И еще раз про персональные данные россиян после 1 сентября, теперь - в зарубежных облачных сервисах

До 1 сентября, после которого большое количество операторов оказывается в совершенно новых условиях работы с персональными данными, осталось совсем немного. Несмотря на то, что на эту тему я уже писал неоднократно (например, здесь и здесь), мы завалены вопросами по телефону, почте, скайпу, фейсбуку на эту тему. Поэтому остановлюсь на тех нововведениях закона, которые волнуют наибольшее количество компаний.

Начну с понятий, что же такое персональные данные, и кто является оператором этих данных. Пункт 1 статьи 3 Закона о персональных данных определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Данное определение является весьма неопределенным и допускает сколь угодно широкое его толкование. При таком определении к персональным данным могут быть отнесены практически любые сведения о физическом лице, независимо от того, возможна ли его однозначная идентификация (установление личности) с использованием указанных сведений или нет. Эта проблема определения основных понятий достаточно глубоко анализируется в вышедшем в этом году Научно-практическом комментарии к закону «О персональных данных» под редакцией заместителя руководителя Роскомнадзора А.А.Приезжевой.

Оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. Ключевыми в этом определении являются слова об определении целей обработки, состава обрабатываемых данных и действий, совершаемых с ними.

Хотелось бы акцентировать внимание на поправках в закон «О персональных данных», касающихся размещения баз персональных данных российских граждан в период их сбора на территории Российской Федерации:

·         ограничения на размещение баз персональных данных вводятся на период сбора персональных данных и не затрагивают их последующей обработки после завершения сбора, кроме ряда конкретных способов обработки;

·         ограничения касаются только персональных данных граждан Российской Федерации и не касаются персональных данных граждан других государств и лиц без гражданства;

·         ограничения вводятся только на 9 из 18 способов обработки, установленных частью 3 статьи 3 закона «О персональных данных» (сбор, запись, систематизация, накопление, хранение, уточнение, обновление, изменение, извлечение) и не ограничивают расположением баз данных на территории России такие действия с персональными данными как использование, передача, распространение, предоставление, доступ, обезличивание, блокирование, удаление, уничтожение.

Последний вывод означает, что после завершения сбора персональных данных они должны находиться (храниться) в базах данных на территории Российской Федерации, при этом изменения в данные (в том числе, уточнения и обновления) должны вноситься также в базы данных на территории Российской Федерации.

При этом указанное требование не накладывает никаких ограничений на передачу персональных данных после их сбора и записи в базу данных на территории России, в том числе – на трансграничную передачу, предоставление к ним доступа с территории иных государств, а также на использование персональных данных граждан Российской Федерации после их трансграничной передачи, в том числе – на использование данных из информационных систем, находящихся за пределами Российской Федерации. Закон в новой редакции не устанавливает новых, дополнительных ограничений на трансграничную передачу персональных данных, не вводит запрет на обработку персональных данных в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, за исключением периода их сбора.

Российская Федерация законом от 19.12.2005 № 160-ФЗ ратифицировала Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных (ETS № 108). Ратификационная грамота принята Советом Европы 15.05.2013, и с 01.09.2013 вступили в силу обязательства Российской Федерации, обусловленные данной конвенцией. В соответствии с частью 2 статьи 12 «Передача персональных данных через границы и национальное право» Европейской конвенции, сторона конвенции не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.

Часть 1 статьи 12 закона «О персональных данных» устанавливает, что трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Европейской конвенции, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с настоящим Федеральным законом и может быть запрещена или ограничена лишь в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

Иностранными государствами, обеспечивающими адекватную защиту прав субъектов персональных данных, в соответствии с частями 1 и 2 статьи 12 закона «О персональных данных», помимо государств-сторон Европейской конвенции, являются страны, включенные в утверждаемый Роскомнадзором перечень иностранных государств, не являющихся сторонами Европейской конвенции.

Вместе с тем, надо отметить, что актуализация всех ранее собранных персональных данных (их обновление, изменение, уточнение) первоначально также должна производиться в базах данных на территории Российской Федерации, и эти базы на территории России всегда должны содержать все актуальные персональные данные, используемые оператором и полученные или актуализированные им в период времени, начиная с 1 сентября 2015 года. Таким образом, после 1 сентября 2015 года российский оператор для использования при обработке персональных данных облачных сервисов, серверы которых расположены за пределами Российской Федерации, должен принять дополнительные меры, в частности, базу персональных данных, предназначенную для их первичного сбора, записи и накопления, а также последующей актуализации (уточнения, обновления, изменения) разместить на территории Российской Федерации и постоянно хранить обрабатываемые персональные данные в такой базе. При этом возможным является последующее копирование (перенос) этих данных на сервера за пределами Российской Федерации.

База данных – пока категория не определенная. Согласно разъяснениям на сайте Минкомсвязи, можно предположить, что в качестве базы данных надзорные органы готовы рассматривать, в том числе хранилища бумажных документов, не говоря уже о файлах офисного формата и сканах документов.

Если принятие указанных выше дополнительных мер не может быть реализовано соответствующим российским оператором, то в качестве возможных сценариев организации обработки персональных данных, размещенных в дата-центрах и облачных инфраструктурах, находящихся вне территории Российской Федерации, могут быть рассмотрены следующие:

1.   Размещение данных, предварительно прошедших процедуру обезличивания, при условии, что их де-обезличивание реализуется только на территории Российской Федерации. При выполнении процедуры обезличивания целесообразно руководствоваться требованиями приказа Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных», обязательного к исполнению для операторов, являющихся государственными или муниципальными органами. В этом случае операторы, не являющиеся государственными или муниципальными органами, при обосновании правомерности, разумности и достаточности выбранного способа обезличивания, могут ссылаться на требования, установленные в нормативном акте уполномоченного федерального органа исполнительной власти.

2.   Размещение персональных данных в зашифрованном виде при условии, что их расшифрование осуществляется только на территории Российской Федерации. Для шифрования должны использоваться сертифицированные средства криптографической защиты, поскольку в данном случае шифрование выполняется с целью нейтрализации актуальной угрозы безопасности персональным данным, связанной с возможностью несанкционированного доступа к ним неавторизованного персонала дата-центра или облачного провайдера.

Такие варианты не должны рассматриваться как размещение персональных данных за рубежом, поскольку они не соотносятся с определяемым в такой системе субъектом и, собственно, персональными данными не являются.

После 1 сентября 2015 года оператор, осуществляющий сбор персональных данных российских граждан с использованием баз данных, находящихся не на территории Российской Федерации, может быть привлечен к административной ответственности по основаниям, предусмотренным статьей 13.11 КоАП (размер штрафа для юридических лиц составляет от 5 до 10 тысяч рублей), поскольку невыполнение требования о месте нахождения баз персональных данных при их сборе является прямым нарушением вступающей в силу нормы закона «О персональных данных», которая определяет новый порядок сбора персональных данных с 1 сентября 2015 года.

Кроме того, после 1 сентября 2015 года, в соответствии с изменениями в закон «Об информации, информационных технологиях и о защите информации», может быть ограничен (фактически – заблокирован) доступ пользователей с территории Российской Федерации к сайту (странице сайта) в сети интернет, на котором персональные данные обрабатываются с нарушениями требований российского законодательства. Данная мера может быть принята, в том числе и в отношении сайтов, размещенных за пределами Российской Федерации, и сайтов, владельцы которых находятся вне юрисдикции Российской Федерации.

Принято Постановление Правительства о реестре нарушителей прав субъектов персональных данных

Информируем о принятом Правительством РФ Постановлении от 19.08.2015 №857 «Об автоматизированной информационной системе «Реестр нарушителей прав субъектов персональных данных».

Постановление опубликовано: http://publication.pravo.gov.ru/Document/View/0001201508200028

Комментарий «Коммерсанта»: http://www.kommersant.ru/doc/2792453

Также на днях была опубликована информация о регистрации в Минюсте приказов Роскомнадзора по этому же вопросу:

1)    Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 22 июля 2015 г. N 84 "Об утверждении Порядка взаимодействия оператора реестра нарушителей прав субъектов персональных данных с провайдером хостинга и Порядка получения доступа к информации, содержащейся в реестре нарушителей прав субъектов персональных данных, оператором связи";

2)    Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 22 июля 2015 г. N 85 "Об утверждении формы заявления субъекта персональных данных о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных".

В ближайшее время ожидается принятие Правительством РФ Постановления «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации».

На вебинаре 25 августа мы рассмотрим и свежепринятые документы.

Подробнее о вебинаре:

Программа вебинара

Для каких операторов персональных данных 1 сентября станет днем перемен

Персональные данные после 1 сентября. Разберемся?

Для каких операторов персональных данных 1 сентября станет днем перемен

Есть не совсем корректное мнение, что изменения законодательства о персональных данных, вступающие в силу с 1 сентября, касаются только иностранных и международных компаний, работающих в России или предоставляющих сервисы россиянам. Это не то, чтобы не совсем так. Это совсем не так.   

На предстоящем 25 августа вебинаре, проводимом Учебным центром «Информзащита», мы подробно разберемся с этим вопросом, а пока некие предварительные оценки.

Всех операторов, на деятельности которых скажутся законодательные нововведения, можно разделить на несколько групп в зависимости от того, какие именно последствия для них имеют вступающие в силу нормы и какие действия им надо предпринять для обеспечения соответствия законодательству.

Первая группа включает абсолютно всех российских операторов персональных данных, как подавших уведомление и включенных в Реестр Роскомнадзора, так и не посчитавших для себя обязательным или целесообразным это сделать. Всех, потому что с 1 сентября 2015 года контроль за обработкой персональных данных выводится из-под регулирования Федеральным законом № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» и будет регламентироваться не законом, а специальным постановлением Правительства, принятие которого ожидается в ближайшее время, а также «Административным регламентом исполнения Роскомнадзором государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации», в который также, будут внесены изменения, но, видимо, несколько позже.

Ситуация с проверками меняется довольно серьезно. Об этом мы подробно поговорим на вебинаре, рассмотрев попутно и порядок ограничения доступа к сайтам нарушителей обработки персональных данных в интернете. И поговорить будет о чем. Отсутствие необходимости согласования большинства проверок с прокуратурой, систематическое наблюдение, привлечение экспертов и, самое важное, возможность выдвижения требования надзорным органом о прекращении обработки персональных данных до приведения ее в соответствие с законом ситуацию меняют кардинально. Ау, банки, страховые компании, операторы связи, медицинские и образовательные учреждения – как вы себе представляете прекращение для своих организаций обработки персональных данных и его последствия

Следующая группа операторов включает тех, кого коснутся изменения, требующие размещения баз персональных данных в период их сбора, а также с целью актуализации, на территории Российской Федерации. Их можно разделить на пять подгрупп:

1)   органы власти всех уровней, государственные и муниципальные учреждения и предприятия;

2)   российские компании, которые сегодня хостят свои системы в зарубежных дата-центрах или облачных инфраструктурах (таких, как Amazon EC2, Google Apps, Microsoft Azure и т.п.), по экономическим или иным соображениям, в том числе – из-за качества предоставляемых сервисов;

3)   российские компании, использующие приложения и базы данных зарубежных провайдеров по схеме SaaS, например, такие, как SalesForce, Microsoft Dynamics CRM, Oracle Database Cloud Service;

4)   зарубежные, международные, транснациональные компании, имеющие дочерние компании или представительства в России, использующие, как правило, централизованные информационные системы, такие, как ERP, CRM, кадрового и бухгалтерского учета и т.п., дислоцирующиеся где-то за рубежом;

5)   зарубежные компании, не присутствующие в России, но чьими услугами пользуются россияне – социальные сети (Facebook, Twitter и т.п.), крупнейшие интернет-магазины и аукционы (Alibaba, Amazon, eBay и др.), системы бронирования всего, чего угодно (Sabre, Amadeus, Galileo, Booking.com, Hotels.сом и др). Хотя они находятся вне российской юрисдикции, механизм блокирования доступа к ресурсам в сети интернет ставит их перед выбором – подчиниться закону и перенести часть ресурсов в Россию, или принять риск возможного прекращения бизнеса в нашей стране.

Возможные варианты поведения всех этих операторов мы рассмотрим в разделе вебинара, который называется «Организация обработки персональных данных после 1 сентября российскими, международными и иностранными компаниями, ведущими деятельность на территории России».

Теперь ответы на наиболее часто задаваемые вопросы в связи с проведением вебинара. Вебинар платный. Его продолжительность – 4 часа, программа - здесь. Проводить его буду я. Полчаса в конце отведу на вопросы-ответы. Количество мест ограничено (Учебный центр бронирует общее количество подключений к сервису вебинара). Зарегистрироваться можно здесь и лучше заранее. Когда и где будет проходить еще раз, и будет ли он – пока не знаю, работы много.

До встречи! 

О комментариях Минкомсвязи к 242-ФЗ

Retail & Loyalty опубликовал мои комментарии к разъяснениям Минкомсвязи относительно обработки персональных данных после 1 сентября 2015 года в связи с вступлением в силу поправок в закон о персональных данных, внесенных 242-ФЗ. Ниже – полный текст ответов на поставленные вопросы.

Вопрос: Многое ли проясняют или меняют разъяснения Минкомсвязи, размещенные на сайте ведомства?

Ответ: Они очень важны, поскольку именно Минкомсвязи является ведомством, отвечающим за выработку государственной политики и государственное регулирование в сфере обработки персональных данных. Однако, учитывая, что ранее оно практически этими вопросами никак не занималось, а Роскомнадзор параллельно дает свои разъяснения, не всегда совпадающие с министерскими, ситуация не очень проясняется. Сейчас очень важно, будет ли Роскомнадзор в своей деятельности следовать мнению Минкомсвязи или будет проводить свою линию.

Вопрос: Справедливо ли наше понимание, что, согласно разъяснениям:

- системам бронирования авиабилетов ничего не угрожает, и их не коснется перенос данных, и ничего, как пугали многие, в этой сфере не «остановится»?

Ответ: Разъяснения Минкомсвязи в отношении бронирования авиабилетов говорят о том, что принято решение сложившуюся ситуацию не ломать, а действовать постепенно, и это очень хорошо. Однако справедливости ради надо отметить, что в документах, в том числе международных конвенциях, на которые ссылается Минкомсвязи, ничего не говорится о глобальных системах бронирования и их территориальном размещение. К примеру, совершенно не понятно, почему на бронирование билетов российской компании, выполняющей рейс из Москвы в Новосибирск, требования закона о территориальности не распространяется ,а на интернет-магазин в Китае – распространяется.

- системам типа PayPal, а также интернет-магазинам типа AliExpress, JD.com и eBay также не придется вкладываться в перенос данных, и сфера трансграничного e-commerce не пострадает?
Ответ: А вот этих выводов в разъяснении Минкомсвязи нет, более того, руководство Роскомнадзора постоянно сообщает об успешных переговорах, в том числе и с владельцами указанных Вами сервисов, о переносе их баз данных в Россию. Правда, достоверных подтверждений таких переносов пока нет. Не исключено, ситуация будет развиваться по пессимистическому прогнозу – новые требования будут применяться избирательно к участникам рынка, и какие-то звери в лесу строго по Оруэллу окажутся равны больше, чем остальные.

Вопрос: Применяется ли закон экстерриториально, и должны ли те лица (в том числе, нерезиденты РФ), которым операторы или непосредственно сами субъекты ПД (граждане РФ) направляют ПД, на законных основаниях также обрабатывать их на территории РФ?

Ответ: Несмотря на данное по этому поводу министерством разъяснение, в комментариях различных должностных лиц и разъяснениях Роскомнадзора неоднократно подчеркивалось, что законодательство будет применятся к иностранным компаниям, не присутствующим в России, но деятельность которых направлена на российских граждан и даже давалось определение признаков такой направленности (доменная зона, сайт на русском языке, расчеты в рублях). В основном для них с 1 сентября вводится механизм блокирования доступа к сайтам в случае необеспечения размещения баз для первичного сбора персональных данных на территории России. Но и здесь пока полно противоречий. Министр связи Н. Никифоров высказал мнение, что Twitter, например, под действие закона не подпадает. А вот Facebook настойчиво убеждается в необходимости переноса данных россиян в российский сегмент. Как и Alibaba и Amazon.

Вопрос: Никому не придется переносить данные, внесенные в зарубежные системы до момента вступления закона в силу?

Ответ: Здесь все практически единодушны: несмотря на отсутствие нормы о распространение требований нового законодательства на ранее возникшие правоотношения, не переносить данные можно только до вноса в базу данных хотя бы одной новой записи или актуализации ранее внесенных. А с этого момента база за пределами России находится вне закона.

Вопрос: Какие еще интересные моменты проясняют данные разъяснения Минкомсвязи?

Ответ: Я лучше отвечу от противного: в них не содержится ответов на то, как они повлияют на правоприменительную практику. И это плохо. Но уполномоченный госорган выразил свою позицию, которой можно следовать в своей деятельности, и ссылаться на мнение ведомства, наделенного соответствующими функциями, в том числе при проверках и в суде. И это хорошо.

Персональные данные после 1 сентября. Разберемся?

Итак, до 1 сентября, когда произойдут значительные перемены в системе работы с персональными данными, осталось меньше месяца.

Напомню, что с этой даты:

·         базы персональных данных, в которых происходит первичная регистрация и актуализация персональных данных российских граждан, должны находится на территории России, но слова «только» в законе нет;

·         контроль и надзор будет осуществляться не в соответствии с федеральным законом 294-ФЗ, а на основании отдельного постановления правительства, которого пока нет, и административного регламента, который есть только у Роскомнадзора (вопросы персональных данных могут проверять минимум пять ведомств с особенностями для каждого);

·         появится реестр нарушителей и механизм блокирования доступа к любому сайту в сети интернет вне зависимости от того, в чьей юрисдикции и на чьей территории он находится, если российский суд любой инстанции, включая мировой и районный, посчитает, что работа с персональными данными, например, их сбор или размещение, не соответствует российскому закону.

Эти новые нормы законодательства создают новые условия деятельности абсолютно для всех компаний, работающих с персональными данными россиян или деятельность которых направлена на Россию (появился теперь и такой термин, чтобы попасть под это определение, достаточно иметь сайт на русском языке в любой доменной зоне, даже если перевод делается роботом).

Мы выделили четыре группы операторов, для которых закон меняет ситуацию радикально, и которые простыми решениями не отделаются:

·         российские компании, хостившие свои сайты за рубежом, исходя из экономических или каких-то иных соображений;

·         российские компании, использовавшие зарубежный софт по схеме SaaS (софт как услуга) (помимо очевидных CRM, ERP, глобальных систем бронирования всего чего угодно и прочего сюда попадают многочисленные облачные хранилища, раздаваемые провайдерами и вендорами направо и налево, в том числе – бесплатно);

·         иностранные и международные компании с присутствием в России, использующие многотерриториальные информационные системы, распределенные по всему миру – кадровые, бухгалтерские, CRM и т.п.;

·         иностранные и международные компании, не присутствующие в России (не имеющие дочек и представительств), но активно работающие с россиянами – интернет-магазины, социальные сети, те же системы бронирования, платежные системы, и прочее.

Жить, как раньше, они смогут, если только регуляторы закроют на них глаза и сделают вид, что их нет. Кому-то это удастся, наверное. Но кому-то – точно нет.

Для тех, кто не хочет ждать милостей от природы надзора, 25 августа мы вместе с Учебным центром «Информзащита» проведем вебинар «Персональные данные россиян после 1 сентября 2015 года». В течение 4 часов мы детально разберемся с нововведениями, его участники узнают о позициях и мнениях различных ведомств, изложенных в ответах на направленные им запросы, постатейном комментарии Роскомнадзора к закону о персональных данных, на специально созданных ресурсах в сети интернет, мы проанализируем два постановления правительства, принятые по этому поводу (или проекты этих постановлений, если до 25 августа их еще не примут), ведомственные приказы, и рассмотрим различные сценарии действий российских и зарубежных компаний, желающих соответствовать закону.

Мы поговорим о мифах, активно распространяемых в связи с вступлением в силу изменений законодательства компаниями, желающими срочно заработать на этом деньги, и пристально взглянем на принципиально новую систему контроля и надзора в области персональных данных.

Регистрируйтесь, кому интересно. Обещаю, скучно и академично не будет. Но будет глубоко и подробно. Наше агентство выполнило немало проектов, реализующих предлагаемую нами стратегию поведения в новых условиях. Так что теоретизировать не будем. Только практика. Только факты.

Предлагаю простой выход из проблемы переноса баз персональных данных

На информационном портале Retail & Loyalty выложен мой комментарий относительно очередного запроса Ассоциации европейского бизнеса (АЕБ) российскому Президенту о переносе баз персональных данных россиян в Россию.

Привожу текст полностью.

Решение «проблемы 1 сентября» существует и не требует изменений в законе о персональных данных

Такое мнение относительно просьб бизнеса к президенту «отложить» применение норм закона о персональных данных редакции R&L высказал эксперт по информационной безопасности Михаил Емельянников. 

Как ранее уже сообщал информационный портал Retail & Loyalty, со ссылкой на «Ъ», руководитель Ассоциации европейского бизнеса (АЕБ) Филипп Пегорье в ходе Петербургского международного экономического форума обратился к В.Путину с просьбой отсрочить наказание за нарушение закона «О персональных данных», связанное с обязанностью иностранных компаний хранить персональные данные россиян на российской территории. 

Редакция нашего портала попросила прокомментировать данную просьбу АЕБ управляющего партнера Консалтингового агентства «Емельянников, Попова и партнеры» Михаила Емельянникова. Эксперт полагает, что сам закон изменить уже нельзя (т.к. Государственная Дума находится на каникулах), а президент дать команду «не выполнять» закон попросту не может – т.к. это противоречит Конституции, и предлагает иной путь решения проблемы без нарушения закона, даже формального. 

"На сегодняшний день российское законодательство предусматривает два вида наказания за невыполнение требования о нахождении на территории России баз данных с персональными данными российских граждан, в которых они должны размещаться в период их сбора. 

В соответствии со статьей 13.11 КоАП, нарушение юридическим лицом установленного законом порядка сбора, хранения, использования или распространения персональных данных, под которое как раз и подпадает невыполнение требований о территориальности баз персональных данных, влечет штраф от 5 до10 тысяч рублей. В случае, если персональные данные непосредственно размещаются на зарубежном сайте и не фиксируются предварительно в базе данных на территории России, доступ к такому сайту может быть заблокирован по решению суда, вступившему в законную силу. 

Такая санкция гораздо более серьезная, чем административная ответственность в виде штрафа – потенциальными нарушителями, сайты которых для россиян могут оказаться недоступными, являются системы бронирования всего, чего угодно – билетов, отелей, машин и т.д., зарубежные интернет-магазины, включая гигантов типа Amazon или Alibaba, социальные сети, например, Facebook и Twitter и т.п. Периодически возникают слухи, что кто-то из гигантов решил базы перенести в Россию, но реальных подтверждений этому пока нет. 

У проблемы обеспечения соответствия закону несколько составляющих. Иногда это сделать сложно технически, как для систем бронирования, где заказ идет из единой базы в реальном масштабе времени, и буфер в России меняет всю топологию системы. Иногда это требует перестройки всех бизнес-процессов, связанных с обработкой персональных данных работников международных и зарубежных компаний, их клиентов и т.д., поскольку учетные системы, такие как кадровые или CRM, находятся за рубежом, и в них стекаются данные со всего мира. В таких случаях за пару оставшихся месяцев ничего сделать не удастся. 

Есть ли выход? На мой взгляд есть, и очень простой. В подготавливаемом в настоящее время постановлении Правительства РФ «О Реестре нарушителей прав субъектов персональных данных» достаточно просто указать, что именно оно (а не закон, или отдельные положения ФЗ) вступит в силу с 1 сентября 2016 года. И закон менять не надо, и отсрочка появится, и время, чтобы правоприменителям разобраться, кто подпадает под исключения, имеющиеся в законе, и может в Россию ничего не переносить, а кто нет, даже выдать им предписания об устранении, но в предписаниях указать срок исполнения опять-таки не ранее 1 сентября 2016 года. 

Иначе в очередной раз мы увидим избирательность правоприменения, «чистых» и «нечистых», повод для коррупции и еще большее падение доверия зарубежного бизнеса к России. А кто-то уйдет из России совсем, первые факты такого решения проблемы соответствия закону уже появились".

Источник:  Retail&Loyalty

Красть и продавать секреты становится экономически невыгодным

29 июня Президент России подписал Федеральный закон № 193-ФЗ «О внесении изменений в статью 183 Уголовного кодекса Российской Федерации». Поправки существенно, в разы, увеличивают размер штрафов за незаконное получение, разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.

За экономический шпионаж (собирание сведений, отнесенных к этим трем видам тайн, путем похищения документов, подкупа, угроз или иным незаконным способом) максимальный размер штрафа увеличивается с 80 тысяч до 500 тысяч рублей, а размер зарплаты, устанавливаемой в качестве штрафа, – с полугодовой до годовой. За разглашение доверенных секретов при отсутствии доказательств наличия корыстных побуждений штраф увеличивается со 120 тысяч до 1 миллиона рублей, размер зарплаты – с годовой до двухлетней. Если же такие действия причинили крупный ущерб или были совершены из корыстной заинтересованности, максимальный размер штрафа увеличивается с 200 тысяч до полутора миллионов рублей, или, при исчислении, исходя из размеров заработной платы – с полуторагодовой до трехлетней.

Такие изменения представляются весьма обоснованными. Штрафы в 10 или 40 тысяч рублей при реальной цене коммерческих секретов в миллионы, минимум – в сотни тысяч рублей (примеров судебных решений именно с такими штрафами и такими суммами, полученными за секреты, достаточно) не могут отвратить от искушения их украсть и продать. А вот миллион рублей штрафа за объявление в интернете «продам базу ста тысяч застрахованных лиц за 50 тысяч рублей» могут некоторым мозги прочистить хорошо. Отнесение баз данных клиентов, в том числе физических лиц, к коммерческой тайне при таких штрафах заставит подумать их потенциального продавца о возможных последствиях такого «бизнеса» для него лично, а если в организации постоянно напоминать о мерах ответственности, да еще иллюстрировать такие напоминания судебной практикой (а ее много, суды с отнесением баз данных к коммерческой тайне с удовольствием соглашаются), профилактика возможных нарушений обязательно даст свои плоды.

Учитывая, что недавно максимальный срок лишения свободы за разглашение тайн был снижен с 10 до 7 лет, значительное увеличение штрафов все же позволяет обладателю секретов более эффективно защищать свои интересы. Но не будем забывать, что в отношении коммерческой тайны все это возможно только при полном выполнении требований по установлению режима коммерческой тайны, определенных частью 1 статьи 10 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне».

А вот с банковской тайной сложнее, так как законодательство не регулирует состав и содержание мер по ее охране. Представляется целесообразным в кредитно-финансовых учреждениях формировать перечень сведений, отнесенных к банковской тайне, хотя такого требования в законе и нет. Но формулировка статьи 26 закона «О банках и банковской деятельности» «Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону» однозначно говорит о том, что состав таких сведений надо как-то зафиксировать. Иначе мы будем постоянно читать в судебных решениях, что обвиняемый не знал и не имел оснований знать, что разглашенные или используемые им сведения охраняются законом.

Вот такие рецепты по поводу нового закона. 

Единый реестр и проверки выполнения требований законодательства о персональных данных

Чего только у нас не бывает. 28 апреля Председатель Правительства РФ подписал постановление, принятое во исполнение недействующей пока нормы закона, которое одновременно с новой редакцией закона вступит в силу очень скоро – 1 июля 2015 года. Речь идет о Постановлении № 415 «О Правилах формирования и ведения единого реестра проверок».

С 1 июля вступает в силу статья 13.3 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», которая вводит понятие единого реестра проверок, находящегося в ведении Генеральной прокуратуры РФ. Реестр должен быть размещен на сайте в интернете и будет содержать очень важную для всех проверяемых организаций информацию. Помимо сведений о сроках, целях и месте проверке там же будут указываться и сведения о согласовании проведения проверки с органами прокуратуры, состав проверяющих, в том числе экспертов и представителей экспертных организаций, привлекаемых к проведению проверки. Обратите внимание – пофамильно представителей экспертных организаций, а не только названия самих организаций, как предполагается при проведении проверок в области персональных данных, о чем я писал.

И самое главное для системного анализа проверок: сведения о выявленных нарушениях обязательных требований, об их характере и о лицах, допустивших нарушения (с указанием положений правовых актов). Ну наконец-то! Теперь нельзя будет просто написать – «не обеспечивается выполнение требования», придется добавить «установленного частью… статьи ... Федерального закона…», ведь эти результаты увидят все. И еще очень важно: «В случае отмены результатов проведенной проверки информация об этом подлежит внесению в единый реестр проверок уполномоченным должностным лицом органа контроля не позднее 3 рабочих дней со дня поступления указанной информации в орган контроля».

Вот только беда – сведения о выявленных нарушениях и отмене результатов проверки не входят в состав общедоступной информации, установленный пунктом 3 части 3 статьи 13.3 закона 294-ФЗ о защите прав проверяемых, и, похоже, мы с Вами эту информацию не увидим. Плакал системный анализ результатов проверок горькими слезами.

Но переживать не стоит. С 1 сентября 2015 года контроль и надзор за обработкой персональных данных выводится из-под регулирования 294-ФЗ, и никаких согласований проверок с прокуратурой, за исключением внеплановых, организуемых контролирующим органом по обращению субъекта, не надо будет проводить , а наполнение единого реестра начнется только с 1 июля 2016 года. Так что проверок в области персональных данных мы в едином реестре все равно не увидим. Как и проверок соблюдения требований к распространению информации в интернете. Для них – свои правила. И никаких реестров. Пока, во всяком случае.

И снова об облачных сервисах за рубежом после 1 сентября

9 июня в Москве компания CT Consulting, наш партнер и платиновый партнер Salesforce в России, проводит конференцию с актуальным названием «Защита персональных данных в «облаке» после вступления в силу закона № 242-ФЗ». На мое выступление по теме «Особенности использования облачных сервисов и хостинга зарубежных провайдеров для обработки персональных данных после 1 сентября 2015 года и меры по обеспечению соответствия российскому законодательству» щедро отпущен целый час, поэтому будет время ответить на все возникающие вопросы. Их, думаю, как обычно при обсуждении этой темы, будет немало. Выделю три основных вопроса, которые считаю принципиальными в преддверии 1 сентября 2015 года:

·        можно ли размещать персональные данные в приложениях, находящихся территориально заведомо вне пределов Российской Федерации, таких, например, как Salesforce;

·        как можно и как нельзя будет работать с такими приложениями после вступления в силу изменений в законодательстве;

·        что нужно и можно сделать, чтобы соответствовать закону, используя зарубежные программные приложения.

Ответы на последний вопрос даст в своем выступлении технический директор компании CT Consulting Николай Щенин, который расскажет о решении DFG152 позволяющем реализовать новые требования закона «О персональных данных» для компаний, использующих облачные системы, причем не только в облаке Salesforce, но и в других облачных инфраструктурах.  

Завершит конференцию Николя O'Гормэн, вице-президент по Центральной и Восточной Европе в Salesforce.com, выступлением «Практические вопросы обеспечения соответствия требованиям законодательства о персональных данных на примере облачной CRM-системы Salesforce».

Условия весьма комфортные – после каждого выступления запланирован кофе-брейк с возможностью неформального и персонального общения. Участие бесплатное при условии обязательной, пока открытой, предварительной регистрации.

Приходите. Обсудим. Задумаемся. Поспорим. 

Трудное испытание для отрасли ИБ или выпустить джина из бутылки

На Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения выложен проект Постановления Правительства «Об утверждении Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации» (далее – Положение). Мнения по нему уже высказали два Алексея – Лукацкий и Волков. Но документ, на мой взгляд, очень сложный и с несколькими скрытыми пластами, поэтому посчитал нужным обратить внимание на некоторые нюансы, в комментариях коллег не отраженные. Данный пост будет касаться исключительно одного вопроса – привлечения к проверкам Роскомнадзора экспертов и экспертных организаций. Его затрагивал в своем посте Алексей Волков, но я хотел бы посмотреть на эту проблему с другой стороны.

У нее есть несколько составляющих, каждая из которых требует тщательного анализа и осмысления.

Итак, в соответствии с п.9.7 Положения, для оценки и анализа мер, принятых государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», могут привлекаться эксперты и (или) экспертные организации, аккредитованные в порядке, установленном Федеральным законом от 28.12.2013 № 412-ФЗ «Об аккредитации в национальной системе аккредитации» (далее – закон об аккредитации). Норма не новая, она существовала и раньше, и в отношении контроля и надзора вводилась частью 2 статьи 7 Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля». Отметим лишь пока только то, что с 1 сентября надзор в сфере персональных данных из-под регулирования данным законом выводится, значит, и нормативные правовые акты, принятые в соответствии с ним, на этот вид надзорной деятельности не распространяются, если это не оговорено особо в их тексте.

В 2012 году Роскомнадзор активно проводил работу по аккредитации экспертов и экспертных организаций, и в реестры, размещенные на сайте ведомства, включены 30 экспертных организаций и 25 экспертов. Среди организаций преобладают интеграторы из Москвы, Питера и регионов, активно продвигающие свои услуги на рынке обеспечения соответствия обработки и защиты персональных данных, известные и не очень. Среди экспертов тоже знакомые лица, которые работают на этой ниве, остальные, смею предположить, тоже из компаний, имеющих отношения к данному направлению деятельности.

Что же предполагается возможным поручить привлекаемым экспертам и экспертным организациям? Проект Положения на этот вопрос ответа не дает, но он есть в упомянутых выше реестрах привлекаемых к проверкам лиц:

·         обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности;

·         оценка соответствия применяемых технических средств защиты информации;

·         оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных;

·         проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.

Полномочия, как мы видим, связаны в основном непосредственно с анализом технической защищенности ИСПДн, в то время, как в преамбуле проекта Положения прямо указано, что оно устанавливает порядок осуществления государственного контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, за исключением деятельности по осуществлению контроля и надзора за выполнением организационных и технических мер по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн, установленных в соответствии со статьей 19 закона «О персональных данных». Но А. Волков уже обращал внимание в своей публикации, что пунктом 24 проекта Положения предусматривается, что должностными лицами, указанными в приказе о проверке, в пределах своей компетенции проводится проверка документов, локальных актов, а также принятия государственным органом, органом местного самоуправления, юридическим лицом, физическим лицом мер, указанных в части 1 статьи 18.1 Федерального закона «О персональных данных». А там, как мы помним, есть п.3 – «применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона».

Оставим пока в стороне это несоответствие. Займемся непосредственно проблемой привлечения экспертов и экспертных организаций. Для начала отметим, что должностные лица надзорного органа, проводящего проверку, и эксперты в приказе о ее проведения указываются поименно, а вот представителей экспертных организаций перечислять не предусматривается, что создает возможность привлечения к проверке неограниченного количества работников экспертной организации.

На мой взгляд, участие в проверках компаний, оказывающих услуги на этом же рынке, и экспертов из них создает, как минимум, три группы проблем.

Первая. Проблемы морально-этические. Интегратор А (для простоты будем именовать всех, оказывающих услуги на этом рынке, интеграторами, хотя там есть и другие игроки) привлекается к проверке в организации, где проект по выполнению требований законодательства о персональных данных был сделан интегратором Б. Сами понимаете, соблазн «мокнуть в воду» весьма велик, конкурент, как-никак. Как уже много раз писали и говорили наши эксперты-блогеры в сфере персональных данных, и я в том числе, закон и подзаконные акты написаны так, что их исполнение целиком и полностью зависит от трактовки, поэтому поле для «творчества» необъятное. Попутно порешать проблемы конкурентной борьбы, да еще и склонить проверяемую организацию на последующее оказание услуг интегратором Б, нарисовав ужасные картины перечня выявленных нарушений и недостатков в двух вариантах – «вы нас не приглашаете» и «вы нас приглашаете» для их исправления.

Соблазны неприятны и трудно преодолимы, особенно при отсутствии изначально соответствующей установки руководства экспертной организации или эксперта о допустимости продвижения своих услуг и соответствующих тормозов у конкретных участников процесса. Именно поэтому я вынес в заголовок поста слова про испытание для отрасли и выпущенного из бутылки джина. Загнать его обратно, в соответствии с восточными сказками, будет очень трудно. Сказка, конечно, ложь, но намек очевиден. Разговоры типа «Мы завтра начинаем работать в «Рогах и копытах» с Роскомнадзором, говорят, вы там нормативку писали и частную модель угроз рисовали, систему защиты проектировали. Что делать будем?» между топами и не очень топами интеграторов на нашем маленьком и тесном базарчике могут существенно подорвать мир и спокойствие.

Проблема вторая. Операторская. Выполнение возложенных на внешних экспертов задач предполагает глубокое погружение в ИСПДн проверяемой организации, а значит – и доступ к персональным данным. Если это должностные лица Роскомнадзора, обосновать такой доступ как-то можно, тем более, что в проекте Положения для них есть п.9.5: «получать доступ к информационным системам персональных данных для оценки законности деятельности по обработке персональных данных, в том числе, на предмет соответствия содержания, объема, способов обработки, сроков хранения обрабатываемых персональных данных целям их обработки». Хотя надо заметить, что постановление правительства – не закон, а доступ к персональным данным без согласия субъекта на основании не закона, а нормативного правового акта закон о персональных данных не допускает.

Это общая и серьезная проблема, недавно один из наших клиентов разруливал ситуацию с субъектом, чьи данные были переданы в орган исполнительной власти в ответе на его запрос, а субъект с этим категорически не согласился. Но при любых вариантах давать доступ без согласия субъекта к его персональным данным представителям коммерческой организации оператор никак не может. И что ему делать? «Препятствовать проверке», т.е. совершать административное правонарушение? Ответа нет, а риск есть. Кроме персональных данных, в ИСПДн может быть и другая информация о субъекте, доступ к которой ограничен законом, и эксперты его получать не должны. Например, врачебная тайна (при проверке учреждений здравоохранения), тайна связи (при проверке операторов связи) и т.п. Сцилла и Харибда слишком близко, лодочка позиций оператора очень хлипкая, и все риски только его. И прецедентов, когда суды признают доступ третьих лиц к персональным данным и сведениям о частной жизни неправомерным их разглашением, достаточно. Я тоже об этом писал. Здесь, например.

Проблема третья. Тоже операторская, но другая. Во многих случаях сведения о клиентах-физических лицах относятся использующей их организацией к коммерческой тайне. И российские суды охотно соглашаются с правомерностью такого отнесения, привлекая к уголовной ответственности за попытки продать или помимо воли обладателя каким-либо способом использовать такие сведения работниками владельца секретов или соглашаясь с законностью увольнения работников за разглашение баз данных клиентов. О последнем случае стало известно несколько дней назад – работник страховой компании в очередной раз реализовал на рынке базу застрахованных лиц. Закон о коммерческой тайне четко определяет обязанность безвозмездно предоставить информацию, составляющую коммерческую тайну, органу государственной власти или заключить гражданско-правовой договор о ее передаче с контрагентом. А вот про экспертные организации он ничего не знает и поэтому не определяет. И опять выбор между препятствованием проверке и защитой своих законных интересов и прав как обладателя коммерческой тайны.

Это проблемы, которые мне показались самыми важными при анализе вопроса привлечения экспертов. На самом деле их гораздо больше. Например, на сайте Роскомнадзора в качестве основания для создания реестров экспертов и экспертных организаций указано Постановление Правительства от 20.08.2009 № 689 «Об утверждении правил аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю». А оно уже год как утратило силу, и порядок совсем теперь другой, и форма заявления тоже.

Времени на еще один пост по проекту Постановления у меня уже не будет, работы много. Поэтому очень коротко о том, что мне показалось в нем новым и крайне важным. Выводы делайте сами:

·         Самое важное, по моему мнению. У Роскомнадзора может появиться право выдавать обязательные для исполнения требования о приостановлении или прекращении обработки персональных данных, осуществляемой с нарушениями требований закона о персональных данных. В случае неисполнения требования о приостановлении деятельности по обработке персональных данных по месту нахождения нарушителя в суд подается исковое заявление с требованием признания осуществляемой деятельности по обработке персональных данных незаконной и мер по их удалению. Информация о неисполнении требования направляется в Генеральную прокуратуру или прокуратуру субъекта Российской Федерации для рассмотрения вопроса о принятии мер прокурорского реагирования. Это может стать главным последствием принятия документа.

·         Право Роскомнадзора обращаться в правоохранительные органы, органы прокуратуры за содействием в установлении лиц, виновных в нарушении требований законодательства Российской Федерации, допущенных при обработке персональных данных.

·         Периодичность плановых проверок в отношении юридических лиц – не чаще одного раз в два года, а не три, как в 294-ФЗ.

·         Узаконенные внеплановые проверки по обращениям граждан, информации от органов государственной власти, органов местного самоуправления и средств массовой информации о подтвержденных фактах нарушений, по итогам мероприятий систематического наблюдения, на основании подтвержденного факта несоответствия сведений, содержащихся в уведомлении об обработке персональных данных, фактической деятельности, в случае неисполнения требования Роскомнадзора или территориального органа об устранении выявленного нарушения требований.

·         Срок проведения документарной проверки - до 60 рабочих дней (в 294-ФЗ – 20) с возможностью продления еще на 20.

·         Проведение плановых и внеплановых проверок не требует согласования с органами прокуратуры, за исключение внеплановых проверок по обращениям граждан.

·         Никакие материалы, подготовленные привлекаемыми к проверке экспертами и экспертными организациями, к акту не прилагаются, эксперты и представители экспертных организаций акт проверки не подписывают.

·         Блокирование, уничтожение недостоверных персональных данных или полученных незаконным путем персональных данных осуществляется оператором в порядке, установленном Роскомнадзором.

·         Нарушение требований, выявленных в результате проведения мероприятий систематического наблюдения, а также анализа и оценки состояния исполнения требований законодательства подлежит устранению в срок не более 10 календарных дней (вспомним российские «длинные» праздники).

Рецептов не будет. Будет предложение – активно поучаствовать в обсуждении и подготовить ответы на 12 вопросов, поставленных на Едином портале, где опубликован проект, как уже сделал А. Волков. Вместо следующего поста на эту тему я, в свою очередь, опубликую свои ответы.

И последнее. Проект мы проанализируем 25-26 мая на курсе КП32 в Учебном центре «Информзащита» и 28 мая на семинаре «Изменения в законодательстве о персональных данных и коммерческой тайне, их влияние на бизнес» в Бизнес Школе Консультант. Курс и семинар получатся эксклюзивными, до сентября больше ничего подобного не будет. А в сентябре оценим уже не проект, а Постановление. Сомнений, что оно будет принято, у меня нет.

Михаил Емельянников, КА «Емельянников, Попова и партнеры». На линии киберобороны

В эксклюзивном интервью ведущему JSON.TV Сергею Корзуну управляющий партнёр консалтинговой компании «Емельянников, Попова и партнёры» Михаил Емельянников рассказал о ситуации с персональными данными, о кибервойнах и реальных угрозах цифрового мира.

В полном видеоварианте интервью Михаил Емельянов отвечает на вопросы о главных угрозах информационной безопасности, о путях решения некоторых сложных вопросов применения 152-ФЗ, о возможности блокирования на территории России Интернет-ресурсов, которые не смогут соответствовать российскому законодательству.

Продолжительность – 47 мин.

Несколько цитат из интервью:

«Я, например, уже перестал интересоваться выступлениями зарубежных спикеров на российских мероприятиях, потому что они говорят о среде функционирования безопасности, очень далекой от нашей. У нас очень сильно государственное регулирование. И, в отличие от многих стран, это регулирование технологическое, а не правовое, что создает массу нюансов».

«Есть страны, где нет криптографии вообще. Есть страны, которые криптографией занимаются и ограничивают максимально возможность использования зарубежной криптографии. Да, Россия имеет великолепную школу, и у нее криптография – одна из лучших в мире».

«Сейчас все ведущие государства мира фактически создают кибервойска, которые решают примерно те же задачи, что решает служба информационной безопасности в коммерческих организациях. Это защита информации, противодействие несанкционированному доступу, ведение наступательных операций».