Обсудим особенности обработки персональных данных в негосударственных пенсионных фондах

16 марта пройдет семинар по персональным данным, на этот раз – для негосударственных пенсионных фондов, пенсионных администраторов, страховых и управляющих компаний, который мы проводим совместно с Национальной ассоциацией негосударственных пенсионных фондов (НАПФ), а точнее – ее Учебно-методическим информационным центром.

Опыт наших проектов в этих организациях показывает, что их деятельности присуща специфика, существенно отличающая их от других операторов персональных данных, что требует отдельного анализа и обоснования правовых оснований обработки персональных данных, их допустимого состава.

В первую очередь, это связано с категориями субъектов, чьи данные обрабатываются в фондах. Помимо обязательных для всех операторов работников, их родственников, соискателей вакантных должностей, посетителей, представителей контрагентов и субъектов персональных данных, значительное количество сведений относится к вкладчикам, участникам фонда и клиентам по негосударственному пенсионному обеспечению, страхователям и застрахованным лицам, правопреемникам участников фонда и застрахованных лиц, выгодоприобретателям, а также агентам фонда, действующим на основании договора и обязавшихся совершать по поручению фонда действия как от своего имени, но за счет фонда, так от имени и за счет фонда. Для каждой такой категории необходимо определить наличие предусмотренных законом оснований для обработки данных, необходимость получения согласия и его форму, состав сведений, необходимых и достаточных для достижения предопределенных целей обработки, но не выходящих за установленные ими пределы.

Да и перечень законов и иных нормативных правовых актов, содержащих основания обработки персональных данных, помимо традиционного закона «О персональных данных» и Трудового и Гражданского кодексов РФ дополняется большим количеством документов, устанавливающих те или иные нормы, к примеру:

·         ФЗ от 07.05.1998 № 75-ФЗ «О негосударственных пенсионных фондах»;

·         ФЗ от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

·         ФЗ «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений»;

·         ФЗ от 24.07.2002 № 111-ФЗ «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации»;

·         Постановление Правительства РФ от 03.11.2007 № 742 «Об утверждении Правил выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, правопреемникам умершего застрахованного лица средств пенсионных накоплений, учтенных на пенсионном счете накопительной части трудовой пенсии»;

·         Постановление Правительства РФ от 21.12.2009 № 1048 «Об утверждении Правил единовременной выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, средств пенсионных накоплений лицам, которые не приобрели право на установление трудовой пенсии по старости»

·         Постановление Правления ПФР от 31.07.2006 № 192п «О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и Инструкции по их заполнению».

И в каждом из документов содержатся обязательные требования, которые необходимо учесть при организации работы негосударственного пенсионного фонда, разработки локальных нормативных актов, договоров с контрагентами и субъектами персональных данных.

Часть этих норм требует для их реализации дополнительных усилий, а часть, напротив, существенно облегчает деятельность оператора, освобождая его от весьма трудоемких, а иногда и затратных действий по реализации норм закона «О персональных данных». Крайне важными здесь представляются положения статьи 15 закона «О негосударственных пенсионных фондах», к которым в свое время приложил руку и я, в соответствии с которыми фонд не обязан получать согласие вкладчиков-физических лиц, страхователей-физических лиц, участников, застрахованных лиц, выгодоприобретателей на обработку персональных данных, касающихся состояния здоровья указанных лиц и предоставленных ими или с их согласия третьими лицами в объеме, необходимом для исполнения договора, а также право фонда поручить обработку персональных данных указанных выше лиц организациям при определенных условиях.

В ходе семинара будет рассмотрена позиция регулятора и надзорного органа в отношении негосударственных пенсионных фондов – Банка России, связанная с организацией обработки персональных данных и обеспечением информационной безопасности, новые тенденции ее правового регулирования, озвученные на магнитогорском форуме по банковской безопасности. 

В заключении семинара будет подробно проанализирована система контроля и надзора за соблюдением законодательства о персональных данных, ее изменения, произошедшие после 1 сентября 2015 года, примеры из практики надзорной деятельности, типичные нарушения, выявляемые при проведении надзорных мероприятий и мероприятий систематического наблюдения, а также практика разрешения судебных споров, связанных с персональными данными.

Учитывая, что во многих негосударственных пенсионных фондах подразделений по информационной безопасности традиционно нет, а занимаются описанными выше проблемами самые разные специалисты, мы вместе с НАПФ надеемся, что семинар поможет им разобраться в непростых вопросах и обеспечить соответствие обработки персональных данных всех категорий субъектов закону. 

С 4 марта: ДСП поверх коммерческой тайны

Отродясь такого не видали, и вот опять! Бесценное наследие Виктора Степановича Черномырдина по-прежнему на вооружении в Белом доме. Заповеди исполняются неукоснительно: «Хотели как лучше, а получилось как всегда».

В соответствии с Постановлением Правительства РФ от 20.02.2016 № 123 завтра (04.03.2016) вступают в силу изменения в приснопамятное Постановление Правительства от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии», подписанное как раз Виктором Степановичем (далее - ПП-1233).

Изменение совсем коротенькое: пункт 1.2 Положения дополнить словами «, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами».

Видимо, никто особого внимания на это не обратил, мы, честно говоря, тоже, пропустили этот эпохальный документ, но позвонили уважаемые заказчики и задали вопрос: «Что это было?».

После внесения изменения пункт 1.2 ПП-1233 полностью выглядит так: «К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами».

Напомню, что организации в данном случае – это федеральные органы исполнительной власти и уполномоченный орган управления использованием атомной энергии (Госкорпорация «Росатом»), а также подведомственные им предприятия, учреждения и организации.

Далее будем руководствоваться замечательным тезисом, изложенным в труде под названием «Федеральный закон «О персональных данных»: Научно-практический комментарий» под редакцией заместителя руководителя Роскомнадзора А.А. Приезжевой: «Принцип формальной определенности закона, сформулированный в практике Конституционного Суда РФ, вытекает из ч. 1 ст. 1, ч. 2 ст. 4, ч. 2 ст. 6, ч. 2 ст. 15 и ч. 1 ст. 19 Конституции РФ и предполагает точность, ясность и недвусмысленность правовых норм, без чего не может быть обеспечено единообразное понимание и применение таких норм, а значит, и равенство всех перед законом». Там же есть и еще один очень правильный тезис про применение в правоприменительной практике «по умолчанию» буквального толкования установленных правовыми актами норм. Тезисы действительно очень важные и очень правильные, я их во все свои курсы с анализом законодательства включил.

Итак, что же теперь надо делать в организациях, чья деятельность регламентируется ПП-1233  при буквальном толковании?

На все документы, поступающие в такие организации и содержащие сведения, доступ к которым ограничен законом, надо ставить пометку «Для служебного пользования» или ДСП, как часто принято. На все.

А что это за документы? Много раз уже отмечалось, что тайн в нашем законодательстве много, сколько - точно не знает никто. Но поскольку речь идет об органах власти, а ПП-1233 регулирует отношения, связанные со сведениями, «содержащимися в подготавливаемых в федеральных органах исполнительной власти проектах указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, других служебных документов», для классификации этих сведений вполне обоснованно применять нормы Указа Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» (далее – Перечень). Указ вовсе не вводит универсального классификатора, как часто это пытаются представить, но как раз для указанных выше случаев и предназначен: «В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти».

Итак, все документы, подпадающие под Перечень, надо маркировать пометкой «ДСП». Поступили документы с персональными данными в любую организацию, указанную в ПП-1233, – ставим пометку, пришла налоговая отчетность в ФНС, кроме подпадающей под общедоступную – ставим пометку (налоговая тайна), пришел запрос из суда или органов следствия и дознания – тоже ставим (тайна следствия и судопроизводства).

Дальше – больше. Все документы, содержащие врачебную тайну в Минздраве, его службах и агентствах, должны быть с пометкой «ДСП» - они именно поступили и составляют профессиональную тайну в терминах Указа № 188. Причем в самих лечебно-профилактических учреждениях их помечать как ДСП не надо, даже если они подведомственны Минздраву, ПП-1233 этого не требует.

Дальше – еще больше. Пришел в госорган документ с грифом «Коммерческая тайна» в рамках исполнения обладателем секретов обязанностей, предусмотренных ст.6 закона «О коммерческой тайне», на котором в соответствии с новой нормой тоже необходимо поставить над (или сверху, или ниже?) предусмотренным законом грифом так называемую пометку, о которой в федеральных законах ничего не сказано. Поэтому неясно, как гриф с пометкой соотносятся.

По-прежнему неясны правовые последствия простановки пометки «ДСП» и разглашения сведений, содержащихся в таких документах. Привлечь к административной ответственности по статье 13.14 КоАП и уж тем более по статье 183 УК РФ нельзя, поскольку в них речь идет об охраняемой законом тайне. А работникам организаций, не указанных в ПП-1233, до нее вообще дела нет. Постановление не регламентирует их деятельность.

Вот пишу все это и думаю: а зачем??? Зачем запутывать еще больше и без того запутанную ситуацию с ограничением доступа к информации? Я уже неоднократно писал про сумбурность и бессистемность нормотворчества, связанного с секретами и ограничением доступа к информации, например, здесь, здесь и здесь. Вот и сейчас не понятны ни цели вносимых изменений, ни ожидаемые от внесения результаты и их влияние на субъектов правоотношений.

Ровно четыре года назад я писал про служебную тайну, которая вроде бы есть, но которой совсем нет. Ничего не изменилось. Вместо того, чтобы выполнять прямые и конкретные требования федерального закона от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», предусматривающие принятие федерального закона и ввод им в действие перечня сведений, составляющих служебную тайну, все время создаются какие-то суррогаты, проблемы никак не решающие. А обладатели секретов ждут и запутываются еще больше.

Microsoft приглашает юристов поговорить об информационных технологиях и законодательстве о персональных данных

С 14 по 18 марта российское подразделение Microsoft проводит в Питере Business Week – пять мероприятий для бизнеса и о бизнесе для различных категорий топ-менеджмента.

В первый же день бизнес-недели, 14 марта, пройдет довольно нестандартный для российских встреч подобного рода круглый стол, ориентированный в первую очередь на юристов коммерческих компаний крупного и среднего бизнеса. Заявленные темы, как и выбор целевой аудитории, тоже не очень стандартные: юрист компании как инициатор сокращения расходов на информационные технологии, решения для претензионно-исковой работы и автоматизации работы юридической службы, ну и, конечно, персональные данные в контексте выполнения требований российского законодательства, вступивших в силу с 1 сентября прошлого года (242-ФЗ), при использовании облачных вычислительных инфраструктур и сервисов, а также прикладного программного обеспечения по схеме SaaS.

Для раскрытия последней темы пригласили меня и щедро выделили под это дело почти полтора часа. Так что времени детально разобраться в проблеме будет достаточно. Скажу сразу – я не вижу в законодательных нововведениях барьеров на пути использования облачных вычислений, в том числе с использованием инфраструктур, находящихся за рубежом, и уж тем более полного запрета на их использование, как это иногда пытаются представить. И в ходе своей презентации буду подробно рассказывать, почему, ссылаясь на опубликованные точки зрения по этому поводу Минкомсвязи и Роскомнадзора. Минкомсвязи – потому что именно оно является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных. Роскомнадзора – потому что именно его инспекторы придут (и приходят) проверять выполнение требований закона и оценить соответствие организации обработки установленным требованиям.

Презентацию я планирую разбить на три части:

1.  Что на самом деле написано в Федеральном законе от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

2.  Как правильно организовать сбор и актуализацию персональных данных после 1 сентября 2015 года и выполнить требования закона (на основе анализа понятийного аппарата закона: персональные данные, база данных, сбор данных, способы обработки, трансграничная передача и т.д.).

3.  Организация обработки персональных данных использования облачной инфраструктуры и облачных сервисов, в том числе находящихся за пределами Российской Федерации. Что делать можно и что делать нельзя? (Использование MS Azure, MS Dynamics CRM, Office 365, MS Exchange, Hybrid Identity, SAM Cloud Ready, обезличивания и шифрования персональных данных в новых условиях. Облака Microsoft в России).

Так что, если остались вопросы, которые вы хотели, но стеснялись задать ранее, или не получили на них удовлетворяющего вас ответа – добро пожаловать. Будет время пообщаться и неформально, в кулуарах, если не хочется спрашивать прилюдно. Из вишенок на торте – участие бесплатное, но при условии предварительной регистрации.

Персональные данные на уральском банковском форуме

16-19 февраля в Магнитогорске прошел традиционный Уральский форум «Информационная безопасность финансовой сферы». Из множества традиционных тем, поднятых на форуме, остановлюсь только на одной. Тема персональных данных звучала неоднократно – в выступлении заместителя руководителя Роскомнадзора А.А. Приезжевой, на Круглом столе с регуляторами, который организаторы мероприятия пригласили меня модерировать, и, совершенно неожиданно – в ходе очень интересной презентации первого зампреда Банка России С.А. Швецова. Затронута она была и в выступлении сенатора Л.Н. Боковой, депутата И.Е. Костунова, который говорил о законодательном противодействии фишинговым сайтам.

Я уже отмечал в своем «прямом репортаже» в первый день форума, что выступление А.А. Приезжевой мне показалось весьма интересным и с точки зрения его оформления, и, самое главное, по существу поднятых в нем вопросов. Редко чиновники на таких мероприятиях, да еще в ходе официально-приветственной части, говорят по существу, прямо и с четкими оценками. Полностью презентацию можно посмотреть в блоге А. Лукацкого.

В выступлении, как обычно, было две новости для банков: плохая – о том, что на долю кредитных организаций (подозреваю, что сюда попали и коллекторы, но прямо это не услышал) устойчиво приходится 40-45% жалоб субъектов о нарушении их прав в сфере персональных данных. И хорошая – о том, что лишь 6-9% изложенного в жалобах подтверждается при их рассмотрении. Все-таки научились банки решать «бумажные проблемы» соответствия требованиям и правильно писать документы.

Значительная часть жалоб касается передачи персональных данных третьим лицам (в основном это, конечно, коллекторы), действий банков после отзыва согласия субъекта на обработку и, при исполнении условий договора или его расторжении. От себя: никак вкладчики-заемщики не могут уяснить, что банк не будет и не может уничтожать их данные после завершения действия договора и даже при отзыве согласия. Часть 4 ст. 7 «антиотмывочного закона» 115-ФЗ не разрешает: «Документы, содержащие сведения, указанные в настоящей статье, и сведения, необходимые для идентификации личности, подлежат хранению не менее пяти лет. Указанный срок исчисляется со дня прекращения отношений с клиентом». Более того, нарушение работником банка этого требования при определенных обстоятельствах может стать основанием для привлечения его к уголовной ответственности.

В отношении коллекторов. Из выступления я понял, что Роскомнадзор, в отличие от Роспотребнадзора, не ставит под сомнение возможность передачи персональных данных должника от банка коллектору без согласия заемщика в рамках цессии – уступки права требования долга. При привлечении же коллекторов в качестве агентов по взысканию просроченной задолженности наличие согласия на это субъекта в кредитном договоре должно быть обязательно, причем, по мнению Роскомнадзора, это согласие должник может отозвать, и тогда банк должен прекратить привлекать агента для взыскания долга именно этого субъекта.

К сожалению, задать вопросы Антонине Аркадьевне не удалось, поэтому приходится свое мнение высказывать в посте, поскольку я с этой позицией надзорного органа не согласен. Во-первых, здесь есть, на мой взгляд, прямой конфликт норм права законодательства о персональных данных и Гражданского кодекса РФ в части агентирования. Глава 52 Гражданского кодекса, которая так и называется – «Агентирование» (как и глава 49 «Поручение», кстати), не вводит обязанности принципала получать согласие на привлечение агентов у кого бы то ни было, в том числе – у физических лиц. А статья 15 закона «О потребительском кредите (займе)» прямо предусматривает возможность привлечения агента при взыскании долга и устанавливает его обязанности, однако стыдливо умалчивает о требованиях при заключении агентского договора и его существенных условиях. Кстати, появилась судебная практика, говорящая о том, что согласие должника на передачу его данных агенту не нужно, если при этом агентом не нарушается конфиденциальность персональных данных, а такие действия кредитора расцениваются как выполняемые для осуществления прав и законных интересов оператора - см., например, здесь и здесь.

Возможность отзыва субъектом согласия только на передачу его персональных данных третьим лицам – коллекторам и требования при получении такого согласия к банку обеспечить прекращение обработки коллекторами персональных данных должника, также не основано на законе и нарушает права банка. Отношения банка с должником являются длящимися, условия договора одной из сторон (должником) не выполнены, и должник вдруг в одностороннем порядке хочет изменить условия договора – возможность привлечения третьей стороны для взыскания долга, при этом долг не возвращает. Если бы он согласия на привлечения коллекторов не давал, то и кредит бы ему, скорее всего, не дали, так что это условие договора вполне может рассматриваться как существенное. Некоторые «добросовестные» заемщики идут еще дальше – они отзывают согласие на использование банком любых контактных данных, кроме почтового адреса. Мы с нашими клиентами постоянно эти ситуации разруливаем.

Во второй день на Круглом столе с регуляторами я задал крайне интересовавший меня (надеюсь, не только меня) вопрос, касающийся исполнения поручений Президента России по итогам первого российского форума «Интернет экономика» о представлении предложений в законодательство по регулированию обработки данных граждан Российской Федерации в сети интернет и внедрению единых подходов к проверке сведений, предоставляемых при банковском обслуживании, в том числе в сети интернет: «Какие дополнительные регуляторные меры нужны, что они должны затрагивать и регламентировать?».

Вторая часть вопроса особенно интересна в свете того, что в упоминавшуюся выше статью 7 115-ФЗ, определяющую порядок идентификации клиентов, только совсем недавно, в 2014 и 2015 годах, внесены изменения восемью Федеральными законами №№ 110-ФЗ, 149-ФЗ, 218-ФЗ, 484-ФЗ, 140-ФЗ, 210-ФЗ, 423-ФЗ, 424-ФЗ. С 27.12.2015 вступило в силу новое «Положение об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», утвержденное Банком России 15.10.2015 № 499-П. Каждое подобное изменение требует корректировки локальных документов банка, в первую очередь – касающихся внутреннего контроля, их прохождение по инстанциям долго и сложно. Вот я пытался выяснить, чего же в супе опять не хватает. Ответы ожидаемы, но не радуют: Роскомнадзор за выработку политики не отвечает, поэтому вопросы – в Минкомсвязь, пожалуйста. За идентификацию клиентов и 499-П отвечает банковский надзор, а его представителя на круглом столе не было.

Похожий по смыслу ответ получен и на обещанный мною ранее вопрос к Роскомнадзору: «В этом году запланированы проверки целого ряда банков, являющихся дочерними организациями крупнейших зарубежных банков - Citibank, HSBC, «Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК». Считает ли Роскомнадзор сведения о движении средств по счету персональными данными, или эти сведения составляют иную охраняемую законом категорию – банковскую тайну. Если это персональные данные, использование АБС и ДБО материнских банков невозможно в принципе, исходя из требований, установленных в 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется в России, а далее они на законном основании выгружаются во «вторичные базы данных» за рубежом, и все идет в рамках закона. Какова будут позиция надзорного органа при проверках?». Ответ – результаты проверок покажут. Следим.

И уж совсем неожиданным оказалось мнение Сергея Анатольевича Швецова, первого зампреда Банка России, которое, как мне показалось, коротко можно сформулировать так: «Конфиденциальность персональных данных в цифровом мире и эпоху интернета? Забудьте. Да и скрывать нечего».

В общем, как обычно, ждем результатов исполнения поручений Президента и правоприменительной практики. Никто легкой жизни не обещал.

ЕСПЧ не разрешил работодателям читать переписку работников. Что же он решил?

Решение Европейского суда по правам человека (ЕСПЧ) по делу «Барбулеску против Румынии» наше Агентство очень порадовало. И даже «Особое частично несогласное мнение судьи г-на Пауло Пинто де Альбукерке» порадовало. Но совсем не тем, о чем сразу после вынесения решения писали СМИ, интернет-ресурсы и блогеры, как в России, так и за рубежом.

Дело в том, что нет в принятом определении разрешения работодателям стран-членов Совета Европы, являющихся сторонами «Европейской конвенции о защите прав человека и основных свобод» (ЕКПЧ) и «Европейской конвенции по защите прав физических лиц при автоматизированной обработке данных» (ETS-108), читать переписку работников и уж тем более в нем нет полного снятия якобы существовавших в Европе ограничений на использование DLP-систем, как бы не хотелось видеть это в документе некоторым авторам. Но в нем есть другие, очень важные моменты.

Мы не стали торопиться с комментариями, а не спеша, с чувством, толком и расстановкой разбирались с этим объемным (более 30 страниц) интересным документом.

Одно очень важное предварительное замечание. Вопреки мнению большого количества комментаторов этого судебного решения, оно носит прецедентный характер. Так работает ЕСПЧ. Именно поэтому в нем дается огромное количество ссылок на самые разные решения не только европейских, но и американских и канадских судов. Нет сомнения, что на дело Барбулеску, его обстоятельства и принятое решение будут много и часто ссылаться в новых решениях, касающихся прав и свобод граждан, работодателей, доступа в интернет и контроля за таким доступом, чтения переписки и прослушивания переговоров, в первую очередь, когда это касается негосударственных организаций.

Я не буду пересказывать всю фабулу дела, об этом можно почитать у многих авторов (на мой взгляд, самое объективное и взвешенное изложение, из того что я читал, – у Ильи Борисова. Остановлюсь только на выводах и уроках из этого процесса.

Суд подтвердил правоту румынских судов двух инстанций, признавших отсутствие нарушений прав инженера Бурбулеску, установленных статьей 8 ЕКПЧ (право на уважение личной и семейной жизни, жилища и корреспонденции и ограничения на вмешательство в них), и не принял жалобу на нарушения положений статьи 6 той же Конвенции (право на справедливое судебное разбирательство). Это все. Никакого права читать переписку в решении суда нет. Но вот в обосновании вынесенного решения румынские и согласившийся с ними европейский суды указали очень много важного и интересного.

В документе постоянно упоминается об обязательности наличия правил доступа в интернет и использования в личных целях компьютеров, копировальной техники и телефонов, о соразмерности и пропорциональности действий работодателя по защите своих прав, допустимости и прозрачности контроля, его регламентации, наличии у работника точных данных о ведении такого контроля и необходимости документального подтверждения этой осведомленности, допустимых способах получения работодателем доказательств причинения работником вреда и наличии альтернатив получения таких доказательств.

Внимания заслуживают, например, такие фразы из решения Суда муниципалитета Бухареста: «Работодатель предоставил доступ в сеть интернет для использования в профессиональных целях, поэтому неоспоримым является тот факт, что работодатель, в силу своего права контролировать деятельность работников, обладает полномочиями осуществлять проверки использования ими сети интернет в личных целях» или «мониторинг переписки заявителя [Барбулеску] был единственным способом установить подлинность линии его [работодателя] защиты».

Апелляционный суд г. Бухареста в своем постановлении подчеркнул, что «нарушение тайны переписки со стороны работодателя было единственным способом достичь указанной законной цели, и надлежащий баланс между необходимостью работника защитить свою частную жизнь и правом работодателя обеспечивать функционирование компании не был нарушен», а ЕСПЧ согласился с тем, что «поведение работодателя было разумным, и мониторинг переписки заявителя был единственным способом установить факт дисциплинарного нарушения».

В особом мнении судьи П.П. де Альбукерке указывается также на необходимость получения работодателем согласия работника на такой контроль.

Так чем же нас так порадовало решение? Оно подтвердило полную правильность, разумность и достаточность предлагаемых нашим Агентством мер по организации мониторинга за использованием работниками средств хранения, передачи и обработки информации. Наши клиенты, в том числе производители и внедренцы DLP-систем, а также клиенты, ведущие мониторинг действий пользователей без специальных систем предотвращения утечек, могут сопоставить содержание подготовленного нами пакета документов с аргументами суда и увидеть, что все условия допустимости доступа к электронным сообщениям, формируемым работником на рабочем месте, следам его доступа к сети интернет и конкретным сайтам сети в документах соблюдены.

Что же это за условия?

1. Открытость мониторинга

Его нельзя осуществлять втайне от работника, без ознакомления его под роспись с регламентом проведения контрольных мероприятий. Из этого следует и требование к содержанию такого регламента: отражение в нем возможных действий работодателя, четкое разделение порядка анализа содержимого сообщений и файлов в автоматическом режиме, техническими средствами, когда с ним не знакомятся третьи лица, в том числе другие работники, и порядка ручного контроля с анализом контента.

2. Определение области мониторинга

Очень важно в таком документе определить конкретно, что анализируется работодателем: электронная почта, интернет-мессенджеры, файлы на файл-серверах и в системах хранения данных, приложениях коллективного пользования, записи в базах данных, телефонные переговоры и т.п. Должны быть определены четкие границы мониторинга и его условия, обеспечивающие невмешательство в личную жизнь, защиту прав иных лиц, не являющихся работниками, но осуществляющих с работниками коммуникации.

Такой подход требует документального фиксирования двух ограничений:

·         запрета на использование предоставленных работодателем средств хранения, обработки и передачи информации в личных целях (как минимум в рабочее время и на рабочем месте – в эру консьюмеризации ноутбуки и смартфоны часто покидают территорию организации);

·         документально подтверждаемого признания работником того, что он не может рассчитывать на конфиденциальность переписки с рабочего места и с использованием учетных записей, созданных в информационной системе работодателя.

3. Получение согласия работников на мониторинг

Исходя из той же позиции, которую изложил в особом мнении судья де Альбукерке, мы всегда рекомендовали получить явное и недвусмысленное согласие работника на такой контроль, а, чтобы не создавать конфликтную ситуацию в последующем, отразить такое согласие сразу при приеме на работу – в трудовом договоре.

4. Ограничение возможностей доступа

В дополнение к регламенту контроля необходимы детальные правила работы со средствами хранения, обработки и передачи информации, а также снижение тяжести контрольных мер за счет установления различного рода фильтров и ограничений – в отношении, например, публичных почтовых сервисов типа mail.ru или gmail.com, интернет-месседжеров (Facebook, ICQ, Telegram и пр.), социальных сетей и других ресурсов. Чем меньше возможностей доступа – тем меньше надо контролировать и создавать конфликтные зоны.

Но, по своему опыту, скажу – при использовании списков запрещенных для посещения ресурсов интернет (RBL) мне никогда не удавалось добиться того, чтобы в Топ-50 самых используемых работниками сайтов хоть раз попал нужный для работы J.  

Необходимо четко определить запреты на типы хранимых и пересылаемых файлов, в первую очередь, мультимедиа, действия при обнаружении вредоносного кода и массу других важных вещей. Чем больше и конкретнее прописано – тем меньше поводов для судебных споров. 

Решение суда – не точка

Особенно, если внимательно почитать особое мнение. Право на доступ к интернету как базовое и фраза «работники не оставляют свое право на неприкосновенность частной жизни и защиты данных каждое утро за дверью рабочего кабинета» еще не раз станут предметом анализа в судах.   

Небольшой комментарий. Российский Трудовой кодекс не рассматривает нерациональное использование рабочего времени, в том числе, доступ в интернет в личных целях, как однократное грубое нарушение трудовой дисциплины, которое может быть основанием для расторжения трудового договора по инициативе работодателя. Но повторное нарушение – это уже повод при наличии дисциплинарного взыскания. Подробнее – у Марии Вороновой.

И еще. В решении ЕСПЧ постоянно даются ссылки на документы рабочей группы Евросоюза по защите физических лиц при обработке персональных данных, изучающей вопросы мониторинга электронной переписки сотрудников на рабочем месте и оценивающей воздействие защиты данных на работников и работодателей, а также на «Свод практических правил Международной организации труда (МОТ) по защите персональных данных работника» 1997 года, который содержит важные правовые руководства, не носящие обязательного характера, для работодателей, работников и судов.

Именно рабочая группа Евросоюза в мае 2002 года опубликовала «Рабочий документ по мониторингу электронной переписки работников», в котором указывается, что работодатель вправе осуществлять контроль за работниками, но это не может служить оправданием нарушения неприкосновенности их частной жизни. Документом устанавливается, что любые меры по контролю должны отвечать следующим параметрам: прозрачность, необходимость, объективность, пропорциональность.

Мне кажется, нам в России не хватает методической и разъяснительной работы регулятора и надзорных органов именно в этом направлении – как правильно выполнять требования законодательства о персональных данных, обеспечивая баланс интересов государства, общества, бизнеса и граждан. 

Между правами, обязанностями и свободами

По просьбе Ассоциации Business Information Security (BISA) написал небольшую статью о режиме коммерческой тайны в организации. Для удобства читателей блога – привожу ее текст ниже.

Задайте себе тривиальный вопрос, есть ли в вашей организации коммерческие секреты, и ответ на него неизбежно окажется столь же тривиальным. Но вот на вопрос, что же с этими секретами делать, простого ответа нет. И годами не стихают споры между сторонниками и противниками установления жесткого контроля над информационными потоками и техническими средствами.

«А на фига?»

С момента появления в Гражданском кодексе РФ ст. 139, определявшей коммерческую тайну (сегодня эта статья утратила силу), а особенно после принятия в 2004 г. специального закона № 98-ФЗ «О коммерческой тайне» в профессиональной среде не утихают споры, суть которых чаще всего сводится к вопросу черного ворона из поэмы А. Вознесенского: «А на фига?». Пессимисты справедливо указывают, что меры защиты секретов, предлагаемые законом, безнадежно устарели и как-то уж очень подозрительно напоминают рекомендации режимщика-пенсионера из 1-го отдела. Все эти грифы, ознакомления под роспись с разработанными не для бизнеса, а для его защиты нормативными актами, учеты осведомленности и прочие посыпанные нафталином меры, извлекаемые из опыта прошлого, а то и позапрошлого века, вызывают оторопь и неприятие у современного бизнесмена.

Требование закона об обязательности установления контроля над соблюдением порядка обращения с информацией, составляющей коммерческую тайну, ситуацию только усугубляет. В организации, задумавшейся о вводе режима коммерческой тайны, тут же находятся доморощенные «правозащитники», громогласно цитирующие нормы Конституции о неприкосновенности частной жизни, праве на личные секреты, на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, которая может быть нарушена только по решению суда. Правда, эти блюстители privacy очень не любят, когда кто-то вспоминает другую норму основного закона: осуществление прав и свобод гражданина не должно нарушать права и свободы других лиц.

Специально для любителей ссылок на Конституцию и неприкосновенность личной жизни на рабочем месте цитирую решение одного из судов по этому вопросу: «Ссылку истца на нарушение ст. 23 Конституции РФ, ч. 2 ст. 55 ГПК РФ суд считает несостоятельной, поскольку информация была извлечена из компьютера, установленного на рабочем месте истца и используемого для осуществления трудовой функции».

Собственно, на этом тему правомерности контроля можно было бы закрыть, но на всякий случай – еще два аргумента. Во-первых, в Уголовном кодексе есть ст. 138.1 «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации». И мне не доводилось слышать, что по ней привлекали производителей или продавцов DLP-систем. Тех, кто заказали в Китае ручки или часы со встроенными камерой и микрофоном, – пожалуйста, а вот производителей средств контроля над доступом к информации – ни разу.

Во-вторых, нередко можно от кого-нибудь услышать, что, мол, недавно работодателя привлекли к ответственности за нарушение тайны переписки, но я ни разу не получил конкретного ответа на просьбу дать ссылку на такое решение суда. Зато более чем достаточно решений, которые основаны на предоставленных работодателем доказательствах «слива» информации, полученных его айтишниками или безопасниками путем анализа, например, электронной почты.

Вот – цитата из определения суда кассационной инстанции 2014 г., оценивавшего возможность рассмотрения жалобы на апелляционное решение, по которому было признано правомерным увольнение работника за разглашение секретов. «К генеральному директору поступила служебная записка директора Департамента информационных технологий, из которой следует, что в ходе проведения контрольной проверки использования корпоративной почтовой системы сотрудниками компании был установлен факт отправки пакета документов на внешние адреса электронной почты, не принадлежащие компании». Суд эту докладную, как и остальные предоставленные ответчиком материалы, рассмотрел, увольнение признал законным и жалобу не принял.

Или – еще одно решение как контрдовод тем, кто считают, что собрать доказательства неправомерных действий сотрудника работодатель не может: «Комиссия во исполнение приказа генерального директора провела проверку на предмет нарушения коммерческой тайны и установила, что ХХХ имела доступ к служебной информации, охраняемой режимом коммерческой тайны, и допускала нарушения этого режима: с использованием персонального компьютера она переписала на личную флэш-карту 57 файлов, содержащих конфиденциальную информацию, и передала по электронной почте третьим лицам сведения о планируемых у заказчика объемах работ и их стоимости».

Что тут думать, трясти надо!

В конечном счете, устанавливая режим коммерческой тайны, обладатель охраноспособной информации решает несколько задач. Он создает правила работы, четко свидетельствующие о недопустимости использования определенной информации вне установленных процедур, контролирует выполнение этих правил и повышает общую дисциплину документооборота, наконец, создает условия для привлечения виновных в нарушении правил к ответственности – дисциплинарной, уголовной, гражданско-правовой. 

Цитата из судебного решения – для тех, кто считает бесперспективным сбор доказательств вины сотрудника за разглашение коммерческой тайны, объективных и субъективных фактов дисциплинарного нарушения с целью увольнения этого работника. «Довод апелляционной жалобы истца о том, что судом не установлено наличие либо отсутствие ущерба, причиненного ответчику в результате действий истца, несостоятелен, поскольку не имеет правового значения и не может повлечь отмену вынесенного по делу решения».

В некоторых случаях даже наличие или отсутствие грифа секретности на документе не является решающим фактором для привлечения «разгласителя» к ответственности. Гораздо важнее, как определены права и обязанности участников правоотношений, связанных с коммерческими секретами.

Случаев привлечения к уголовной ответственности по ст. 183 – очень много: с реальными и условными сроками, большими и маленькими штрафами... Статья работает, если обладатель информации, составляющей коммерческую тайну, действительно заботится о ее сохранности, если его сотрудники и контрагенты знают о возможных последствиях разглашения, «слива» или неправомерного использования тайны.

Ну а теперь вернемся к вопросу, упомянутому в начале статьи: «Есть ли в вашей организации секреты?». Чаще всего на него дает ответ договор с контрагентом, гласящий примерно следующее: «Все сведения о деятельности сторон, полученные ими при заключении, изменении, исполнении и расторжении договора, а также сведения, вытекающие из содержания договора, являются коммерческой тайной и не подлежат разглашению третьим лицам в течение срока действия договора и … лет после его окончания». Но без режима коммерческой тайны и предусмотренных законом мер охраны конфиденциальности эти слова ничего не значат.

Вот что решил арбитражный суд, рассмотрев иск о неисполнении условий договора и разглашении цен продажи: «В отношении сведений о порядке расчетов за услуги по передаче электроэнергии стороны договора перечень информации, составляющей коммерческую тайну, не определяли, порядок обращения с данной информацией и контроль над его соблюдением не установлен, учет лиц, получивших допуск к конфиденциальной информации, не осуществлялся, текст договора не содержит грифа «Коммерческая тайна» с указанием обладателя такой информации». В результате суды первой, апелляционной и надзорной инстанций совершенно справедливо пришли к выводу, что передача третьим лицам информации, четко не определенной в договоре, закона не нарушает, и в возмещении убытков истцу отказали.

Судебная практика по делам, связанным с коммерческой тайной, в нашей стране велика и разнообразна. Ее ведут суды всех инстанций – от районных до Верховного и Конституционного. Есть достаточно четкое понимание того, в каких случаях и почему права обладателей секретов защищаются, а в каких – нет.

Почему же не прекращаются споры о коммерческой тайне среди специалистов по ИБ? Выскажу не очень приятную для нашего сообщества мысль: в большинстве организаций, обращающихся в суды, ИБ-служб нет. Вообще. С нарушителями судятся хлебозаводы и маленькие компании, торгующие по почтовым каталогам, Интернет-провайдеры третьего уровня, Интернет-магазины и разработчики софта. Какая связь? Очень простая. Путь к режиму коммерческой тайны проходит не через службу ИБ, а через бизнес-подразделения. И пока они не осознают ценность режимных мер, коммерческая тайна в организации не появится.

А в заключение – по поводу устаревших механизмов защиты коммерческих секретов. Пока мы спорим, надо ли делать, некоторые делают. Создают новые системы и средства защиты таких секретов, о которых, как правило, не услышишь на российских конференциях. Используют новые технологии, развивают и обеспечивают бОльшую доступность известных технологий, по каким-то причинам не получивших распространения. Но об этом – как-нибудь в другой раз.

Где и когда поговорим о контроле и надзоре

За последние дни к нам поступило много запросов с просьбами прокомментировать те или иные аспекты проведения проверок выполнения законодательства о персональных данных. Один из наиболее частых вопросов – где в ближайшее время будем рассказывать о проведении контрольных мероприятий Роскомнадзором в 2016 году.

25-26 января – первый в этом году курс «Защита персональных данных», который я провожу в Учебном центре «Информзащита» уже почти 9 лет. Мы решили радикально изменить содержание темы «Контроль и надзор за соблюдением законодательства о персональных данных», полностью отказаться от рассмотрения так и не подписанного проекта «Положения о государственном контроле и надзоре за соответствием обработки персональных данных требованиям законодательства Российской Федерации». Вместо этого будет детально рассмотрен «Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных», а также особенности планирования контрольной деятельности Роскомнадзора в 2016 году. Больше внимание будет уделено набирающей силу практике систематического наблюдения за деятельностью операторов персональных данных.

Конечно, будут добавлены примеры из судебной практики, из материалов проверок и Научно-практического комментария к закону «О персональных данных», подготовленного специалистами Роскомнадзора, иллюстрирующие существующие на сегодняшний день подходы к требованиям законодательства. В частности, слушатели курса узнают, почему работодателю опасно сканировать и хранить паспорт и иные документы работника, можно ли привлекать к взысканию долга коллекторов и иные организации, и как на это смотрят суды и надзорные ведомства, имеет ли право кассир в магазине требовать паспорт у покупателя и многое другое.

Как обычно, поделюсь опытом реализации нашим агентством проектов по персональным данным в различных отраслях, в том числе, в иностранных и  международных компаниях

Точно, что скучно не будет!

С новым рабочим годом. Читаем планы проверок Роскомнадзора. Часть 2

Продолжаем начатый во вчерашнем посте анализ плана проверок. В СЗФО все гораздо сложнее и запутаннее. Планов несколько.

В «Плане проведения проверок органов местного самоуправления и должностных лиц местного самоуправления на 2016 год» 5 муниципальных органов, все проверяются по персональным данным. Первая из проверок по плану должна была начаться позавчера, 11 января, в первый рабочий день после длинных каникул. В «Плане проведения плановых проверок юридических лиц (их филиалов, представительств, обособленных структурных подразделений) и индивидуальных предпринимателей на 2016 год» ни одной проверки по персональным данным нет.

Но зато в «Плане деятельности Управления Роскомнадзора» по Северо-Западному федеральному округу в 2016 году» картина совсем иная. Там два интересных раздела: «3.4. Осуществление контроля за соблюдением обязательных требований в сфере защиты прав субъектов персональных данных», в котором предусмотрено 20 мероприятий систематического наблюдения (об этом направлении деятельности надо писать отдельно, может быть, несколько позже удастся) и «Организация и проведение государственного контроля (надзора) за соответствием деятельности операторов, осуществляющих обработку персональных данных, являющихся государственными органами, юридическими и физическими лицами, требованиям законодательства Российской Федерации в области персональных данных». В этом разделе четкой линии и направленности, как в ЦФО, я не увидел. Несколько вузов и других образовательных учреждений, банк «Санкт-Петербург», «Несте» (сеть заправок с финским участием), «Госзнак», кабельная сеть, колл-центр, пара предприятий ЖКХ.

Из интересного и вписывающегося в концепцию – питерское подразделение «Бритиш Американ Тобакко», «В Контакте» (так в плане), «Ти-Джей Трэвел», «Кронвелл Отель Менеджмент», «Бентли» (ох, уж эти автолюбители!), «Единый визовый центр», «Две палочки» (привет «Макдоналдсу»!), «Негосударственный пенсионный фонд Оборонно-промышленного комплекса». В целом довольно скучно, учитывая резидентов Питера и окрестностей.

Зато про планирование в Вологодской области читал, как детектив. Изначально план был утвержден 29 октября прошлого года, и в нем 13 из 17 проверок затрагивали тему персональных данных. Руководителем территориального органа было приказано отправить план на согласование в прокуратуру. 25 ноября его же приказом № 168 все проверки по персональным данным были… из плана исключены: 10 просто удалены, в оставшихся трех тема была изменена на выполнение лицензионных условий в области связи и использование радиочастотного спектра. Итого в плане осталось 7 проверок, и все не про персональные данные. В обоснование этих действий в приказе указаны любимый 242-ФЗ, а также 294-ФЗ, положение о территориальном управлении и письмо Генеральной прокуратуры от 29.10.2015 № 76/2-547-2015. Тоже тема для анализа.

В УрФО две проверки муниципалов. По теме «проверка соблюдения обязательных требований в сфере обработки персональных данных» территориальное управление будет проверять Администрацию городского округа Верхняя Пышма вместе с территориальными управлениями Федеральной службы государственной регистрации, кадастра и картографии и Федеральной службы по ветеринарному и фитосанитарному надзору, а Администрацию Артемовского городского округа – вместе с Минстроем, Минприродресурсов области, автодорожным надзором, тем же ветеринарным и фитонадзором, а также Роспотребнадзором. Без комментариев. Среди не-госов в план первоначально были включены потребительский кооператив «Народный капитал», негосударственные образовательные учреждения, «ЕВРАЗ Качканарский ГОК», ФГУП «Электрохимприбор», больница, местные филиалы «Райффайзенбанка» и «Активкапитал Банка». А 2 декабря приказом руководителя 10 субъектов проверок по теме персональных данных из плана были исключены без объяснения причин.

Если Алексей Лукацкий прав в своем предположении о том, что и порядок контроля и надзора в отношении персональных данных, а также свои полномочия Роскомнадзор будет регулировать самостоятельно, нас ждут веселые времена. В полном соответствии с точкой зрения представителей ведомства: «Практика правоприменения покажет. Если надо, подкорректируем».

И в заключение, в порядке пожеланий. Уважаемые господа чиновники. Нельзя же так мучить субъектов надзора. Планы в форматах pdf (не допускающем поиск), абсолютно нечитаемом кривом tiff (оба формата требуют поворота страниц в разные стороны), иногда – Word и Excel. Нормализуйте форматы, пожалуйста. 

С новым рабочим годом. Читаем планы проверок Роскомнадзора. Часть 1

Новый рабочий год в нашем агентстве, в силу специфики деятельности, традиционно начинается с тщательного изучения плана проверок Роскомнадзора. В этот раз он начался почти невероятно. Впервые за последнее время Роскомнадзор не вывесил до начала года план проверок на своем сайте. И не только проверок в отношении персональных данных, не очень элегантно выведенных законодателями с 1 сентября 2015 года из-под регулирования Федеральным законом 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», и не требующих теперь согласования с прокуратурой (об этом я писал здесь), но и сводного плана плановых (извините за тавтологию) проверок ведомства на 2016 год.

Вместо сводного плана на первой странице официального сайта надзорного органа 31 декабря появилась короткая, но весьма интересная публикация под заголовком «О планировании контрольно-надзорной деятельности в области персональных данных на 2016 год», в которой сообщалось, что «Роскомнадзором завершено планирование контрольно-надзорной деятельности в области персональных данных. С учетом изменений, внесенных в действующее законодательство Российской Федерации, процесс планирования опирался на анализ деятельности операторов с учетом правоприменительной практики, сложившейся с 1 сентября 2015г. В общей сложности на 2016 год запланировано более 1000 плановых проверок и около 2000 мероприятий систематического наблюдения персональных данных… В ходе указанных проверок в том числе будет осуществляться контроль за исполнением операторами требований по локализации баз данных на территории Российской Федерации». Далее указывается, что «По состоянию на 31 декабря 2015 года планы территориальных органов Роскомнадзора размещены на официальных сайтах территориальных органов Роскомнадзора в соответствии с требованиями административного регламента ведомства», куда всем желающим, видимо, и надо заглянуть, чтобы узнать о перспективах увидеть представителей надзора в гостях.

Что ж, мы люди привычные к хождению не простыми путями, посмотрим сайты территориальных органов, в частности, управлений по ЦФО, СЗФО, УрФО и Вологодской области.

В ЦФО документ называется «План деятельности Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Центральному федеральному округу в 2016 году». Этот план дает, пожалуй, наиболее полное представление о стратегии контрольной деятельности ведомства в новых реалиях.

Первым из гигантов, попадающих под раздачу, стала корпорация Microsoft, заодно с ней будут проверены HP и Samsung. Почему именно эти две компании, знает только автор задумки, но в отношении Microsoft, которая активно и давно сотрудничает с правительствами и спецслужбами по всему миру, в том числе и в России, раскрывая свои исходные коды и предоставляя их для сертификации по требованиям безопасности, такое решение заставляет задуматься. Корейским вендорам, похоже, спонсорство на международной конференции Роскомнадзора и громкие публичные заявления о переносе всего в Россию тоже не очень помогло.

Следующая и самая большая по численности группа – российские дочки зарубежных банков. Здесь команда подобралась более, чем достойная: Citibank, HSBC, «Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК», а заодно с ними – и «Московский кредитный банк», «Национальное бюро кредитных историй» и форекс-брокер «Альпари». В отношении дочек зарубежных банков просматривается интересная тема – будет ли Роскомнадзор считать сведения о движении средств по счету персональными данными, или согласится с тем, что эти сведения составляют иную охраняемую законом категорию – банковскую тайну. Если это персональные данные, использование АБС и ДБО материнских банков невозможно в принципе, исходя из требований 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется в России, а далее они на законном основании выгружаются во «вторичные базы данных» за рубежом, и все идет в рамках закона. Вот она, могучая сила трактовки, о которой столько уже понаписали блогеры! Постараюсь этот вопрос обсудить на круглом столе с регуляторами в Магнитогорске – тема увлекательнейшая.

Третья группа – зарубежные производители косметики, физически представленные в России и так любящие программы лояльности и рекламные рассылки потребителям. Набор почти полный: «Амвэй», «Эйвон Бьюти», «Ив Роше Восток», «Мэри Кэй», «Орифлэйм» и попавшая в достойную компанию отечественная «ФАБЕРЛИК» (к вопросу о целесообразности иноязычных названий J). Здесь, я так понимаю, центральным вопросом будет местонахождение вожделенных CRM-систем и наличие доказываемого согласия на продвижение товаров путем прямых контактов по каналам связи (тема, хорошо знакомая получателям ежедневных смс-рассылок о 50-процентных скидках сами-знаете-от-кого).

Следующая группа – продавцы автомобилей и ритейл. В первой подгруппе – тоже цвет мировой промышленности и российских дилеров: «Крайслер», «Фольксваген», и, для полного комплекта, «Рольф». Попадают ли персональные данные счастливых обладателей новых авто за рубеж, и если да – то как? Хороший вопрос.

Ритейл: «Перекресток», «ИКС 5 Ритейл Групп», близко к ним находится с точки зрения возможных проблем с законом «Макдоналдс».

Столпы туризма: «Пегас Туристик» (главное направление до недавнего времени – Турция), «ФорСи» (российское подразделение Four Seasons TravelNotes), «Островок.Ру» (отечественная система бронирования отелей), «Сирена-Трэвел» (отечественная система бронирования авиабилетов и не только), «Азимут Хотелс Компани» (международная сеть отелей), «Гелиопарк» (российская сеть отелей). Здесь тоже все понятно. Трансграничка, неадекватные страны, Турция и Египет. Согласия субъектов, в том числе не являющихся стороной договора, но получающих услуги (члены семьи, большие компании по интересам, «корпоративный туризм»). Программы лояльности, скидки, поручения многочисленным контрагентам со всего мира (бронирование, трансферы, гиды и прочее), часть 3 статьи 6 152-ФЗ в полном объеме. Сказка для знающего проверяющего.

Дошли, наконец, руки, и до порталов по поиску работы и подбору персонала «СуперДжоб» и «Хэдхантер». Здесь проверяющих тоже ждет масса интересного, если углубятся. Одни лицензионные соглашения чего стоят. Ну, и где хостятся базы, если поискать?

Негосударственные пенсионные фонды: «Согласие», «Лукойл-Гарант». Наряду с коллекторами это область бизнеса, вызывающая постоянные претензии как субъектов, так и разного рода органов надзора – от ПФР до Роскомнадзора и Роспотребнадзора.

Из российских интернет-компаний в план попал «Суп Медиа» группы «Рамблер». Не все однозначно, будем смотреть.

Очень большие интернет-магазины «Озон» («Интернет Решения»), «Купишуз» (она же – Lamoda), «Приват Трэйд» (она же - KupiVip.ru c сайтами для Казахстана и Беларуси), «Вайлдберриз» (брендовая одежда). Регистрация пользователей, доставка товара, партнеры, контрагенты, опять же – программы лояльности, сроки хранения данных (а что здесь персональные данные?), неизбыточность хранимых данных, процедура уничтожения. Тоже темы глубокие.

ООО «Телеконтакт» - крупнейший колл-центр с подразделениями в Беларуси и на Украине. Тоже очень интересно, особенно учитывая отношение Роскомнадзора к обработчикам. Поручения на обработку и адекватность принятых мер защиты напрашиваются сами собой, но вот неподведомственность ст.19 152-ФЗ Роскомнадзору несколько смущает. Кстати, это не единственный колл-центр, который будет подвержен проверке по персональным данным. Есть они и в планах других территориальных органов.

В целом план ЦФО находится в русле заявлений руководителей надзорного ведомства о критериях выбора объектов плановых проверок и направленности контрольной деятельности. Результаты будет очень интересно посмотреть.

О СЗФО (включая Вологду) и УрФО – в завтрашнем посте, а то очень много букв получается.

С новым рабочим годом. Читаем планы проверок Роскомнадзора. Часть 2

С Новым 2016 годом!

Добро пожаловаться-3. Финал

Похоже, история с сайтом ГТО, на котором обрабатывались персональные данные участников программы и представителей несовершеннолетних участников, что стало причиной жалоб родителей юных спортсменов и физкультурников, о которой я писал здесь и здесь, подошла к концу. В результате получено именно то, к чему стремились.

На жалобы получены ответы из прокуратуры, Комитета по образованию Санкт-Петербурга и Роскомнадзора. С нарушениями надзорные органы согласились (есть нюансы, но главное – результат). Из Роскомнадзора (центрального, а не питерского) за подписью начальника Управления по защите прав субъектов персональных данных Ю.Е. Контемирова пришел следующий ответ пожаловавшемуся (цитирую по открытой публикации в Фейсбуке): «Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор) рассмотрела Ваше обращение от 30.11.2015 № 02-11-14012 и сообщает, что по результатам рассмотрения доводов изложенных в Вашем обращении, Роскомнадзором в адрес Автономной некоммерческой организации «Исполнительная дирекция XXVII Всемирной летней универсиады 2013 года в г. Казани» (АНО «Исполнительная дирекция спортивных проектов») направлено требование о принятии мер, направленных на соблюдение требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»». Ответ пришел раньше установленного месячного срока, что тоже радует.

Меры приняты. Реально. Форма согласия, вызывавшая наибольшие нарекания, радикально переделана и выложена на сайте. Теперь ясно, кому конкретно, с какой целью и на что дается согласие, какие данные собираются (никаких СНИЛСов, ИНН и «иной другой информации», как это было очевидно, представлять не нужно), и куда они передаются. Никаких неизвестных третьих лиц, никакого распространения и смс-сообщений неизвестно от кого. Особенно радует «Обработку персональных данных ребенка для любых иных целей я запрещаю. Она может быть возможна только с согласия на такую обработку в каждом отдельном случае».

Четко сформулирован порядок отзыва согласия и возможность продолжения обработки после отзыва.

На сайте появились вполне внятное «Пользовательское соглашение» и «Положение об обработке и защите персональных данных». По закону должна быть политика в отношении обработки, но мы ведь не педанты?! Главное, что есть документ, вполне соответствующий букве и духу закона.

Итак, добро пожаловаться. И, может быть, закона в нашей жизни станет больше, а нарушений прав – меньше.