Коммерческая тайна: «слона-то я и не приметил»

Пишу сегодня. Завтра посчитают за первоапрельскую шутку. А дела-то нешуточные. Событие, о котором – ниже, вызвало вялые комментарии коллег, которые сводились к мысли «редакцию поменяли, а так все по-старому». А вот и нет.

12 марта президент подписал Федеральный закон № 35-Ф3 с привычным в последнее время по стилю названием «О внесении изменений в части Первую, Вторую и Четвертую Гражданского кодекса Российской Федерации и отдельные законодательные акты Российской Федерации». Закон вступает в силу в большей своей части с 1 октября этого года и касается весьма серьезных изменений, связанных с регулированием отношений в области интеллектуальной собственности. Из всех изменений (в Word’е у меня получилось 48 листов 9-м кеглем) давайте посмотрим только на то, что связано с коммерческой тайной и секретами производства.

Кто помнит, с 1 января 2008 года вступили в силу Четвертая часть ГК РФ и новая редакция 98-ФЗ «О коммерческой тайне». Два акта предлагали нам порешать школьную задачку про тождество. В ГК не было «информации, составляющей коммерческую тайну», но зато «секрет производства» был приравнен к «ноу-хау». В новой редакции закона о коммерческой тайне вообще не упоминался ноу-хау, но зато тождественны были понятия информации, составляющая коммерческую тайну и секрет производства. В обоих случаях вывод о тождественности делался, исходя из того, что один термин указывался в скобках вслед за другим: «секрет производства (ноу-хау)» – в п.12 ст.1225 ГК РФ, «информация, составляющая коммерческую тайну (секрет производства)» – в п.2 ст.3 98-ФЗ. Их этого мы, как казалось, обоснованно, делали вывод:

секрет производства = ноу-хау = информация, составляющая коммерческую тайну.

Определения этих терминов в законе и кодексе были идентичными, несмотря на размер, позволю себе процитировать: «сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны». При этом ст.1465 в Четвертой части ГК была единственной, где упоминался режим коммерческой тайны.

Опять-таки, исходя из этого, специалисты, во всяком случае, все те, с кем я этот вопрос обсуждал, исходили из того, что коммерческие секреты, как их не назови, можно было защищать, только установив в отношении них режим коммерческой тайны, включая нанесение на все материальные носители одиозного грифа. С этой позиции судами различной юрисдикции и инстанций рассматривались споры, связанные с коммерческим секретами, при этом путаница с терминологией не мешала единой позиции судов: нет режима КТ – нет защиты исключительного права обладателя информации.

А теперь – внимание! Следим за рукой. Из новой редакции 98-ФЗ исчезло упоминание о секрете производства. Больше его в законе нет. Часть 1 ст.1 предусматривает теперь возможность установления, изменения и прекращения режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам. Бросаемся к тексту ст.1465 новой редакции ГК и читаем, что сведения являются секретом производства, если их обладатель принимает разумные меры для соблюдения их конфиденциальности, в том числе путем введения режима коммерческой тайны. После принятия новой редакции логичным стала утрата силы ст.2 98-ФЗ, и теперь Гражданский кодекс больше не регулирует отношения, связанные с коммерческой тайной.

И еще нюансик (дьявол в деталях!). В определении секрета производства в ГК исчезли слова «в том числе», а в определении информации, составляющей коммерческую тайну, в 98-ФЗ – остались.

Из этого делаю выводы, которые, пока не пришел к иному выводу, склонен рассматривать как весьма не утешительные.

Тождество разрушено. Секрет производства и ноу-хау – не обязательно информация, составляющая коммерческую тайну (ИКТ), но могут стать такими, если в отношении них ввести режим. Но их же можно защищать и иначе, без режима (т.е. без трудовых и гражданско-правовых договоров, учета получивших доступ, перечня ИКТ и не нанося гриф на носители), но обеспечивая конфиденциальность. Как – обладатель решает сам. Вопрос защиты возникающего при этом имущественного (исключительного) права решается судом без анализа выполнения режимных мер, но, как представляется, исходя из их разумности и достаточности. А вот в отношении ИКТ, не являющейся секретом производства или ноу-хау, исключительного права у обладателя вроде бы теперь не возникает, потому как к результатам интеллектуальной деятельности отнесены только секреты и ноу-хау. Однако в 98-ФЗ появилась новая статья 6.1, описывающая права обладателя ИКТ без использования термина «исключительное право», но по содержанию почти полностью совпадающие с исключительными, определенными ст. 1229 ГК. Почти – потому что для обладателя ИКТ в законе не предусмотрена возможность распоряжения исключительным правом, как в ГК, а есть только право « в порядке, не противоречащем законодательству.

Формально теперь нет возможности передавать ИКТ третьим лицам по лицензионным договорам (ст1469 ГК), договорам коммерческой концессии и отчуждения исключительного права на секрет производства (ст.1468 ГК). Да и право «использовать для собственных нужд» как-то настораживает.

И еще. ИКТ – не только «сведения любого характера (производственные, технические, экономические, организационные и другие) о результатах интеллектуальной деятельности в научно-технической сфере и о способах осуществления профессиональной деятельности» (так теперь в ГК), но и сведения любого характера еще о чем-то, а о чем – в законе не написано.

Появившаяся у работника обязанность возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей, как-то плохо согласуется с трудовым правом. Убытки, по ГК, - это в том числе и упущенная выгода, а по ТК она взысканию с работника не подлежит, возмещается только прямой действительный ущерб. Тем более, что новая норма в отношении руководителя прямо предусматривает, что взыскиваемые с него убытки определяются в соответствии с гражданским, а не трудовым законодательством.

В очередной раз задумываешься о целях таких изменений закона. И постичь не можешь. Только начала практика правоприменения налаживаться…

А пока, в ожидании этой самой новой практики, буду клиентам советовать относить всё к секретам производства и устанавливать в отношении этих секретов режим коммерческой тайны. От греха подальше…

Законодательство о персональных данных: что нового

В недавнем посте я уже писал, как много изменений происходит в законодательстве и практике правоприменения в сфере персональных данных. На этой неделе в Учебном центре «Информзащита» я в очередной раз проводил курс «Защита персональных данных», которому скоро исполнится семь лет. И, как положено ответственному преподавателю, перед проведением занятий актуализировал материал в связи с происходящими изменениями. Различного рода изменений оказалось совсем немало. В этом посте – о некоторых из них.

Почти незаметно и как-то без особого обсуждения специалистами в интернете в законах «О персональных данных», «О прокуратуре Российской Федерации» и «Об основах охраны здоровья граждан в Российской Федерации» появились новые нормы, дающие представителям прокуратуры практически неограниченные права доступа к персональным данным, а заодно к любой другой информации, охраняемой законом.

Выглядит соответствующее изменение в законе о прокуратуре следующим образом «Органы прокуратуры в связи с осуществлением ими в соответствии с настоящим Федеральным законом прокурорского надзора вправе получать в установленных законодательством Российской Федерации случаях доступ к необходимой им для осуществления прокурорского надзора информации, доступ к которой ограничен в соответствии с федеральными законами, в том числе осуществлять обработку персональных данных». Изменения в законе о персональных данных почему-то коснулись не оснований для обработки этой категории сведений, а только специальных категорий – дополнение внесено в часть 2 статьи 10 закона.

Аналогично, без согласия субъекта, прокурорам предоставлены права доступа к информации, составляющей врачебную тайну (в законе «Об основах охраны здоровья граждан в Российской Федерации». Таким образом, теперь любая российская организация, получив запрос прокуратуры со ссылкой в нем на проводимое надзорное мероприятие, обязано предоставить все данные о любом гражданине, включая сведения о состоянии его здоровья, политических и религиозных убеждениях, наличии судимости и другие (если они известны адресату запроса). А вот к сведениям, составляющим банковскую тайну, у работников прокуратуры пока такого простого доступа нет.

Интересные изменения произошли с обработкой персональных данных москвичей при оказании им государственных и муниципальных услуг. В соответствии с законом от 05.04.2013 № 43-ФЗ с длинным названием «Об особенностях регулирования отдельных правоотношений в связи с присоединением к субъекту Российской Федерации - городу федерального значения Москве территорий и о внесении изменений в отдельные законодательные акты Российской Федерации», теперь правила оказания таких услуг и порядок обработки персональных данных, необходимых для этого, регулируются не законами «О персональных данных» и «Об организации предоставления государственных и муниципальных услуг», а этим новым законом. Законы о персональных данных и о предоставлении госуслуг действуют в Москве в части, не противоречащей 43-ФЗ. Высокая честь оказана москвичам – жить по особым правилам.

Заодно было устранено имевшееся противоречие между указанными выше двумя законами в части обработки персональных данных без согласия субъекта для регистрации на всех порталах государственных и муниципальных услуг, а не только на едином, как было раньше в 152-ФЗ.

К негосударственным пенсионным фондам и операторам связи, которые не обязаны получать согласия субъектов на передачу персональных данных в целях исполнения заключенного с ними договора прибавились наймодатели жилых помещений, управляющие организации, иные юридические лица или индивидуальные предприниматели, которым вносится плата за жилое помещение и коммунальные услуги. В соответствии с введенной Федеральным законом от 28.12.2013 № 417-ФЗ новой частью 16 статьи 155 «Жилищного кодекса», эти лица для осуществления расчетов с нанимателями и собственниками жилых помещений и взимания платы за них и коммунальные услуги могут привлекать своих представителей и передавать им необходимые для этого персональные данные без согласия субъектов.

31 января вступило в силу изданное Банком России Положение от 25.10.2013 года № 408-П «О порядке оценки соответствия квалификационным требованиям и требованиям к деловой репутации лиц, указанных в статье 111 Федерального закона «О банках и банковской деятельности» и статье 60 Федерального закона «О Центральном банке Российской Федерации (Банке России)», и порядке ведения базы данных, предусмотренной статьей 75 Федерального закона «О Центральном банке Российской Федерации (Банке России)», которое 26 декабря прошлого года зарегистрировано Минюстом. 

Положение, в частности, устанавливает формы анкет учредителей и кандидатов на руководящие должности банков, в которых среди прочего предусмотрено указание сведений о наличии судимости и иных оснований для признания деловой репутации неудовлетворительной (всего 9 оснований для учредителей и 13 – для руководителей), сведений о родственниках и иных персональных данных. Руководитель банка (единоличный исполнительный орган), члены совета директоров (наблюдательного совета) и кандидаты на такие должности не позднее 60 дней со дня вступления в силу Положения должны письменно уведомить кредитную организацию об их соответствии (несоответствии) квалификационным требованиям и (или) требованиям к деловой репутации, а банки не позднее 90 дней - направить эти уведомления в уполномоченное структурное подразделение центрального аппарата Банка России или территориальные учреждения Банка России, осуществляющие надзор за деятельностью кредитных организаций (филиала). Есть там немало и других интересных новшеств, касающихся обработки персональных данных.

Обо всех этих и других изменениях я буду рассказывать в очередной раз на курсах «Защита персональных данных» в Учебном центре «Информзащита» 14-15 апреля, а вот для представителей банков актуализированный семинар «Сложные проблемы применения законодательства о персональных данных в кредитно-финансовых учреждениях» пройдет в НП «БизнесШколаКонсультант» уже 25 марта. 

Оказывается, есть тайны и для мегарегулятора

Помните, я недавно рассказывал про судебные споры Банка России как преемника ФСФР с операторами связи по поводу детализации переговоров?

Как и ожидалось, дело получило продолжение. Мария Ковригина на Право.Ру довольно подробно рассказала про рассмотрение кассации Банка России на решение 9 Апелляционного арбитражного суда в Федеральном арбитражном суде Московского округа о признании незаконным привлечение оператора к административной ответственности за отказ предоставить детализацию телефонных переговоров.

Поскольку мотивировочная часть решения пока не опубликована, будем исходить из описания процесса на Право.Ру.

Банк России в кассационной жалобе и в ходе ее рассмотрения никаких новых аргументов не выдвинул, за исключением пары исторических заявлений о том, что Банку решения суда не нужны, поскольку он не занимается оперативно-разыскной деятельностью, а запрашиваемые им сведения, даже если и являются охраняемой законом тайной, все равно должны быть ему представлены. Основная проблема при осуществления надзора сегодня заключается в том, что решение на доступ к тайне связи может дать только суд и только субъектам оперативно-разыскной деятельности, каковым Банк России не является, а право на получение тайны связи в законе об инсайде ограничивается информацией о почтовых переводах денежных средств.

Замоскворецкий суд в доступе надзорному органу к детализации телефонных переговоров логично отказал, и ФСФР пошла самым простым путем – истребовала ее у оператора без решения суда. Между тем закон об инсайде предполагает совсем другую схему действий (часть 7 ст.14): «В случае, если для предотвращения, выявления и пресечения неправомерного использования инсайдерской информации и (или) манипулирования рынком требуется проведение оперативно-розыскных мероприятий, Банк России обращается в органы внутренних дел в установленном законодательством Российской Федерации порядке». Этот вариант Центробанк почему-то не устроил.

Не найдя новых оснований для пересмотра решения, коллегия ФАС МО решение 9 ААС оставила без изменений, а в удовлетворении кассационной жалобы отказала. Ждем обращения Банка России в Высший арбитражный суд?

Интересно, что совершенно аналогичная история с привлечением к ответственности «Мегафона» развивается по прямо противоположному сценарию. Апелляционный суд принял признал привлечение «Мегафона» к ответственности правомерным. Решение было принято несмотря на то, что коллегия 9 ААС указала, что «поскольку затребованная в п.4 Предписания детализация счета составляет тайну телефонных переговоров и могла быть передана не иначе как на основании решения суда, которое ФСФР России не предоставлено, судебная коллегия считает, что требования Предписания о предоставлении данных сведений незаконны». Дело в том, что оператор задержал ответ ФСФР на шесть дней, что и явилось основанием для принятия судами именно таких решений.

Я уже много раз писал (например, здесь), что добиться защиты своих прав в суде при рассмотрении вопросов, связанных с охраняемой законом тайной можно лишь при скрупулезном и точном выполнении требований закона. Малейшее нарушение может стать основанием для отрицательного решения.

Подавалась ли «Мегафоном» кассационная жалоба, пока не известно.

Большие персональные данные

Проблема соответствия требованиям по обработке персональных данных и обеспечению их безопасности у нас в стране потихоньку становится стандартной проблемой больших данных. В смежном законодательстве принимается большое количество документов, в той или иной степени затрагивающих сферу персональных данных, и нередко из названия документа невозможно понять, что он затрагивает данную тему, и уж тем более – относятся ли регламентируемые в нем нормы к деятельности конкретного оператора персональных данных. Масла в огонь добавляет практика правоприменения, меняющаяся день ото дня, и весьма значительно. Ну, и наконец, для того, чтобы понимать, к чему готовиться, надо мониторить и проекты законов, и иных нормативных правовых актов. Даже в больших компаниях и организациях роскошь выделять для этих целей специалистов мало кто может себе позволить.

Именно поэтому наше агентство по просьбе клиентов, ставших регулярными подписчиками, силами своей аналитической группы вот уже два года готовит ежемесячные отчеты об изменениях в законодательстве о персональных данных и практике его правоприменения. Отчет состоит из рубрицированных новостей, касающихся персональных данных, которым предшествует их краткое изложение, позволяющее не читать весь документ, а посмотреть по гиперссылке только то, что заинтересовало. Проблема такая есть. В февральском отчете – 155 листов, из которых почти 120 – систематизированные публикации. Новости группируются по девяти разделам:

·         Новые нормативные правовые акты в области персональных данных;

·         Законодательные инициативы в области персональных данных;

·         Судебная практика применения законодательства о персональных данных;

·         Деятельность Роскомнадзора, связанная с обеспечением выполнения требований законодательства о персональных данных;

·         Прокурорский надзор;

·         Деятельность иных федеральных служб, затрагивающая вопросы обработки персональных данных;

·         Нарушения прав субъектов персональных данных;

·         Совершение преступлений с использованием персональных данных;

·         Использование новых технологий, связанных с обработкой персональных данных.

Итак, совсем коротко, что произошло в феврале на фронтах борьбы за права граждан на частную жизнь, личную и семейную тайну?

Минюст опубликовал «Доклад о результатах мониторинга правоприменения в Российской Федерации за 2012 год» (очень вовремя), в котором есть раздел «Персональные данные». Минюст пришел к выводу, что 152-ФЗ надо совершенствовать, гармонизировать с другими (в первую очередь – с КоАП). Министерством «выявлена необходимость установления правил обработки персональных данных в таких сферах, как банковская, страхования, осуществление оперативно-разыскной деятельности и иных». Вот так. Поэтому планируется организовать работу Минкомсвязи России, Минюста России, ФСБ России и ФСТЭК России по подготовке проекта федерального закона, направленного на устранение выявленных проблем. Еще одна рабочая группа?

В соответствии с Федеральным законом от 03.02.2014 № 12-ФЗ, теперь если иностранные банки захотят открыть свое представительство в России, их руководителям и заместителям необходимо будет написать свои биографии и предоставить рекомендательные письма. Банк России сможет работать с такими персональными данными в установленном российским законодательством порядке.

В соответствии с Постановлением Правительством РФ от 10.02.2014 № 94 с 1 января 2015 года в электронных носителях загранпаспортов россиян появятся изображения папиллярных узоров двух пальцев рук владельца.

Тяжелый удар ждет любителей поиграть с результатами спортивных соревнований. Постановлением Правительства от 27.01.2014 № 60 предусматривается обязанность  букмекерских контор и тотализаторов вести базы данных участников азартных игр, от которых принимаются ставки на официальные спортивные соревнования, в которую заносятся ФИО игрока, реквизиты его паспорта, даты приема ставки и выплаты выигрыша, их размеры. Учетные записи хранятся не менее 5 лет со дня их внесения в базу данных с соблюдением требований законодательства о персональных данных и по состоянию на конец года в электронном виде представляются в ФНС России в течение 30 дней по окончании отчетного года. Налоги с выигрышей должны платить все!

Минюст зарегистрировал приказ трех ведомств о признании утратившим силу их же приказа от 13.02.2008 № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных». Прощайте, типовые ИСПДн 1-го класса. И еще раз здравствуйте уровни защищенности.

Утвержденный ФСТЭК России 11.02.2014 Методический документ «Меры защиты информации в государственных информационных системах» по решению оператора персональных данных может применяться для обеспечения безопасности ИСПДн.

Новости, размещенные в разделе, сопровождаются комментариями СМИ, интернет-порталов и блогеров.

Традиционно большой раздел посвящен проектам новых документов и предполагаемым изменениям в действующих актах. Самое интересное, конечно, проект изменений ст.13.11 КоАП, о котором много говорят в последнее время на всех уровнях. Но есть еще и принятая в первом чтении инициатива депутатов Госдумы по обязательному раскрытию банками неограниченному кругу лиц информации о профессиональной квалификации и деловом опыте руководителей кредитных организаций и предложение от фракции ЛДПР ко второму чтению: пойти еще дальше и раскрывать информацию не только о руководителях, но и о родственных связях среди руководящих лиц. Кроме того, рассматривается антитеррористический пакет из трех законов, каждый из которых так или иначе затрагивает права и свободы граждан и обработку их персональных данных. Одна предполагаемая обязанность блогеров уведомлять о своем существовании Роскомнадзор и 3 месяца хранить все комментарии к публикации чего стоит.

А вот премьер-министр  поручил руководителям Минюста, ФССП и Минкомсвязи России подготовить предложения по переводу бумажного документооборота в электронную форму, в том числе решить вопросы доставки электронных судебных документов, а также идентификации должника в электронных исполнительных документах. Планируется внести изменения в Уголовно-процессуальный кодекс, Гражданский и Арбитражный процессуальный кодексы, КоАП РФ. Предполагается, что граждане будут получать уведомления, касающиеся вынесенных судебных актов, а в дальнейшем и сами документы в электронном виде при помощи государственной электронной почтовой системы, созданием которой сейчас занимается Минкомсвязи. Готовимся.

Банк России опубликовал проект поправок, расширяющих перечень должностей в ЦБ, при работе на которых служащие Банка России, а также лица, претендующие на эти посты, обязаны раскрывать информацию о доходах и имуществе (включая супруга и несовершеннолетних детей).

Весьма интересна инициатива Национального совета финансового рынка (НСФР) о возможности получения банками раз в квартал информации о доходах граждан от ФНС и ПФР с закреплением этого права на уровне закона.

Депутаты из комитета по финансовому рынку и комитета по экономической политике, инновационному развитию и предпринимательству готовят законопроект, предлагающий включить в реестры сведения о лицах, занимающихся бизнесом (ЕГРЮЛ и ЕГРИП), информацию о наличии у них непогашенной судимости за преступления в сфере экономики, а также об их участии в работе компаний-банкротов.

ФМС намерена создать реестр утерянных удостоверений личности россиян. В базе должны будут учитываться утраченные, незаконно приобретенные или изготовленные паспорта и другие удостоверения личности (!). Банки, госорганы и должностные лица смогут получать доступ к реестру, чтобы предотвратить незаконные сделки с чужим удостоверением личности - открытие счетов, выдачу кредитов, регистрацию и удостоверение сделок с недвижимым и ценным движимым имуществом. В базе будут указаны ФИО человека, дата и место его рождения, причина признания паспорта недействительным. ФМС, которая будет вести эту базу, считает, что закон о персональных данных при этом не нарушается.

Есть еще новости от Минкульта (для захода на торрент будет нужен паспорт), Департамента транспорта Москвы («доски позора» для зайцев транспорте и любителей припарковаться посреди дороги). И из-за рубежа – от Организации экономического сотрудничества и развития (Единый глобальный стандарт автоматического обмена информацией о финансовых счетах) и Европейской Комиссии (восемь принципов защиты персональных данных).

И новости также с комментариями, оценками, суждениями.

Практика правоприменения. Два весьма и весьма интересных судебных решения о том, что списки должников ЖКХ и детализация счетов абонентов оператора связи составляют коммерческую тайну даже без анализа содержания принятых режимных мер. Арбитражные суды и их судьи нервно курят в сторонке. Очередной судебный иск к компании МТС, оперативно заблокировавшей симку уехавшего за рубеж и выдавших новую кому-то, кто за три часа перевел 240 тысяч со счета владельца в облака.

Привлечение к ответственности за рассылку безадресной смс-рекламы QIWI, таксопарка, турагентства, оценщиков транспортных средств и недвижимости как нарушения законов «О рекламе» и «О персональных данных».

Одно из первых сообщений о новой инициативе Роскомнадзора - систематическом наблюдении по выявлению нарушений законодательства РФ в сфере персональных данных в сети Интернет на сайтах финансово-кредитных организаций и выкристаллизовавшаяся позиция – если персданные собираются через веб-сайт, на нем должна быть размещена политика в отношении обработки персональных данных и сведения о реализуемых требованиях к их защите.

Снова о недопустимости включения в анкеты соискателей сведений о судимости и родственниках.

Жесткая позиция прокуратуры, потребовавшей возбуждения уголовного дела по ст.137 (лишение свободы на срок до 4-х лет) в отношении и.о. главврача психбольницы, подписавшего с банком договор о начислении зарплаты персоналу на платежные карты без согласия работников. И позиция прокуратуры в отношении передачи коллекторам персональных данных должников.

Опять персональные данные на бумажных носителях, в том числе сканы паспортов, в мусорных баках в центре срезу двух российских региональных центров и детальный анализ мошенничеств с использованием этих самых копий.

Исследования вопросов соблюдения конфиденциальности, в том числе – персональных данных, от InfoWatch и HeadHunter.

Это и многое другое – про преступления, двойников в сети «ВКонтакте», технологии, электронные паспорта и новые способы идентификации в сети.

Все это – в одном месячном обзоре. Вы готовы разбираться в этом сами? Молодцы! Нет? Тогда обращайтесь.

Тайна связи и российские суды: теперь про детализацию переговоров

В прошлом блоге неделю назад я писал, что надзорная деятельность ФСФР затронула и сотовых операторов, но ввиду ограничений сего жанра тему не развил. А она тоже весьма интересна.

Итак, в феврале 2013 года ФСФР обратилась к МТС и «Вымпелкому» с просьбой предоставить информацию о телефонных переговорах некоторых абонентов, а также копии договоров и анкет клиентов. Операторы предоставили информацию «в рамках законодательства», т. е. без детализации звонков (кто, кому, когда, сколько раз, откуда и с какого конкретного телефона звонил). В апреле газета «Ведомости» сообщила, что Служба (ФСФР) подготовила предложения об изменениях в закон об оперативно-разыскной деятельности (ОРД) и передала его в правительство, поскольку субъекты ОРД делиться закрытой информацией с надзорным органом желанием не горели, а без нее инсайдера никак не поймать.

Что там с изменениями в закон, пока не ясно, а пока - суд да дело, ФСФР выписала МТС штраф (кто читал прошлый пост, сразу догадается) в 500 тысяч рублей за отказ предоставить без решения суда детализацию счетов абонента и информацию об идентификационных номерах абонентских устройств (IMEI) его телефонов, а МТС, естественно, обратилась в арбитражный суд. Судья Арбитражного суда г. Москвы проигнорировала позицию Конституционного Суда, изложенную в определении от 02.10.2003 № 345-О, и привлечение к ответственности признала правомерным.

Конституционный Суд еще в 2003 году, рассматривая запрос Советского районного суда города Липецка о допустимости предоставления детализации переговоров без решения суда Федеральной службе налоговой полиции (была такая когда-то), высказался однозначно: «Содержащаяся в ч.4 ст.32 ФЗ от 16.02.1995 года "О связи" и сохраненная в ФЗ от 07.07.2003 года "О связи" (ч.3 ст.63) норма, согласно которой получение сведений о телефонных переговорах допускается на основании судебного решения, является специальной, конкретизирующей и обеспечивающей действие статей 23 (часть 2) и 24 (часть 1) Конституции Российской Федерации применительно к вопросам сохранения тайны связи». То есть без решения суда – никак.

Конституционный Суд счел нужным разъяснить вопрос детально: «информацией, составляющей охраняемую Конституцией РФ и действующими на территории РФ законами тайну телефонных переговоров, считаются любые сведения, передаваемые, сохраняемые и устанавливаемые с помощью телефонной аппаратуры, включая данные о входящих и исходящих сигналах соединения телефонных аппаратов конкретных пользователей связи; для доступа к указанным сведениям органам, осуществляющим оперативно-розыскную деятельность, необходимо получение судебного решения». То есть детализация – тайна, решения суда нужно, и неопределенность в соответствии этой нормы Конституции напрочь отсутствует. Напомню, определение Конституционного Суда окончательно и обжалованию не подлежит.

Конституционный Суд не учел богатства фантазии наших судей, и фраза «осуществляющим оперативно-розыскную деятельность» оказалась для МТС роковой. Судья С.М. Андриянова в решении от 12 июля 2013 г.

по делу № А40-56142/2013 прямо так и написала: «Правовые позиции, изложенные в определениях Конституционного Суда РФ от 02.10.2003 № 345-О, от 21.10.2008 № 528-О-О касаются исключительно действий органов, осуществляющих оперативно-розыскную деятельность». То есть субъектом ОРД доступ к тайне надо давать по решению суда, а остальным интересующимся – просто так, по их запросу, поскольку в специальном законе говорится о доступе к охраняемой законом тайне.

Судья пошла даже дальше, указав, что информация, относительно абонентских номеров не относится к информации, составляющей тайну телефонных переговоров абонента, поскольку абонентские номера принадлежат операторам сотовой связи и выделены по договору для использования абонентами, следовательно, установление фактов использования абонентских номеров относится исключительном к информации о деятельности оператора сотовой связи. Судья посчитала, ФСФР России имеет право запрашивать информацию, имеющую непосредственное отношение к проведению проверки, в том числе детализацию счетов абонента и IMEI. Норма закона об инсайде, допускающая получение надзорным органом из всего многообразия сведений, составляющих тайну связи, исключительно информации о почтовых переводах денежных средств, была полностью проигнорирована.

При такой позиции суда в удовлетворении заявления МТС было, естественно, отказано.

МТС обратилась с жалобой на такое решение в 9 Арбитражный апелляционный суд, который Постановлением от 15.11.2013 решение суда первой инстанции отменил, основываясь все на той же позиции Конституционного суда, которую судья МГАС посчитала неприменимой, поскольку ФСФР (а теперь Банк России) – не субъект ОРД. Суд второй инстанции подчеркнул, что «решения Конституционного Суда РФ обязательны на всей территории РФ для всех представительных, исполнительных и судебных органов государственной власти, органов местного самоуправления, предприятий, учреждений, организаций, должностных лиц, граждан и их объединений. Это требование, по смыслу названного Федерального конституционного закона распространяется на все решения Конституционного Суда РФ, независимо от того, в какой форме они выносятся, то есть не только на постановления, но и на определения и заключения».

Судебная коллегия посчитала, что истребованная детализация счета конкретного абонента-физического лица и IMEI составляют тайну телефонных переговоров, поскольку к ней относятся не только сведения, содержащиеся в телефонном соединении (разговоре), но и данные о таких соединениях между конкретными абонентами (дате, времени, продолжительности), а также любые иные сведения передаваемые, сохраняемые и устанавливаемые с помощью аппаратуры связи.

Обратил внимание апелляционный суд и на ограничение сведений, составляющих тайну связи и подлежащих представлению надзорному органу, которое проигнорировала судья при первом рассмотрении, напомнив, что допускается представление только информации о почтовых переводах денежных средств, что не исключает необходимость получения решения суда для доступа к иной тайне связи, в том числе тайне телефонных переговоров.

В мотивировочной части решения суд конкретно указал, что «ни один федеральный закон не позволяет ФСФР России без судебного решения ограничивать права физических лиц на тайну телефонных переговоров посредством получения Детализации счета и IMEI», а в материалах дела имеется ответ Минкомсвязи России на запрос ОАО «МТС», из которого усматривается, что детализация счетов конкретного абонента и данные об идентификационных номерах его абонентских устройств (IMEI, IMSI) относятся к охраняемой Конституцией тайне телефонных переговоров, а за нарушение тайны связи статьей 138 УК РФ предусмотрена уголовная ответственность.

Особо надо выделить позицию суда, в соответствии с которой отсутствие у ФСФР России данных о детализации счета конкретного абонента – физического лица и IMEI не влечет невозможность привлечения виновных лиц к ответственности, предусмотренной ст. 185.3 УК РФ (манипулирование рынком), поскольку детализация счета и IMEI могут быть получены на основании судебного решения в ходе оперативно-разыскных мероприятий, проводимых в целях выявления и раскрытия предусмотренных ст. 185.3 УК РФ преступлений, а также установления виновных лиц.

Вот и сказке конец. На этот раз, на мой взгляд – счастливый, основанный на верховенстве закона. Вот только согласится ли с ним Банк России? Отведенные на обжалование два месяца уже истекли.

Тайна связи, электронная почта и российские суды

Одним из самых интересных вопросов в области информационной безопасности во второй половине прошлого года, на мой взгляд, стал вопрос о том, что такое тайна и оператор связи в современном мире и в России в частности.

Вопрос родился из исков операторов мобильной связи и интернет-компаний, оспаривающих правомерность наложения на них штрафов ФСФР и ее преемником, Банком России, за отказ предоставить детализацию переговоров и электронной переписки лиц, подозреваемых в неправомерном использовании инсайдерской информации и манипулировании рынком. С такими исками в прошлом году в суд обращались операторы большой тройки – МТС и Мегафон, владельцы социальной сети «В Контакте» и публичных почтовых сервисов Mail.ru и Рамблер.

Суды закончились совершенно с разными результатами и довольно неожиданно.

Итак, в мае 2013 года ООО «Рамблер Интернет Холдинг» и в июне 2013 года ООО «ВКонтакте» подали иски в арбитражные суды соответственно г. Москвы, г. Санкт-Петербурга и Ленинградской области о признании незаконным привлечение компаний к административной ответственности за отказ предоставить сведения о пользователях почтового сервиса и социальной сети, подозреваемых в инсайде.

В рамках камеральной проверки возможного неправомерного использования инсайдерской информации и манипулирования рынком акций ОАО Концерн «КАЛИНА» ФСФР потребовало от ООО «В Контакте» в течение семи рабочих дней предоставить справку, содержащую все сведения (за исключением пароля), указанные при регистрации личной страницы в социальной сети «В Контакте» (vk.com) пользователем, идентифицируемым следующими данными: id72670996, Маша Иванова, а также дату регистрации пользователя, список IP-адресов, с которых в период с 01.03.2012 по 16.05.2012 осуществлялся вход на личную страницу пользователя, с указанием даты и времени начала и окончания сессии с учетом используемого IP-адреса. Ссылаясь на отсутствие санкции суда и нарушение тайны связи, владельцы социальной сети информацию представить отказались и были привлечены к административной ответственности с небольшим таким штрафом 500 тысяч рублей (судя по последним делам, это нижний порог, с которого стартовала ФСФР).

Аналогичная информация о переписке владельца почтового ящика daria-skok@rambler.ru была запрошена ФСФР у Рамблера.

Обосновывая наложение санкций, ФСФР высказывала точку зрения, что тайна связи не распространяется на электронные сообщения, поэтому отказ в предоставлении информации неправомерен. Примерно в то же время подобные запросы получали и два крупнейших сотовых оператора – «Вымпелком» и МТС, которые среагировали на них по-разному. По сообщению Газеты.ру, представитель «Вымпелкома» А. Айбашева заявила, что в соответствии с федеральными законами «О связи», «Об оперативно-разыскной деятельности», «О персональных данных» компания представила запрошенную информацию в полном объеме. Представитель МТС И. Агаркова сказала, что оператор направил в ответ все запрашиваемые данные, за исключением тех, которые составляют тайну связи, поскольку такие данные в рамках действующего законодательства оператор вправе предоставлять только по решению суда.

Коллизия связана с тем, что в соответствии с ч.1 статьи 16 Федерального закона № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации…» юридические лица обязаны по мотивированному письменному требованию (запросу) ФСФР представлять документы, объяснения, информацию в письменной и устной форме, в том числе сведения, составляющие коммерческую, служебную, банковскую тайну, тайну связи (в части информации о почтовых переводах денежных средств) и иную охраняемую законом тайну (за исключением государственной и налоговой тайны). Т.е. в отличие от субъектов оперативно-разыскной деятельности, которым на доступ к тайне связи необходимо решение суда, ФСФР получала эти сведения просто по запросу.

Надо обратить внимание и еще на один нюанс. Право на доступ к сведениям, составляющим тайну связи, в законе существенно ограничено и предусматривает получение только информации о почтовых переводах денежных средств. Само же понятие тайны связи гораздо шире и включает в себя тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, передаваемых по сетям электросвязи и сетям почтовой связи.

Арбитражный суд г. Санкт-Петербурга и Ленинградской области при рассмотрении иска в содержание запроса не вникал, а постановление о назначении административного наказания РО ФСФР по СЗФО признал незаконным и отменил ввиду незначительности правонарушения и его неумышленного характера.

Отменил постановление ФСФР и Арбитражный суд г. Москвы (АСГМ), рассматривавший иск «Рамблера». Однако, рассматривая в мотивировочной части довод ФСФР о том, что под тайной связи понимается именно тайна информации, содержащейся в сообщении, а сведения об адресах электронной почты, с которыми осуществлялась переписка, не относятся к информации, указанной в п.3 ст.63 закона «О связи», который ни в одной статье не устанавливает запрета для оператора связи сообщать эти сведения уполномоченному федеральному органу, действующему в рамках норм специального закона, суд принял во внимание довод «Рамблера» о том, что для получения адресов электронной почты необходим доступ к переписке, что нарушает тайну связи.

9 Арбитражный апелляционный суд решение АСГМ отменил. И вот тут начинается самое интересное. Суд апелляционной инстанции согласился с доводом ФСФР в том, что сведения об адресах электронной почты, с которыми пользователь осуществлял переписку, не относятся к тайне связи, поскольку регистрация физического лица как пользователя электронного почтового ящика в сети Интернет законодательно не регламентирована, а Интернет-ресурсы (поисковые системы, сервисы), в том числе и «Рамблер», сами определяют условия создания физическим лицом почтового ящика и осуществления в связи с этим электронной переписки с другими пользователями (владельцами почтовых ящиков). Как правило, для создания почтового ящика требуется введение логина и пароля, при этом конкретный пользователь – физическое лицо не обязан указывать в адресе электронной почты свои персональные данные, например, ФИО, год рождения и т.п., телефонный номер, паспортные данные.

Т.е. довод простой. Почтовый ящик может (подчеркиваю, может) принадлежать анониму, а аноним права на тайну связи не имеет. Вывод весьма интересный и может иметь далеко идущие последствия. Не обязан указывать упомянутые судом год рождения, телефонный номер, паспортные данные  и т.д. и отправитель почтового сообщения. И что, почту можно читать кому угодно? Нет, ст.15 ФЗ «О почтовой связи» четко и недвусмысленно определяет, что «осмотр и вскрытие почтовых отправлений, осмотр их вложений, а также иные ограничения тайны связи допускаются только на основании судебного решения». Причем, в отличии от более общего закона «О связи», закон «О почтовой связи» не содержит норм, разрешающих нарушать тайну органам власти без судебного решения на основании специальных законов.

Странно, что при рассмотрении дел суды не учли еще два фактора.

Первый. В перечне наименований услуг связи, утвержденным Постановлением Правительства РФ от 18.02.2005 № 87, электронная почта как услуга отсутствует, есть там лишь почтовая связь и передача данных. И является ли владелец публичного почтового сервиса оператором связи с вытекающей из этого обязанностью хранить тайну связи – большой вопрос.

И второй. Московский областной суд, рассматривая в 2010 году кассационную жалобу на увольнение работницы ОАО «Арктел» за разглашение персональных данных, которые она отправила на свой же почтовый ящик сервиса Mail.ru, с истицей не согласился и признал привлечение к дисциплинарной ответственности законным. Решение основывалось на том, что пользовательским соглашением ООО «Мэйл.Ру» может как ограничивать, так и разрешать доступ к информации, содержащейся в электронных почтовых ящиках. Следовательно, в силу ст. 2 ФЗ «Об информации, информационных технологиях и защите информации» названная компания является обладателем информации, она против воли работодателя и субъектов получила персональные данные и факт разглашения – налицо.

Есть аналогичные нормы и в «Правилах пользования проектами и сервисами Рамблера»: компания имеет право ограничивать доступ к информации на Интернет-сайтах проектов и сервисов и предоставлять пользователям Интернета доступ к ним на условиях предварительной регистрации, устанавливать ограничения в использовании проектов и сервисов, перечень которых определяется регламентами и правилами отдельных проектов и сервисов Рамблера.

Таким образом, обладателями информации являлись не указанные в запросах ФСФР лица, а интернет-компании, и про тайну связи говорить вообще сложно.

Мне кажется, решения судов – не последняя точка в истории. 

Окончание срока проведения банками оценки соответствия выполнения требований 382-П: когда?

Ожидаемая паника все-таки наблюдается. В небольших масштабах, пока без жертв, затоптанных бегущими, но все-таки отмечена. Итак, бессмертное: «Шеф, все пропало…».

Это я про окончание срока проведения оценки банками соответствия выполнения требований «Положения о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (382-П). В июле прошлого года я писал, что после принятия 3007-У тема оценки соответствия и отчета из теоретической перетекла в сугубо практическую плоскость. Коллеги из банков меня тогда заверили, что беспокойство мое напрасно, все под контролем, и к проблеме они давно готовы.

Восставший после новогодних каникул кредитно-финансовый народ подтянулся в родные учреждения и вот это самое «Шеф, все пропало…» стало реальностью. Руководство банков с разной степенью вежливости интересуется, а что там у нас с отчетом и когда на самом деле надо было его отправить. О чем думали раньше и куда смотрели. Кто будет отвечать и как. Ну и так далее, вы знаете эти послепраздничные разговоры в строю.

Итак, следуя далее заявленному кинематографическому канону, «по советам моих товарищей», поскольку количество вопросов на эту тему в наше агентство уже зашкалило, мы решили изложить нашу точку зрения публично, а если будет тема для дискуссии – тем лучше. Коллективный разум, ныне именуемый краудсорсингом, – великая сила.

Итак, Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе» в ст. 27 родил необходимость принятия Правительством России требований к защите информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, проверять выполнение которых должны ФСБ и ФСТЭК (части 1 и 2), а Банком России - требований к защите информации при осуществлении переводов денежных средств, которые он же, Банк России, будет и проверять (часть 3).

Не будем сейчас обсуждать тему пересечения множеств, в частности, относится ли информация при осуществлении переводов денежных средств к подлежащей обязательной защите в соответствии с законодательством - это тема отдельной ветки обсуждения.

Отметим лишь, что ст. 27 закона родила Постановление Правительства  от 13.06.2012 № 584 «Об утверждении Положения о защите информации в платежной системе» (П-584) и «Положение о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» от 09.06.2012 N 382-П (382-П).

П-584 установило, что организация и проведение контроля и оценки выполнения требований к защите информации на собственных объектах инфраструктуры проводится участниками отношений (банками в данном случае) не реже 1 раза в 2 года самостоятельно или с привлечением на договорной основе организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации. Отсчет пошел с 1 июля 2012 года. Первая оценка должна быть закончена, соответственно, до 30 июня 2014 года включительно. Про отчетность и адрес, по которому ее надо направлять, в документе нет ни слова.

А вот 382-П родило сомнения. Оно вступило в силу также 1 июля 2012 года и в первоначальной редакции определяло, что подпадающие под его действия участники платежной системы обеспечивают проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России, и, таким образом, первая оценка должны была бы быть завершена до 30 июня 2014 года включительно, если не поступит иного указания Банка.

И оно поступило. 5 июня 2013 года Председатель Центробанка подписал Указание № 3007-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"». Указание вступало в силу в силу со дня его официального опубликования в «Вестнике Банка России», за исключением подпункта 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1, вводящих дополнительные требования к безопасности, которые вступают в силу по истечении 180 дней после дня его официального опубликования.

В соответствии с п.3 Указания организация, являющаяся на день его вступления в силу оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев с этого самого дня.

Указание опубликовано и вступило в силу 10 июня 2013 года. Значит, первую оценку соответствия надо было закончить не позже 9 января 2014 года.

Тут появляется маленький, но весьма интересный нюанс. 6 месяцев истекают 9 января, а 180 дней – 6 января. Кто не почувствовал разницу: если дата окончания оценки соответствия – 9 января (первый рабочий день нового года), то в оценку должны быть включены данные по выполнению требований п.п.28-29.4 382-П в редакции 3007-У, а если оценка закончена до 6 января (в декабре, например), то эти требования учитывать не надо.

Теперь об отчете. Пункт 2.15.3 382-П требует сформировать отчет и хранить его в порядке, установленном соответствующим оператором (банком, например).

А вот что делать с ним дальше, определяет уже Указание Банка России от 09.06.2012 N 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». В соответствии с п.2 Указания, отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств» предоставляется ими не позднее 30 рабочих дней со дня завершения проведения оценки требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных 382-П.

Т.е. смотрим дату утверждения отчета об оценке соответствия, отсчитываем 30 РАБОЧИХ дней и получаем дату предоставления отчета. Если отчет утвержден последним допустимым днем, 9-м января 2014 года, отчет в Банк России надо представить не позднее 20 февраля.

Вот такая арифметика Магницкого.

Итожим. Оценку соответствия 382-П надо было завершить и утвердить внутренний отчет не позднее 9 января 2014 года. Отчет в Банк России надо представить не позднее 20 февраля, причем если отчет утвержден 7-9 января, в него должна войти оценка соответствия требованиям п.п.28-29.4 382-П в редакции 3007-У.

До 30 июня этого же года надо завершить контроль и оценку выполнения требований к защите информации на собственных объектах инфраструктуры, установленных Постановлением Правительства № 584 (и, похоже, это не совсем то, что написано в оценке соответствия 382-П). Отчитываться не надо.

Но надо быть готовым к проверкам Банка России, ФСБ и ФСТЭК по всем рассмотренным требованиям.

И, в заключении, про бумажную безопасность. Государственные риски – одни из самых серьезных. Оштрафованных и лишенных лицензий больше, чем подвергнутых взлому с реальными последствиями. А бумажная безопасность – это, в том числе, и умение читать и понимать документы.

Если в обсуждении изложенной мною точки зрения поучаствуют представители  ГУБЗИ, Департамента национальной платежной системы и Главной инспекции кредитных организаций Банка России, укажут на возможные несоответствия и неточности или подтвердят правоту, думаю, представители банковского сообщества будут весьма благодарны.

О гражданской инициативе, персональных данных и ЗАГСах. Часть 2. Про техническую защиту и дорожную карту

Это продолжение поста, опубликованного на прошлой неделе. Лучше чтение начинать с него.

Итак, мы остановились на том, что наличие сведений о национальности меняет уровень защищенности информационной системы персональных данных ЗАГСа, повышая ее при наличии записей о более чем 100 тысяч субъектов с минимального третьего уровня до минимального второго. А если признаны актуальными угрозы первого или второго типа, будет необходимо обеспечить первый уровень защищенности. Как уже отмечалось в предыдущем посте, ИСПДп в ЗАГСе должна быть обязательно, поскольку в соответствии с п.52 «Административного регламента предоставления государственной услуги по государственной регистрации актов гражданского состояния органами, осуществляющими государственную регистрацию актов гражданского состояния на территории Российской Федерации», «каждое рабочее место специалиста оборудуется персональным компьютером с возможностью доступа к необходимым информационным базам данных, печатающим устройством».

Кстати, поскольку в соответствии с законом об актах записи гражданского состояния органы ЗАГС образуются органами государственной власти субъектов Российской Федерации, эти самые органы власти субъектов обязаны в соответствии с частью 5 ст.19 принять в пределах своих полномочий нормативные правовые акты, в которых определят «угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки». Для ЗАГСов в том числе. Однако что-то таких актов пока особо не видно. В этих условиях каждый руководитель соответствующего управления или отдела записи актов гражданского состояния будет самостоятельно принимать решение об актуальности для ЗАГСа угроз, связанных с наличием недекларированных возможностей системного и прикладного программного обеспечения, а также обеспечивать нейтрализацию соответствующих классов угроз. Если, конечно, понимает, что написано выше. Тут нет никакой иронии или сарказма. Я априори с глубоким уважением отношусь ко всем незнакомым людям, но совершенно не понимаю, как и почему руководитель ЗАГСа может и должен все это понимать.

Далее, кто-то в ЗАГСе (приходящий раз в неделю сисадмин?) должен оформить в виде документа оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения в ЗАГСе требований 152-ФЗ, и сформировать частную модель актуальных угроз безопасности персональных данных при их автоматизированной обработке. Соотнося оцененный вред субъекту с актуальными угрозами, этот самый сисадмин готовит руководителю ЗАГСа предложения по составу и содержанию правовых, организационных и технических мер, направленных на обеспечение выполнения обязанностей, возложенных на ЗАГС как оператора персональных данных соответствующим законом, Постановлениями Правительства №№ 687, 211 (мы же говорим об органе власти!) и 1119.

Не забудьте, что для второго уровня защищенности (статистика хочет знать все!) необходимо будет принять 67 базовых мер безопасности (приказ ФСТЭК № 21), среди которых, при наличии подключения к интернету – сертифицированные межсетевой экран ни ниже 3-го класса и системы обнаружения вторжений и антивирусной защиты не ниже 4-го. Да, не забудьте, их кто-то должен эксплуатировать.

Попутно кто-то неведомый (тот же сисадмин или другой назначенный крайним служащий) рисует ЗАГСу пакет документов в составе которых:

●      политика в отношении обработки персональных данных и сведения о реализуемых ЗАГСом требованиях к защите персональных данных;

●      правила обработки персональных данных, определяющие для каждой цели обработки персональных данных (не забудьте их определить!) содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

●      правила рассмотрения запросов субъектов персональных данных или их представителей;

●      правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом "О персональных данных", принятыми в соответствии с ним документами ЗАГСа;

●      правила работы с обезличенными данными;

●      перечень информационных систем персональных данных;

●      перечни персональных данных, обрабатываемых ЗАГСе в связи с реализацией трудовых отношений, а также в связи с оказанием государственных и муниципальных услуг и осуществлением государственных и муниципальных функций;

●      перечень должностей служащих ЗАГСа, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных (обязательно, см. приказ и методичку РКН);

●      перечень должностей служащих ЗАГСа, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, как и использованием средств автоматизации, так и без таковых (интересно, чем занимаются все остальные?);

●      должностная инструкция ответственного за организацию обработки персональных данных в ЗАГСе (не забудьте назначить приказом!);

●      типовое обязательство служащего ЗАГСа, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним государственного или муниципального контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;

●      типовая форма согласия на обработку персональных данных служащих ЗАГСа, иных субъектов персональных данных (хоть убейте, не понимаю, зачем и на сновании чего, кроме ПП-211), а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

●      порядок доступа служащих ЗАГСа в помещения, в которых ведется обработка персональных данных.

Политика в отношении обработки персональных данных и сведения о реализуемых ЗАГСом требованиях к защите персональных данных должна быть доступна любому человеку, приходящему в ЗАГС, а поскольку некоторые из них громко объявили о приеме заявлений на регистрацию актов через веб-сайт, политику и сведения необходимо разместить и на таком веб-сайте.

Далее всех служащих ЗАГСа необходимо ознакомить под роспись с документами, устанавливающими порядок обработки их персональных данных, а также с их правами и обязанностями в этой области, а служащих, осуществляющих обработку персональных данных (т.е. осуществляющих запись актов гражданского состояния, принимающих заявления о выдающих свидетельства о записях), - также и с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, всеми документами ЗАГСа по вопросам обработки персональных данных. Необходимо также организовать обучение указанных служащих.

Да, не забудьте, что руководитель отдела ЗАГС должен доказать, что все служащие, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть были проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами ЗАГСа (при их наличии).

В ЗАГСе надо также определить места хранения персональных данных (их материальных носителей), организовать учет машинных носителей и резервное копирование.

Я нисколько не преувеличиваю привожу лишь краткую выписку из требований закона и принятых в его исполнение нормативных правовых актов.

Из всего этого есть простой и очевидный выход, законом же предусмотренный. В соответствии с частью 2 ст.4 152-ФЗ, государственные органы и органы местного самоуправления в пределах своих полномочий могут принимать нормативные правовые акты, нормативные акты, правовые акты по отдельным вопросам, касающимся обработки персональных данных. Такие акты подлежат официальному опубликованию.

Казалось бы, что проще – создать одну (ОДНУ!) методичку для ЗАГСов, где все это расписать в цветах и красках, заодно рассказав про обязательность использования сертифицированных средств защиты и порядок их приобретения. Можно еще и бюджет на реализацию всех этих требований выделить.

Но у нас не ищут легких путей.

К чему все это? На простом примере скромного ЗАГСа виден колоссальный объем работы, который должен выполнить любой оператор персональных данных. Когда принимаются законы, очень было бы неплохо примерить их сначала на госорганы, а потом добиться выполнения установленных требований там же. И только после этого требовать этого от бизнеса и разворачивать систему контроля и надзора в сегменте предпринимательства.

О гражданской инициативе, персональных данных и ЗАГСах

У меня появилась инициатива. Гражданская. Новогодние каникулы этому способствуют. Я предлагаю объявить 2014 год в России годом приведения обработки персональных данных органами государственной власти и местного самоуправления в соответствие российскому же законодательству. А то столько времени закон действует, сколько проверок провели, а толку …

И начать предлагаю с организаций, которые вносят первую и последнюю записи о субъекте персональных данных в государственную систему регистрации – с ЗАГСов.  К посту подвигли сообщения в прессе о проекте нового приказа Минюста об указании в заявлении на регистрацию брака сведений об образовании, национальности брачующихся и нажитых ими до брака детях, а также весьма фривольном обращении с персональными данными и основными документами, удостоверяющими личность, в ЗАГСе Рыбинска Ярославской области.

Простое вроде бы дело выдачи свидетельств о рождении, смерти, вступлении в брак и его расторжении и т.д. регламентируется весьма тщательно и подробно – двумя кодексами, Семейным и Гражданским, Федеральным законом от 15 ноября 1997 года № 143-ФЗ «Об актах гражданского состояния», аж тремя постановления правительства РФ: от 6 июля 1998 г. № 709 «О мерах по реализации Федерального закона «Об актах гражданского состояния»», от 31 октября 1998 г. N 1274 «Об утверждении форм бланков заявлений о государственной регистрации актов гражданского состояния, справок и иных документов, подтверждающих государственную регистрацию актов гражданского состояния», от 17 апреля 1999 г. № 432 «Об утверждении правил заполнения бланков записей актов гражданского состояния и бланков свидетельств о государственной регистрации актов гражданского состояния», «Административным регламентом предоставления государственной услуги по государственной регистрации актов гражданского состояния органами, осуществляющими государственную регистрацию актов гражданского состояния на территории Российской Федерации», утвержденным приказом Минюста РФ от 29 ноября 2011 г. № 412. Нормативными правовыми актами установлены формы заявлений, справок, бланков записи, свидетельств о записи и т.д., а также то, кем, когда и как все это заполняется.

Сами понимаете, абсолютно все, что в этих документах записано, за исключением служебных пометок, - это персональные данные. А теперь вопрос на засыпку: сколько раз термин «персональные данные» используется во всех этих документах в совокупности? Правильный ответ – 1 (Один). В Федеральном законе: «Сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, в том числе персональные данные, являются информацией, доступ к которой ограничен в соответствии с федеральными законами, и разглашению не подлежат» (редакция, кстати, установлена законом 2013 года). Я, конечно, понимаю, что наличие или отсутствие сакральных слов вовсе не является само по себе обязательным или правильным, но давайте посмотрим дальше.

Постановление Правительства № 432 устанавливает, что заполнение бланков актовых записей и бланков свидетельств производится рукописным способом либо с использованием технических средств (пишущих машин, компьютеров). Бланки актовых записей изготавливаются типографским способом либо с применением компьютера, при этом в случае применения компьютера изготовление и заполнение бланка актовой записи выполняются одновременно (то есть выдается распечатка с принтера, если по-русски).

Таким образом, мы имеет дело как с автоматизированной обработкой персональных данных, так и с обработкой без средств автоматизации. В силу необходимости обязательной регистрации каждого носителя персональных данных и их систематизации в специальных актовых книгах, есть все основания считать, что в данном случае «обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным» (ч.1 ст.1 152-ФЗ), и действия, совершаемые в ЗАГСах, подпадают под регулирование ФЗ «О персональных данных».

В соответствии с «Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденным Постановлением Правительства РФ от 15 сентября 2008 г. № 687 (п.7), при использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (как раз наш случай), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Желающие могут самостоятельно ознакомиться с формами заявлений, бланков записей и справок и поискать там цели, сроки, способы обработки и перечень действий, а также оценить, например, возможность выполнения требований пункта «в» в форме 3 «Заявления о внесении сведений об отце ребенка в запись акта о рождении» (установлена ПП-1274).

Между тем ПП-687 от 15 сентября 2008 г. обязывало федеральные органы исполнительной власти в месячный срок привести свои акты по вопросам обработки персональных данных, осуществляемой без использования средств автоматизации, в соответствие с его требованиями. На дворе – 2014 год.

Самое интересное – с требованием «б». Значительная часть документов, как заявлений, так и актов и свидетельств), содержит графу о национальности, сведения о которой, как мы помним, относятся к специальным категориям персональных данных. Поскольку сведения о национальности в соответствии с Федеральным законом вносятся в акты и выдаваемые на основании внесенных записей документы исключительно по желанию заявителя или заявителей или на основании ранее сделанной записи (т.е. внесение этих сведений не является обязательным), очень хотелось бы понять цель их обработки.

Что интересно, абзацы о том, что в заявления и записи о заключении и расторжении брака вносятся «национальность, образование, первый или повторный брак и при наличии у супругов общих детей, не достигших совершеннолетия, их количество (вносятся по желанию заявителя)», появились в законе только в 2013 году, когда все проблемы правоприменения законодательства о персональных данных были уже очевидны. Кроме целей обработки сведений о национальности, остается неясным влияние их наличия или отсутствия на возможность заключения и расторжения брака, а также соответствие запроса таких сведений у брачующихся требованиям ст.5 152-ФЗ, устанавливающей такие принципы обработки персональных данных, как законность, справедливость, ограничение обработки достижением конкретных, заранее определенных и законных целей, неизбыточность обрабатываемых данных по отношению к заявленным целям. В законе об актах записи гражданского состояния о целях такой обработки нет ни слова, в последующих постановлениях Правительства – тем более.

Тайну частично приоткрыла газета «Коммерсантъ», сообщившая 9 декабря о подготовке приказа Минюста об изменении форм бланков заявлений и отчетности ЗАГСов. Представитель министерства заявил, что это необходимо для «официального статистического учета населения». И опять вопросы. Как может Минюст своим приказом внести изменения в документы, утвержденные постановлением Правительства, и с каких пор статучет стал областью регулирования Минюста? Наконец, как можно считать достоверными статистическими данными сведения, предоставляемые исключительно по желанию заявителей и как будет оцениваться репрезентативность такой выборки? Вопросы есть, а вот ответов – не видно. Кстати, следов принятия этого приказа в новогодней неразберихе пока найти не удалось.

Есть в связи с этим еще пара нюансов. Часть 2 ст.10 152-ФЗ не содержит оснований для обработки специальных категорий персональных данных, связанных с записью актов гражданского состояния, следовательно, на их обработку отдел ЗАГС должен получить письменное согласие субъекта по форме, установленной частью 4 ст.9 такого закона. Формы заявлений, установленные ПП-1274, однозначно этим требованиям не соответствуют и как согласие рассматриваться не могут. Между тем среди документов, подаваемых для регистрации и расторжения брака, регистрации ребенка на сайте госуслуг и аналогичных региональных сайтах, никаких согласий на обработку спецкатегорий персональных данных не указано.

Наличие спецкатегорий существенно влияет на содержание и уровень технической защиты персональных данных. А ИСПДп в ЗАГСе должна быть обязательно: в соответствии с п.52 Административного регламента, в ЗАГСе «КАЖДОЕ рабочее место специалиста оборудуется персональным компьютером с возможностью доступа к необходимым информационным базам данных, печатающим устройством».

Но об этом – во второй части поста. На днях. Праздники кончились J.