальном размещение. К примеру, совершенно не понятно, почему на бронирование билетов российской компании, выполняющей рейс из Москвы в Новосибирск, требования закона о территориальности не распространяется ,а на интернет-магазин в Китае – распространяется.
- системам типа PayPal, а также интернет-магазинам типа AliExpress, JD.com и eBay также не придется вкладываться в перенос данных, и сфера трансграничного e-commerce не пострадает?
Ответ: А вот этих выводов в разъяснении Минкомсвязи нет, более того, руководство Роскомнадзора постоянно сообщает об успешных переговорах, в том числе и с владельцами указанных Вами сервисов, о переносе их баз данных в Россию. Правда, достоверных подтверждений таких переносов пока нет. Не исключено, ситуация будет развиваться по пессимистическому прогнозу – новые требования будут применяться избирательно к участникам рынка, и какие-то звери в лесу строго по Оруэллу окажутся равны больше, чем остальные.
Вопрос: Применяется ли закон экстерриториально, и должны ли те лица (в том числе, нерезиденты РФ), которым операторы или непосредственно сами субъекты ПД (граждане РФ) направляют ПД, на законных основаниях также обрабатывать их на территории РФ?
Ответ: Несмотря на данное по этому поводу министерством разъяснение, в комментариях различных должностных лиц и разъяснениях Роскомнадзора неоднократно подчеркивалось, что законодательство будет применятся к иностранным компаниям, не присутствующим в России, но деятельность которых направлена на российских граждан и даже давалось определение признаков такой направленности (доменная зона, сайт на русском языке, расчеты в рублях). В основном для них с 1 сентября вводится механизм блокирования доступа к сайтам в случае необеспечения размещения баз для первичного сбора персональных данных на территории России. Но и здесь пока полно противоречий. Министр связи Н. Никифоров высказал мнение, что Twitter, например, под действие закона не подпадает. А вот Facebook настойчиво убеждается в необходимости переноса данных россиян в российский сегмент. Как и Alibaba и Amazon.
Вопрос: Никому не придется переносить данные, внесенные в зарубежные системы до момента вступления закона в силу?
Ответ: Здесь все практически единодушны: несмотря на отсутствие нормы о распространение требований нового законодательства на ранее возникшие правоотношения, не переносить данные можно только до вноса в базу данных хотя бы одной новой записи или актуализации ранее внесенных. А с этого момента база за пределами России находится вне закона.
Вопрос: Какие еще интересные моменты проясняют данные разъяснения Минкомсвязи?
Ответ: Я лучше отвечу от противного: в них не содержится ответов на то, как они повлияют на правоприменительную практику. И это плохо. Но уполномоченный госорган выразил свою позицию, которой можно следовать в своей деятельности, и ссылаться на мнение ведомства, наделенного соответствующими функциями, в том числе при проверках и в суде. И это хорошо.
Вопрос: Многое ли проясняют или меняют разъяснения Минкомсвязи, размещенные на сайте ведомства?
Ответ: Они очень важны, поскольку именно Минкомсвязи является ведомством, отвечающим за выработку государственной политики и государственное регулирование в сфере обработки персональных данных. Однако, учитывая, что ранее оно практически этими вопросами никак не занималось, а Роскомнадзор параллельно дает свои разъяснения, не всегда совпадающие с министерскими, ситуация не очень проясняется. Сейчас очень важно, будет ли Роскомнадзор в своей деятельности следовать мнению Минкомсвязи или будет проводить свою линию.
Вопрос: Справедливо ли наше понимание, что, согласно разъяснениям:
- системам бронирования авиабилетов ничего не угрожает, и их не коснется перенос данных, и ничего, как пугали многие, в этой сфере не «остановится»?
Ответ: Разъяснения Минкомсвязи в отношении бронирования авиабилетов говорят о том, что принято решение сложившуюся ситуацию не ломать, а действовать постепенно, и это очень хорошо. Однако справедливости ради надо отметить, что в документах, в том числе международных конвенциях, на которые ссылается Минкомсвязи, ничего не говорится о глобальных системах бронирования и их территориальном размещение. К примеру, совершенно не понятно, почему на бронирование билетов российской компании, выполняющей рейс из Москвы в Новосибирск, требования закона о территориальности не распространяется ,а на интернет-магазин в Китае – распространяется.
- системам типа PayPal, а также интернет-магазинам типа AliExpress, JD.com и eBay также не придется вкладываться в перенос данных, и сфера трансграничного e-commerce не пострадает?
Ответ: А вот этих выводов в разъяснении Минкомсвязи нет, более того, руководство Роскомнадзора постоянно сообщает об успешных переговорах, в том числе и с владельцами указанных Вами сервисов, о переносе их баз данных в Россию. Правда, достоверных подтверждений таких переносов пока нет. Не исключено, ситуация будет развиваться по пессимистическому прогнозу – новые требования будут применяться избирательно к участникам рынка, и какие-то звери в лесу строго по Оруэллу окажутся равны больше, чем остальные.
Вопрос: Применяется ли закон экстерриториально, и должны ли те лица (в том числе, нерезиденты РФ), которым операторы или непосредственно сами субъекты ПД (граждане РФ) направляют ПД, на законных основаниях также обрабатывать их на территории РФ?
Ответ: Несмотря на данное по этому поводу министерством разъяснение, в комментариях различных должностных лиц и разъяснениях Роскомнадзора неоднократно подчеркивалось, что законодательство будет применятся к иностранным компаниям, не присутствующим в России, но деятельность которых направлена на российских граждан и даже давалось определение признаков такой направленности (доменная зона, сайт на русском языке, расчеты в рублях). В основном для них с 1 сентября вводится механизм блокирования доступа к сайтам в случае необеспечения размещения баз для первичного сбора персональных данных на территории России. Но и здесь пока полно противоречий. Министр связи Н. Никифоров высказал мнение, что Twitter, например, под действие закона не подпадает. А вот Facebook настойчиво убеждается в необходимости переноса данных россиян в российский сегмент. Как и Alibaba и Amazon.
Вопрос: Никому не придется переносить данные, внесенные в зарубежные системы до момента вступления закона в силу?
Ответ: Здесь все практически единодушны: несмотря на отсутствие нормы о распространение требований нового законодательства на ранее возникшие правоотношения, не переносить данные можно только до вноса в базу данных хотя бы одной новой записи или актуализации ранее внесенных. А с этого момента база за пределами России находится вне закона.
Вопрос: Какие еще интересные моменты проясняют данные разъяснения Минкомсвязи?
Ответ: Я лучше отвечу от противного: в них не содержится ответов на то, как они повлияют на правоприменительную практику. И это плохо. Но уполномоченный госорган выразил свою позицию, которой можно следовать в своей деятельности, и ссылаться на мнение ведомства, наделенного соответствующими функциями, в том числе при проверках и в суде. И это хорошо.
3 августа 2015 г.
Персональные данные после 1 сентября. Разберемся?
Итак, до 1 сентября,
когда произойдут значительные перемены в системе работы с персональными
данными, осталось меньше месяца.
Напомню, что с этой
даты:
·
базы
персональных данных, в которых происходит первичная регистрация и актуализация
персональных данных российских граждан, должны находится на территории России,
но слова «только» в законе нет;
·
контроль
и надзор будет осуществляться не в соответствии с федеральным законом 294-ФЗ, а
на основании отдельного постановления правительства, которого пока нет, и
административного регламента, который есть только у Роскомнадзора (вопросы
персональных данных могут проверять минимум пять ведомств с особенностями для
каждого);
·
появится
реестр нарушителей и механизм блокирования доступа к любому сайту в сети
интернет вне зависимости от того, в чьей юрисдикции и на чьей территории он
находится, если российский суд любой инстанции, включая мировой и районный,
посчитает, что работа с персональными данными, например, их сбор или
размещение, не соответствует российскому закону.
Эти новые нормы
законодательства создают новые условия деятельности абсолютно для всех
компаний, работающих с персональными данными россиян или деятельность которых
направлена на Россию (появился теперь и такой термин, чтобы попасть под это определение,
достаточно иметь сайт на русском языке в любой доменной зоне, даже если перевод
делается роботом).
Мы выделили четыре группы
операторов, для которых закон меняет ситуацию радикально, и которые простыми
решениями не отделаются:
·
российские
компании, хостившие свои сайты за рубежом, исходя из экономических или каких-то
иных соображений;
·
российские
компании, использовавшие зарубежный софт по схеме SaaS
(софт
как услуга) (помимо очевидных CRM, ERP, глобальных
систем бронирования всего чего угодно и прочего сюда попадают многочисленные
облачные хранилища, раздаваемые провайдерами и вендорами направо и налево, в
том числе – бесплатно);
·
иностранные
и международные компании с присутствием в России, использующие
многотерриториальные информационные системы, распределенные по всему миру –
кадровые, бухгалтерские, CRM и т.п.;
·
иностранные
и международные компании, не присутствующие в России (не имеющие дочек и
представительств), но активно работающие с россиянами – интернет-магазины,
социальные сети, те же системы бронирования, платежные системы, и прочее.
Жить, как раньше, они смогут, если только
регуляторы закроют на них глаза и сделают вид, что их нет. Кому-то это удастся,
наверное. Но кому-то – точно нет.
Для тех, кто не хочет ждать милостей от природы
надзора, 25 августа мы вместе с Учебным центром «Информзащита» проведем вебинар
«Персональные данные россиян после 1
сентября 2015 года».
В течение 4 часов мы детально разберемся с нововведениями, его участники узнают
о позициях и мнениях различных ведомств, изложенных в ответах на направленные
им запросы, постатейном комментарии Роскомнадзора к закону о персональных
данных, на специально созданных ресурсах в сети интернет, мы проанализируем два
постановления правительства, принятые по этому поводу (или проекты этих
постановлений, если до 25 августа их еще не примут), ведомственные приказы, и рассмотрим
различные сценарии действий российских и зарубежных компаний, желающих
соответствовать закону.
Мы поговорим о мифах, активно распространяемых в связи с вступлением в силу изменений законодательства компаниями, желающими срочно заработать на этом деньги, и пристально взглянем на принципиально новую систему контроля и надзора в области персональных данных.
Регистрируйтесь,
кому интересно. Обещаю, скучно и академично не будет. Но будет глубоко и
подробно. Наше агентство выполнило немало проектов, реализующих предлагаемую
нами стратегию поведения в новых условиях. Так что теоретизировать не будем.
Только практика. Только факты.
Подписаться на:
Сообщения (Atom)