Базы и банки данных в новых законах. Часть 1. Шагреневая кожа налоговой тайны

Нынешний состав Государственной Думы закончил свою работу ударным принятием новой порции законов, которые также ударно одобрил Совет Федерации. В нескольких постах прокомментирую изменения, прямо затрагивающие вопросы информационной безопасности.

В первую очередь проанализируем изменения, которые касаются регламентации создания, ведения и опубликования баз и банков данных граждан и юридических лиц, а также организации к ним доступа.

Начнем с изменений Налогового кодекса РФ, в котором существенно изменено содержание понятия налоговой тайны. Изменено, читай, в очередной раз сужено. Шагреневая кожа информации ограниченного доступа продолжает сжиматься.

Федеральным законом от 01.05.2016 № 134-ФЗ «О внесении изменений в статью 102 части первой Налогового кодекса Российской Федерации» откорректирована статья 102 «Налоговая тайна».

Самое важное, на мой взгляд, в новой редакции закона: теперь к налоговой тайне не могут относиться три дополнительных группы сведений:

·       о среднесписочной численности работников организации за календарный год, предшествующий году размещения указанных сведений в интернете;

·       об уплаченных организацией в календарном году, предшествующем году размещения указанных сведений в интернете, суммах налогов и сборов (по каждому налогу и сбору) без учета сумм налогов (сборов), уплаченных в связи с ввозом товаров на таможенную территорию Евразийского экономического союза, сумм налогов, уплаченных налоговым агентом;

·       о суммах доходов и расходов по данным бухгалтерской (финансовой) отчетности организации за год, предшествующий году размещения указанных сведений в интернете.

И еще одно крайне важное новшество. В статье 102 появилась новая часть 1.1, раскрывающая механизм размещения информации, которая не составляет налоговую тайну, в глобальной сети. В соответствии с ней сведения о суммах недоимки и задолженности по пеням и штрафам (по каждому налогу и сбору), налоговых правонарушениях и мерах ответственности за их совершение, о специальных налоговых режимах, применяемых налогоплательщиками, и участии налогоплательщика в консолидированной группе налогоплательщиков, среднесписочной численности работников, уплаченных суммах налогов и сборов (по каждому налогу и сбору) и суммах доходов и расходов, размещаются в форме открытых данных на официальном сайте ФНС в сети интернет, за исключением сведений, составляющих государственную тайну. Сроки и период размещения таких сведений, порядок их формирования и размещения утверждаются самой же ФНС.

То есть теперь скрывать размер полученных юридическим лицом доходов просто бессмысленно – вся информация о доходах становится открытой и общедоступной. Теперь мы не будем, как привыкли, читать в публикациях сакральную фразу «раскрыть размер полученных доходов имярек отказался, сославшись на коммерческую тайну». И, соответственно, относить все эти сведения к коммерческой тайне никак нельзя, так как они подпадают под определение пункта 11 статьи 5 закона «О коммерческой тайне», устанавливающего, что не могут относиться к этой категории сведений ограниченного доступа сведения, обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Так что организациям, в которых установлен режим коммерческой тайны, целесообразно проанализировать перечень сведений, к ней отнесенных, чтобы не оказаться нарушителями закона и не попасть под риск оспаривания правомерности установления режима из-за включения в перечень сведений, которые там присутствовать не могут.

ФНС с размещением информации определилась на редкость оперативно: эти данные появятся на сайте службы до 1 июля 2017 года.

Формирование так любимых многими рейтингов компаний разных сегментов экономики станет простым и доступным для всех желающих: заходишь на сайт ФНС, вводишь название компании и все, как на ладони.

Новым законом также существенно откорректированы определения ряда категорий сведений, ранее уже исключенных из понятия налоговой тайны.

Для общедоступных сведений, в том числе ставших таковыми с согласия их обладателя-налогоплательщика, появилось важное уточнение: «Такое согласие представляется по выбору налогоплательщика в отношении всех сведений или их части, полученных налоговым органом, по форме, формату и в порядке, утверждаемым федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов». Ждем, когда ФНС эти формы, формат и порядок определит. А без них – налогоплательщик пока никак не может раскрыть свои данные по собственной инициативе.

В отношении нарушений законодательства, также исключенных из понятия налоговой тайны, появилось уточнение – «в том числе суммах недоимки и задолженности по пеням и штрафам при их наличии». То есть обращено внимание на то, что сам факт выставления пени – уже свидетельство нарушения закона, и об этом узнают все желающие контрагенты должника, поскольку эта информация, как я написал выше, раскрывается на сайте фискальной службы.

«О, сколько нам открытий чудных готовит просвещенья дух» © А.С. Пушкин.

Базы и банки данных в новых законах. Часть 2. Реестры фискальных операторов, фискальных носителей и ККТ

Базы и банки данных в новых законах. Часть 3. Реестры коллекторов и персональные данные знакомых должника

Противопоказания для коммерческой тайны: что нельзя относить к этой категории сведений

Как известно, режима коммерческой тайны без создания перечня информации, составляющей коммерческую тайну, не бывает (статья 10 закона «О коммерческой тайне»). Поэтому неизбежно встает вопрос о том, какие сведения нельзя относить к коммерческой тайне. Вопрос очень важный, потому что ошибки при формировании такого перечня могут привести к отказу в защите прав обладателя информации при рассмотрении споров в суде и даже к опротестованию всего перечня, и, как следствие, к признанию режима коммерческой тайны не установленным.

Первый источник, к которому мы обращаемся, естественно, это сам Федеральный закон «О коммерческой тайне», где есть статья 5, которая так и называется: «Сведения, которые не могут составлять коммерческую тайну». Статья определяет группы сведений, в отношении которых лицами, осуществляющими предпринимательскую деятельность, не может быть установлен режим коммерческой тайны. Всего в законе 11 групп таких сведений:

1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности [т.е. в лицензиях, разрешениях и т.п.];

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест [как видно из текста, речь идет о системе оплаты, а не о ее размере, как для отдельных работников, так и о фонде заработной платы в целом, но об этом читайте ниже];

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений [по смыслу закона здесь подразумевается обладатель ИКТ-субъект хозяйствования, юрлицо или индивидуальный предприниматель];

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности [а не об условиях закупок вообще];

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации [обратите внимание, этот пункт касается только некоммерческих организаций];

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которых или недопустимость ограничения доступа к которым установлена иными федеральными законами.

Последняя, так горячо любимая нашими законодателями бланкетная норма, как обычно, создает массу проблем тем, кто хочет соответствовать закону - придется читать неопределенное количество законов, да еще регламентирующих самые разные направления деятельности. Самый наглядный пример – Федеральный закон «О бухгалтерском учете», редакция которого, вступившая в силу с 1 января 2013 года, содержит норму: «В отношении бухгалтерской (финансовой) отчетности не может быть установлен режим коммерческой тайны» (часть 11 статьи 13). Особую пикантность ситуации придает тот факт, что ранее действовавший закон содержал прямо противоположное требование («Содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности является коммерческой тайной»). Об этом я писал  после выхода закона.

Общие запреты на ограничение доступа к определенным категориям информации устанавливает часть 4 статьи 8 «трехглавого закона» «Об информации, информационных технологиях и о защите информации». Из охраноспособной в режиме коммерческой тайны информации там можно выделить, пожалуй, только нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, из чего следует, что не стоит закрывать грифом локальные акты работодателя, устанавливающие и ограничивающие права и свободы работников, как бы этого не хотелось (привет сторонникам скрытого использования DLP-систем) и об использовании бюджетных средств (за исключением сведений, составляющих государственную или служебную тайну).

Поэтому все ссылки на коммерческую тайну при попытках закрыть сведения о результатах торгов, аукционов, закупок организациями, получающими средства из бюджета, о ходе освоения этих средств прямо противоречат закону, но журналисты почему-то молча их глотают и не требуют раскрытия в ходе интервью с важными покупателями, подрядчиками и прочими освоителями бюджетных средств, как здесь, например http://www.business-class.su/news/2015/04/27/permskie-pozharnye-otkazalis-predostavit-dokumenty-ufas-soslavshis-na-kommercheskuyu-taynu. У пожарников, живущих на бюджете, вдруг появляется коммерческая тайна, да еще в отношении безвозмездного договора оказания услуг.

Есть и гораздо более сложные проблемы.

Статья 91 закона «Об акционерных обществах» обязывает общества предоставлять акционерам доступ к документам, предусмотренным пунктом 1 статьи 89 этого закона, а там, между прочим, документы, подтверждающие права общества на имущество, находящееся на балансе общества; протоколы заседаний совета директоров (наблюдательного совета) общества, ревизионной комиссии (ревизора) общества и коллегиального исполнительного органа общества (правления, дирекции); заключения ревизионной комиссии (ревизора) общества, аудитора общества, государственных и муниципальных органов финансового контроля и (бинго!) внутренние документы общества. Под последнюю категорию, при желании, можно подтянуть вообще все, что угодно.

Аналогичные нормы содержатся и в статье 50 закона «Об обществах с ограниченной ответственностью», обязывающей предоставлять участникам общества доступ к соответствующим документам.

Не буду сейчас рассматривать коллизию с доступом к документам бухгалтерского учета, она сложная и заслуживает отдельного рассмотрения.

Многочисленные суды различных инстанций, вплоть до Конституционного, подтверждали неограниченность этого права акционера, независимо от количества имеющихся у него акций. Общее резюме по этому поводу содержится в Информационном письме Президиума ВАС РФ ОТ 18.01.2011 № 144 «О некоторых вопросах практики рассмотрения арбитражными судами споров о предоставлении информации участникам хозяйственных обществ»: «Судам следует исходить из того, что ни Закон об акционерных обществах, ни Закон об обществах с ограниченной ответственностью не содержат положений, ограничивающих право участника требовать предоставления информации и документов за период деятельности хозяйственного общества, в течение которого данное лицо не являлось участником этого общества».

Так что прежде чем поставить гриф «Коммерческая тайна» на протоколе совета директоров, стоит оценить, а кто может получить к нему доступ на законном основании, особенно если это совет директоров публичного общества.

Много ограничений на отнесение к коммерческой тайне в законах и нормативных правовых актах для холдинговых компаний, естественных монополий, предприятий коммунального комплекса, предприятий, использующих недра и др. Не забываем о требованиях раскрытия и обязательного опубликования сведений – они также с момента опубликования или раскрытия не могут быть информацией, составляющей коммерческую тайну.

И еще немного дровишек в топку.

Статьи 3, 5 и 9 «трехглавого закона» вводят норму, согласно которой доступ к информации может быть ограничен только федеральными законами. Но наряду с рассмотренной статьей 5 закона «О коммерческой тайне» по-прежнему действует Постановление Правительства РСФСР от 05.12.1991 № 35 «О перечне сведений, которые не могут составлять коммерческую тайну», последние изменения в которое были внесены в 2002 году. Это не закон, но, тем не менее, оно устанавливает ограничения, выходящие за рамки указанных в законе «О коммерческой тайне», в частности, запрещая относить к информации, составляющей коммерческую тайну, документы о платежеспособности, сведения о заработной плате (о не о ее системе, как в законе), сведения об участии должностных лиц предприятия в кооперативах, малых предприятиях, товариществах, акционерных обществах, объединениях и других организациях, занимающихся предпринимательской деятельностью. Сегодняшний статус постановления в связи с ограничением, указанным в его преамбуле: «в процессе приватизации», однако этот процесс, похоже, может идти вечно, во всяком случае, до тех пор, пока есть что приватизировать.

И еще по поводу заработной платы. В отношении каждого конкретного работника она явно не может быть отнесена к коммерческой тайне, поскольку каждый вправе получить содержащую эти сведения справку по форме 2НДФЛ и распоряжаться далее ею по своему усмотрению, хоть на заборе повесить.

Федеральный закон от 01.05.2016 № 134-ФЗ внес изменения в статью 102 части первой Налогового кодекса Российской Федерации, в соответствии с которыми не являются налоговой тайной сведения о среднесписочной численности работников организации за календарный год, об уплаченных организацией суммах налогов и сборов (по каждому налогу и сбору), о суммах доходов и расходов по данным бухгалтерской (финансовой) отчетности организации за год. Более того, эти данные ФНС размещаются в интернете, поэтому закрывать их в организации не только нет смысла, но и противоречит закону.

Так что при составлении Перечня информации, составляющей коммерческую тайну, лучше перебдеть, чем недобдеть. И Консультант с Гарантом (или наше агентствоJ) вам в помощь!

Дееспособность несовершеннолетнего в отношении своих персональных данных

В нескольких последних проектах, выполняемых нашим агентством, мы столкнулись с одной и той же проблемой – с какого возраста наступает дееспособность субъекта в отношении распоряжения своими персональными данными - передачи их третьим лицам, выражении согласия на обработку и т.д. Ответ оказался совсем непростым и неоднозначным.

В соответствии с частью 6 статьи 9 закона «О персональных данных» в случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных. Для операторов, имеющих дело с несовершеннолетними субъектами, – это головная боль и постоянный риск нарушить закон, конституционные права несовершеннолетнего, оказаться ответчиком по иску родителей и т.д.

Возникают эти ситуации довольно часто. Самая распространенная – принятие пользовательского соглашения и получение доступа к контенту на сайте, к платным или бесплатным информационным услугам, к рассылкам и т.п. Усугубляется ситуация анонимностью интернета, невозможностью в большинстве случаев идентифицировать пользователя и установить его возраст. Но здесь риски для оператора хоть и есть, но не очень большие. А есть ситуации с перспективой существенной материальной ответственности.

Надо ли брать согласие на обработку персональных данных в отношении учащихся учебных заведений, если обучение не предусматривает заключение договора? Если да, то у кого – у учащегося или его родителей? С какого возраста?

Кроме учащихся, есть многочисленные группы несовершеннолетних - участников творческих и спортивных соревнований, юные актеры и модели, имеющие вполне профессиональные контракты, и многие другие.

Так что делать?

Если кто не знает, Гражданский кодекс РФ вводит три возраста дееспособности.

Гражданская дееспособность, т.е. способность гражданина своими действиями приобретать и осуществлять гражданские права, создавать для себя гражданские обязанности и исполнять их возникает в полном объеме, в соответствии с частью 1 статьи 21 ГК РФ, с наступлением совершеннолетия, то есть по достижении 18-летнего возраста. Если законом допускается вступление в брак до достижения 18 лет, гражданин, не достигший 18-летнего возраста, приобретает дееспособность в полном объеме со времени вступления в брак.

Часть 1 статьи 26 ГК РФ предусматривает, что в возрасте от 14 до 18 лет юноши и девушки вправе совершать сделки, за исключением перечисленных в части 2 той же статьи, только с письменного согласия своих законных представителей - родителей, усыновителей или попечителя.

Без согласия законного представителя можно:

1) распоряжаться своими заработком, стипендией и иными доходами;

2) осуществлять права автора произведения науки, литературы или искусства, изобретения или иного охраняемого законом результата своей интеллектуальной деятельности;

3) вносить вклады в кредитные организации и распоряжаться ими;

4) совершать мелкие бытовые сделки и иные сделки, предусмотренные частью 2 статьи 28 ГК РФ – см. ниже.

При этом несовершеннолетние, совершая перечисленные действия, самостоятельно несут имущественную ответственность и за причиненный ими вред.

Ограничить или лишить несовершеннолетнего в возрасте от 14 до 18 лет права самостоятельно распоряжаться своими заработком, стипендией или иными доходами может только суд, при наличии достаточных оснований, и по ходатайству родителей, усыновителей или попечителя либо органа опеки и попечительства, кроме случаев, когда несовершеннолетний успел вступить в брак.

Но и здесь есть нюансы. Статья 27 ГК РФ с красивым названием «Эмансипация» предусматривает, что несовершеннолетний, достигший 16 лет, может быть объявлен полностью дееспособным, если он работает по трудовому договору, в том числе по контракту, или с согласия родителей, усыновителей или попечителя занимается предпринимательской деятельностью.

Объявление несовершеннолетнего полностью дееспособным (эмансипация) производится по решению органа опеки и попечительства с согласия обоих родителей, усыновителей или попечителя, либо при отсутствии такого согласия, – по решению суда.

После такого важного события законные представители эмансипированного чада уже не несут ответственность по его обязательствам, в частности, по обязательствам, возникшим вследствие причинения им вреда.

Наверное, для многих будет неожиданностью узнать, что есть дееспособность и у детишек от 6 до 14 лет. Это указано как раз в упоминавшейся выше части 2 статьи 28. Они могут без участия родителей или иных представителей совершать (1) мелкие бытовые сделки (естественно, кодекс не определяет, что под них подпадает, мы включаем здравый смысл и полагаем, что это покупка мороженого или воздушного шарика, например), (2) сделки, направленные на безвозмездное получение выгоды, не требующие нотариального удостоверения либо государственной регистрации, а также (3) сделки по распоряжению средствами, предоставленными законным представителем или с согласия последнего третьим лицом для определенной цели или для свободного распоряжения.

Но имущественную ответственность по сделкам малолетнего, в том числе по сделкам, совершенным им самостоятельно, несут его родители, усыновители или опекуны, если не докажут, что обязательство было нарушено не по их вине. Эти лица, в соответствии с законом, также отвечают за вред, причиненный малолетними.

Самое интересное, с точки зрения рассматриваемого вопроса, – это сделки за номером (2), направленные на безвозмездное получение выгоды. Под эту категорию вполне подпадает принятие пользовательского соглашения на сайте сети интернет, а оно часто требует в качестве акцепта представления своих персональных данных.

И что же, пусть неграмотный шестилетка занимается этим на законном основании?

Не думаю.

А думаю вот что. Дееспособность в отношении своих персональных данных у субъекта наступает в возрасте 14 лет, когда он лично, а не его представители, получает паспорт, который, в терминах Научно-практического комментария Роскомнадзора, имеет идентификаторы субъекта, присвоенные государством и которые сами по себе однозначно определяют физическое лицо (стр. 16 комментария).

Было бы странно выдавать такой документ и ограничивать его самостоятельное использование обладателем в случаях, когда законом такие ограничения прямо не предусмотрены.

С другой стороны, статья 61 Семейного кодекса РФ предусматривает, что родительские права прекращаются по достижении детьми возраста 18 лет (совершеннолетия), а также и в других установленных законом случаях приобретения детьми полной дееспособности до достижения ими совершеннолетия. А статья 64 Семейного кодекса устанавливает, что родители являются законными представителями своих детей и выступают в защиту их прав и интересов в отношениях с любыми физическими и юридическими лицами, в том числе в судах, без специальных полномочий. Значит, действия, предусмотренные частью 6 статьи 9 закона «О персональных данных», в отношении 17-летнего абитуриента или бегуна-полумарафонца должны выполнить его родители?

Все не так просто.

Часть 2 статьи 54 закона «Об основах охраны здоровья граждан в Российской Федерации» дает право несовершеннолетним в возрасте старше 15 лет, больным наркоманией несовершеннолетним в возрасте старше 16 лет на информированное добровольное согласие на медицинское вмешательство или на отказ от него. С согласием на трансплантацию в качестве реципиента еще хуже, но об этом писать не буду – страшно.

В соответствии со статьей 9 закона «О гражданстве Российской Федерации», для приобретения или прекращения гражданства Российской Федерации ребенком в возрасте от 14 до 18 лет необходимо его согласие, что точно требует представления персональных данных. Про согласие родителей в законе нет ничего.

Статья 58 закона «Об актах гражданского состояния» дает право 14-летнему ребенку переменить свое имя, включающее в себя фамилию, собственно имя и (или) отчество, т.е. по своему усмотрению, без родителей, распорядиться персональными данными.

Статья 20 Трудового кодекса РФ в общем случае устанавливает, что вступать в трудовые отношения в качестве работников имеют право лица, достигшие возраста 16 лет, а в случаях и в порядке, которые установлены Кодексом, также лица, не достигшие указанного возраста. С момента начала трудовых отношений такие лица приобретают все права, предусмотренные главой 14 ТК РФ как субъекты персональных данных.

Аргументы можно приводить и дальше, их в наших законах много.

Поэтому резюмирую. Дееспособность в отношении своих персональных данных, в том числе право выражать согласие на их обработку и предоставлять иным лицам по своему усмотрению наступает в возрасте 14 лет.

Хорошо бы по этому поводу услышать мнения регулятора и надзорного органа, но, увы, они пока молчат.

Про прослушку телефонов в офисе и конституционные права

Поскольку в течение вчерашнего дня увидел массу цитат своего комментария «Коммерсанту» по поводу систем прослушивания работодателем сотовых телефонов работников, который является не совсем точной моей цитатой, а, ввиду отсутствия в России, не смог откликнуться на многочисленные предложения дать комментарии телеканалам, излагаю свое видение ситуации в этом посте.

При решении вопроса об организации работодателем контроля использования работником средств хранения, обработки и передачи информации, в том числе средств подвижной радиосвязи (сотовой телефонной связи), необходимо исходить из императивной нормы части 2 статьи 23 Конституции РФ: «Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения».

Реализация этого конституционного права обеспечивается статьей 138 Уголовного кодекса РФ, предусматривающей ответственность за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. При этом использование служебного положения или специальных технических средств, предназначенных для негласного получения информации, (оба обстоятельства присутствуют в этой ситуации) рассматривается как отягчающее обстоятельство.

Кроме того, статья 137 Уголовного кодекса РФ рассматривает как преступное деяние незаконное собирание сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия, что вполне может быть применимо к негласной прослушке телефонных переговоров.

Необходимо отметить особую деликатность этой проблемы, решение которой должно обеспечивать баланс интересов как работника, имеющего право на неприкосновенность частной жизни, так и работодателя, рассчитывающего на рациональное использование рабочего времени и предоставленных работнику средств производства, в том числе телефонов и компьютеров.

Примером установления такого баланса является решение Европейского суда по правам человека от 12 января 2016 года по делу «Барбулеску против Румынии», рассматривавшего допустимость нарушения приватности работника, исходя из норм Европейской конвенции о правах человека, стороной которой является и Россия, предусматривающих уважение личной и семейной жизни каждого, а также его корреспонденции.

При этом вмешательство в осуществление этого права допускается только в случаях, когда оно предусмотрено законом и необходимо в демократическом обществе в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности, или защиты прав и свобод других лиц, к которым могут быть отнесены и работодатели.

Во всех случаях незаконной будет негласная прослушка сотовых телефонов в рабочих помещениях при отсутствии предупреждения о записи и анализе телефонных переговоров, которое должен получить абонент, в том числе и посетитель офиса – владелец мобильного телефона, не являющийся работником, а также контроль звонков с телефонов, не находящихся в собственности работодателя, входящих звонков всем, включая работников, поскольку и, при наличии внутренних правил прослушивания, абонент, не являющийся работником, ничего об этом не знает и имеет право не знать.

В этих условиях прослушивать сотовые телефоны, не нарушив закон, практически невозможно.

Анализирует содержание телефонных переговоров обладателя мобильного телефона робот или человек, никакого значения не имеет, поскольку в конечном итоге работник службы безопасности работодателя получает доступ к конкретному разговору, то есть к сведениям, составляющим тайну связи.

Не будем забывать, что в отличие от электронной почты, мобильная связь –лицензируемый вид деятельности, и возможность использования соответствующего оборудования для прослушки работодателем, не имеющим лицензии на оказание услуг связи, – это большой вопрос.

Это – если очень коротко. Чувствую, придется в эту тему глубже окунуться в моих выступлениях на PHDays 18 мая в Москве и IT & Security Forum 26 мая в Казани. Желающих подискутировать приглашаю сделать это лично.

5 апреля: Резервное копирование. Запросы бизнеса и требования закона

Завтра (5 апреля) мы вместе с Veeam Software Russia, Александром Ширмановым и Марией Сидоровой расскажем, почему резервное копирование, в отличие от многих других требований безопасности, так понятно бизнесу, что по этому поводу написано в законах, приказах ФСТЭК и документах Банка России, чем опасна красная кнопка Delete и на какую ее лучше заменить. И познакомимся с новым сертифицированным решением, умеющим отлично резервировать данные в виртуальной среде, попутно выяснив, в каких случаях без сертификации не обойтись. 

Регистрация на вебинар пока открыта https://go.veeam.com/webinar-fstec-certification-v8

Обсудим особенности обработки персональных данных в негосударственных пенсионных фондах

16 марта пройдет семинар по персональным данным, на этот раз – для негосударственных пенсионных фондов, пенсионных администраторов, страховых и управляющих компаний, который мы проводим совместно с Национальной ассоциацией негосударственных пенсионных фондов (НАПФ), а точнее – ее Учебно-методическим информационным центром.

Опыт наших проектов в этих организациях показывает, что их деятельности присуща специфика, существенно отличающая их от других операторов персональных данных, что требует отдельного анализа и обоснования правовых оснований обработки персональных данных, их допустимого состава.

В первую очередь, это связано с категориями субъектов, чьи данные обрабатываются в фондах. Помимо обязательных для всех операторов работников, их родственников, соискателей вакантных должностей, посетителей, представителей контрагентов и субъектов персональных данных, значительное количество сведений относится к вкладчикам, участникам фонда и клиентам по негосударственному пенсионному обеспечению, страхователям и застрахованным лицам, правопреемникам участников фонда и застрахованных лиц, выгодоприобретателям, а также агентам фонда, действующим на основании договора и обязавшихся совершать по поручению фонда действия как от своего имени, но за счет фонда, так от имени и за счет фонда. Для каждой такой категории необходимо определить наличие предусмотренных законом оснований для обработки данных, необходимость получения согласия и его форму, состав сведений, необходимых и достаточных для достижения предопределенных целей обработки, но не выходящих за установленные ими пределы.

Да и перечень законов и иных нормативных правовых актов, содержащих основания обработки персональных данных, помимо традиционного закона «О персональных данных» и Трудового и Гражданского кодексов РФ дополняется большим количеством документов, устанавливающих те или иные нормы, к примеру:

·         ФЗ от 07.05.1998 № 75-ФЗ «О негосударственных пенсионных фондах»;

·         ФЗ от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

·         ФЗ «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений»;

·         ФЗ от 24.07.2002 № 111-ФЗ «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации»;

·         Постановление Правительства РФ от 03.11.2007 № 742 «Об утверждении Правил выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, правопреемникам умершего застрахованного лица средств пенсионных накоплений, учтенных на пенсионном счете накопительной части трудовой пенсии»;

·         Постановление Правительства РФ от 21.12.2009 № 1048 «Об утверждении Правил единовременной выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, средств пенсионных накоплений лицам, которые не приобрели право на установление трудовой пенсии по старости»

·         Постановление Правления ПФР от 31.07.2006 № 192п «О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и Инструкции по их заполнению».

И в каждом из документов содержатся обязательные требования, которые необходимо учесть при организации работы негосударственного пенсионного фонда, разработки локальных нормативных актов, договоров с контрагентами и субъектами персональных данных.

Часть этих норм требует для их реализации дополнительных усилий, а часть, напротив, существенно облегчает деятельность оператора, освобождая его от весьма трудоемких, а иногда и затратных действий по реализации норм закона «О персональных данных». Крайне важными здесь представляются положения статьи 15 закона «О негосударственных пенсионных фондах», к которым в свое время приложил руку и я, в соответствии с которыми фонд не обязан получать согласие вкладчиков-физических лиц, страхователей-физических лиц, участников, застрахованных лиц, выгодоприобретателей на обработку персональных данных, касающихся состояния здоровья указанных лиц и предоставленных ими или с их согласия третьими лицами в объеме, необходимом для исполнения договора, а также право фонда поручить обработку персональных данных указанных выше лиц организациям при определенных условиях.

В ходе семинара будет рассмотрена позиция регулятора и надзорного органа в отношении негосударственных пенсионных фондов – Банка России, связанная с организацией обработки персональных данных и обеспечением информационной безопасности, новые тенденции ее правового регулирования, озвученные на магнитогорском форуме по банковской безопасности. 

В заключении семинара будет подробно проанализирована система контроля и надзора за соблюдением законодательства о персональных данных, ее изменения, произошедшие после 1 сентября 2015 года, примеры из практики надзорной деятельности, типичные нарушения, выявляемые при проведении надзорных мероприятий и мероприятий систематического наблюдения, а также практика разрешения судебных споров, связанных с персональными данными.

Учитывая, что во многих негосударственных пенсионных фондах подразделений по информационной безопасности традиционно нет, а занимаются описанными выше проблемами самые разные специалисты, мы вместе с НАПФ надеемся, что семинар поможет им разобраться в непростых вопросах и обеспечить соответствие обработки персональных данных всех категорий субъектов закону. 

С 4 марта: ДСП поверх коммерческой тайны

Отродясь такого не видали, и вот опять! Бесценное наследие Виктора Степановича Черномырдина по-прежнему на вооружении в Белом доме. Заповеди исполняются неукоснительно: «Хотели как лучше, а получилось как всегда».

В соответствии с Постановлением Правительства РФ от 20.02.2016 № 123 завтра (04.03.2016) вступают в силу изменения в приснопамятное Постановление Правительства от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии», подписанное как раз Виктором Степановичем (далее - ПП-1233).

Изменение совсем коротенькое: пункт 1.2 Положения дополнить словами «, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами».

Видимо, никто особого внимания на это не обратил, мы, честно говоря, тоже, пропустили этот эпохальный документ, но позвонили уважаемые заказчики и задали вопрос: «Что это было?».

После внесения изменения пункт 1.2 ПП-1233 полностью выглядит так: «К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами».

Напомню, что организации в данном случае – это федеральные органы исполнительной власти и уполномоченный орган управления использованием атомной энергии (Госкорпорация «Росатом»), а также подведомственные им предприятия, учреждения и организации.

Далее будем руководствоваться замечательным тезисом, изложенным в труде под названием «Федеральный закон «О персональных данных»: Научно-практический комментарий» под редакцией заместителя руководителя Роскомнадзора А.А. Приезжевой: «Принцип формальной определенности закона, сформулированный в практике Конституционного Суда РФ, вытекает из ч. 1 ст. 1, ч. 2 ст. 4, ч. 2 ст. 6, ч. 2 ст. 15 и ч. 1 ст. 19 Конституции РФ и предполагает точность, ясность и недвусмысленность правовых норм, без чего не может быть обеспечено единообразное понимание и применение таких норм, а значит, и равенство всех перед законом». Там же есть и еще один очень правильный тезис про применение в правоприменительной практике «по умолчанию» буквального толкования установленных правовыми актами норм. Тезисы действительно очень важные и очень правильные, я их во все свои курсы с анализом законодательства включил.

Итак, что же теперь надо делать в организациях, чья деятельность регламентируется ПП-1233  при буквальном толковании?

На все документы, поступающие в такие организации и содержащие сведения, доступ к которым ограничен законом, надо ставить пометку «Для служебного пользования» или ДСП, как часто принято. На все.

А что это за документы? Много раз уже отмечалось, что тайн в нашем законодательстве много, сколько - точно не знает никто. Но поскольку речь идет об органах власти, а ПП-1233 регулирует отношения, связанные со сведениями, «содержащимися в подготавливаемых в федеральных органах исполнительной власти проектах указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, других служебных документов», для классификации этих сведений вполне обоснованно применять нормы Указа Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» (далее – Перечень). Указ вовсе не вводит универсального классификатора, как часто это пытаются представить, но как раз для указанных выше случаев и предназначен: «В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти».

Итак, все документы, подпадающие под Перечень, надо маркировать пометкой «ДСП». Поступили документы с персональными данными в любую организацию, указанную в ПП-1233, – ставим пометку, пришла налоговая отчетность в ФНС, кроме подпадающей под общедоступную – ставим пометку (налоговая тайна), пришел запрос из суда или органов следствия и дознания – тоже ставим (тайна следствия и судопроизводства).

Дальше – больше. Все документы, содержащие врачебную тайну в Минздраве, его службах и агентствах, должны быть с пометкой «ДСП» - они именно поступили и составляют профессиональную тайну в терминах Указа № 188. Причем в самих лечебно-профилактических учреждениях их помечать как ДСП не надо, даже если они подведомственны Минздраву, ПП-1233 этого не требует.

Дальше – еще больше. Пришел в госорган документ с грифом «Коммерческая тайна» в рамках исполнения обладателем секретов обязанностей, предусмотренных ст.6 закона «О коммерческой тайне», на котором в соответствии с новой нормой тоже необходимо поставить над (или сверху, или ниже?) предусмотренным законом грифом так называемую пометку, о которой в федеральных законах ничего не сказано. Поэтому неясно, как гриф с пометкой соотносятся.

По-прежнему неясны правовые последствия простановки пометки «ДСП» и разглашения сведений, содержащихся в таких документах. Привлечь к административной ответственности по статье 13.14 КоАП и уж тем более по статье 183 УК РФ нельзя, поскольку в них речь идет об охраняемой законом тайне. А работникам организаций, не указанных в ПП-1233, до нее вообще дела нет. Постановление не регламентирует их деятельность.

Вот пишу все это и думаю: а зачем??? Зачем запутывать еще больше и без того запутанную ситуацию с ограничением доступа к информации? Я уже неоднократно писал про сумбурность и бессистемность нормотворчества, связанного с секретами и ограничением доступа к информации, например, здесь, здесь и здесь. Вот и сейчас не понятны ни цели вносимых изменений, ни ожидаемые от внесения результаты и их влияние на субъектов правоотношений.

Ровно четыре года назад я писал про служебную тайну, которая вроде бы есть, но которой совсем нет. Ничего не изменилось. Вместо того, чтобы выполнять прямые и конкретные требования федерального закона от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», предусматривающие принятие федерального закона и ввод им в действие перечня сведений, составляющих служебную тайну, все время создаются какие-то суррогаты, проблемы никак не решающие. А обладатели секретов ждут и запутываются еще больше.

Microsoft приглашает юристов поговорить об информационных технологиях и законодательстве о персональных данных

С 14 по 18 марта российское подразделение Microsoft проводит в Питере Business Week – пять мероприятий для бизнеса и о бизнесе для различных категорий топ-менеджмента.

В первый же день бизнес-недели, 14 марта, пройдет довольно нестандартный для российских встреч подобного рода круглый стол, ориентированный в первую очередь на юристов коммерческих компаний крупного и среднего бизнеса. Заявленные темы, как и выбор целевой аудитории, тоже не очень стандартные: юрист компании как инициатор сокращения расходов на информационные технологии, решения для претензионно-исковой работы и автоматизации работы юридической службы, ну и, конечно, персональные данные в контексте выполнения требований российского законодательства, вступивших в силу с 1 сентября прошлого года (242-ФЗ), при использовании облачных вычислительных инфраструктур и сервисов, а также прикладного программного обеспечения по схеме SaaS.

Для раскрытия последней темы пригласили меня и щедро выделили под это дело почти полтора часа. Так что времени детально разобраться в проблеме будет достаточно. Скажу сразу – я не вижу в законодательных нововведениях барьеров на пути использования облачных вычислений, в том числе с использованием инфраструктур, находящихся за рубежом, и уж тем более полного запрета на их использование, как это иногда пытаются представить. И в ходе своей презентации буду подробно рассказывать, почему, ссылаясь на опубликованные точки зрения по этому поводу Минкомсвязи и Роскомнадзора. Минкомсвязи – потому что именно оно является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных. Роскомнадзора – потому что именно его инспекторы придут (и приходят) проверять выполнение требований закона и оценить соответствие организации обработки установленным требованиям.

Презентацию я планирую разбить на три части:

1.  Что на самом деле написано в Федеральном законе от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».

2.  Как правильно организовать сбор и актуализацию персональных данных после 1 сентября 2015 года и выполнить требования закона (на основе анализа понятийного аппарата закона: персональные данные, база данных, сбор данных, способы обработки, трансграничная передача и т.д.).

3.  Организация обработки персональных данных использования облачной инфраструктуры и облачных сервисов, в том числе находящихся за пределами Российской Федерации. Что делать можно и что делать нельзя? (Использование MS Azure, MS Dynamics CRM, Office 365, MS Exchange, Hybrid Identity, SAM Cloud Ready, обезличивания и шифрования персональных данных в новых условиях. Облака Microsoft в России).

Так что, если остались вопросы, которые вы хотели, но стеснялись задать ранее, или не получили на них удовлетворяющего вас ответа – добро пожаловать. Будет время пообщаться и неформально, в кулуарах, если не хочется спрашивать прилюдно. Из вишенок на торте – участие бесплатное, но при условии предварительной регистрации.

Персональные данные на уральском банковском форуме

16-19 февраля в Магнитогорске прошел традиционный Уральский форум «Информационная безопасность финансовой сферы». Из множества традиционных тем, поднятых на форуме, остановлюсь только на одной. Тема персональных данных звучала неоднократно – в выступлении заместителя руководителя Роскомнадзора А.А. Приезжевой, на Круглом столе с регуляторами, который организаторы мероприятия пригласили меня модерировать, и, совершенно неожиданно – в ходе очень интересной презентации первого зампреда Банка России С.А. Швецова. Затронута она была и в выступлении сенатора Л.Н. Боковой, депутата И.Е. Костунова, который говорил о законодательном противодействии фишинговым сайтам.

Я уже отмечал в своем «прямом репортаже» в первый день форума, что выступление А.А. Приезжевой мне показалось весьма интересным и с точки зрения его оформления, и, самое главное, по существу поднятых в нем вопросов. Редко чиновники на таких мероприятиях, да еще в ходе официально-приветственной части, говорят по существу, прямо и с четкими оценками. Полностью презентацию можно посмотреть в блоге А. Лукацкого.

В выступлении, как обычно, было две новости для банков: плохая – о том, что на долю кредитных организаций (подозреваю, что сюда попали и коллекторы, но прямо это не услышал) устойчиво приходится 40-45% жалоб субъектов о нарушении их прав в сфере персональных данных. И хорошая – о том, что лишь 6-9% изложенного в жалобах подтверждается при их рассмотрении. Все-таки научились банки решать «бумажные проблемы» соответствия требованиям и правильно писать документы.

Значительная часть жалоб касается передачи персональных данных третьим лицам (в основном это, конечно, коллекторы), действий банков после отзыва согласия субъекта на обработку и, при исполнении условий договора или его расторжении. От себя: никак вкладчики-заемщики не могут уяснить, что банк не будет и не может уничтожать их данные после завершения действия договора и даже при отзыве согласия. Часть 4 ст. 7 «антиотмывочного закона» 115-ФЗ не разрешает: «Документы, содержащие сведения, указанные в настоящей статье, и сведения, необходимые для идентификации личности, подлежат хранению не менее пяти лет. Указанный срок исчисляется со дня прекращения отношений с клиентом». Более того, нарушение работником банка этого требования при определенных обстоятельствах может стать основанием для привлечения его к уголовной ответственности.

В отношении коллекторов. Из выступления я понял, что Роскомнадзор, в отличие от Роспотребнадзора, не ставит под сомнение возможность передачи персональных данных должника от банка коллектору без согласия заемщика в рамках цессии – уступки права требования долга. При привлечении же коллекторов в качестве агентов по взысканию просроченной задолженности наличие согласия на это субъекта в кредитном договоре должно быть обязательно, причем, по мнению Роскомнадзора, это согласие должник может отозвать, и тогда банк должен прекратить привлекать агента для взыскания долга именно этого субъекта.

К сожалению, задать вопросы Антонине Аркадьевне не удалось, поэтому приходится свое мнение высказывать в посте, поскольку я с этой позицией надзорного органа не согласен. Во-первых, здесь есть, на мой взгляд, прямой конфликт норм права законодательства о персональных данных и Гражданского кодекса РФ в части агентирования. Глава 52 Гражданского кодекса, которая так и называется – «Агентирование» (как и глава 49 «Поручение», кстати), не вводит обязанности принципала получать согласие на привлечение агентов у кого бы то ни было, в том числе – у физических лиц. А статья 15 закона «О потребительском кредите (займе)» прямо предусматривает возможность привлечения агента при взыскании долга и устанавливает его обязанности, однако стыдливо умалчивает о требованиях при заключении агентского договора и его существенных условиях. Кстати, появилась судебная практика, говорящая о том, что согласие должника на передачу его данных агенту не нужно, если при этом агентом не нарушается конфиденциальность персональных данных, а такие действия кредитора расцениваются как выполняемые для осуществления прав и законных интересов оператора - см., например, здесь и здесь.

Возможность отзыва субъектом согласия только на передачу его персональных данных третьим лицам – коллекторам и требования при получении такого согласия к банку обеспечить прекращение обработки коллекторами персональных данных должника, также не основано на законе и нарушает права банка. Отношения банка с должником являются длящимися, условия договора одной из сторон (должником) не выполнены, и должник вдруг в одностороннем порядке хочет изменить условия договора – возможность привлечения третьей стороны для взыскания долга, при этом долг не возвращает. Если бы он согласия на привлечения коллекторов не давал, то и кредит бы ему, скорее всего, не дали, так что это условие договора вполне может рассматриваться как существенное. Некоторые «добросовестные» заемщики идут еще дальше – они отзывают согласие на использование банком любых контактных данных, кроме почтового адреса. Мы с нашими клиентами постоянно эти ситуации разруливаем.

Во второй день на Круглом столе с регуляторами я задал крайне интересовавший меня (надеюсь, не только меня) вопрос, касающийся исполнения поручений Президента России по итогам первого российского форума «Интернет экономика» о представлении предложений в законодательство по регулированию обработки данных граждан Российской Федерации в сети интернет и внедрению единых подходов к проверке сведений, предоставляемых при банковском обслуживании, в том числе в сети интернет: «Какие дополнительные регуляторные меры нужны, что они должны затрагивать и регламентировать?».

Вторая часть вопроса особенно интересна в свете того, что в упоминавшуюся выше статью 7 115-ФЗ, определяющую порядок идентификации клиентов, только совсем недавно, в 2014 и 2015 годах, внесены изменения восемью Федеральными законами №№ 110-ФЗ, 149-ФЗ, 218-ФЗ, 484-ФЗ, 140-ФЗ, 210-ФЗ, 423-ФЗ, 424-ФЗ. С 27.12.2015 вступило в силу новое «Положение об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», утвержденное Банком России 15.10.2015 № 499-П. Каждое подобное изменение требует корректировки локальных документов банка, в первую очередь – касающихся внутреннего контроля, их прохождение по инстанциям долго и сложно. Вот я пытался выяснить, чего же в супе опять не хватает. Ответы ожидаемы, но не радуют: Роскомнадзор за выработку политики не отвечает, поэтому вопросы – в Минкомсвязь, пожалуйста. За идентификацию клиентов и 499-П отвечает банковский надзор, а его представителя на круглом столе не было.

Похожий по смыслу ответ получен и на обещанный мною ранее вопрос к Роскомнадзору: «В этом году запланированы проверки целого ряда банков, являющихся дочерними организациями крупнейших зарубежных банков - Citibank, HSBC, «Райффайзен», «ЮниКредит», «Интеза», «РОСБАНК». Считает ли Роскомнадзор сведения о движении средств по счету персональными данными, или эти сведения составляют иную охраняемую законом категорию – банковскую тайну. Если это персональные данные, использование АБС и ДБО материнских банков невозможно в принципе, исходя из требований, установленных в 242-ФЗ. Если нет – первичная фиксация данных клиентов осуществляется в России, а далее они на законном основании выгружаются во «вторичные базы данных» за рубежом, и все идет в рамках закона. Какова будут позиция надзорного органа при проверках?». Ответ – результаты проверок покажут. Следим.

И уж совсем неожиданным оказалось мнение Сергея Анатольевича Швецова, первого зампреда Банка России, которое, как мне показалось, коротко можно сформулировать так: «Конфиденциальность персональных данных в цифровом мире и эпоху интернета? Забудьте. Да и скрывать нечего».

В общем, как обычно, ждем результатов исполнения поручений Президента и правоприменительной практики. Никто легкой жизни не обещал.

ЕСПЧ не разрешил работодателям читать переписку работников. Что же он решил?

Решение Европейского суда по правам человека (ЕСПЧ) по делу «Барбулеску против Румынии» наше Агентство очень порадовало. И даже «Особое частично несогласное мнение судьи г-на Пауло Пинто де Альбукерке» порадовало. Но совсем не тем, о чем сразу после вынесения решения писали СМИ, интернет-ресурсы и блогеры, как в России, так и за рубежом.

Дело в том, что нет в принятом определении разрешения работодателям стран-членов Совета Европы, являющихся сторонами «Европейской конвенции о защите прав человека и основных свобод» (ЕКПЧ) и «Европейской конвенции по защите прав физических лиц при автоматизированной обработке данных» (ETS-108), читать переписку работников и уж тем более в нем нет полного снятия якобы существовавших в Европе ограничений на использование DLP-систем, как бы не хотелось видеть это в документе некоторым авторам. Но в нем есть другие, очень важные моменты.

Мы не стали торопиться с комментариями, а не спеша, с чувством, толком и расстановкой разбирались с этим объемным (более 30 страниц) интересным документом.

Одно очень важное предварительное замечание. Вопреки мнению большого количества комментаторов этого судебного решения, оно носит прецедентный характер. Так работает ЕСПЧ. Именно поэтому в нем дается огромное количество ссылок на самые разные решения не только европейских, но и американских и канадских судов. Нет сомнения, что на дело Барбулеску, его обстоятельства и принятое решение будут много и часто ссылаться в новых решениях, касающихся прав и свобод граждан, работодателей, доступа в интернет и контроля за таким доступом, чтения переписки и прослушивания переговоров, в первую очередь, когда это касается негосударственных организаций.

Я не буду пересказывать всю фабулу дела, об этом можно почитать у многих авторов (на мой взгляд, самое объективное и взвешенное изложение, из того что я читал, – у Ильи Борисова. Остановлюсь только на выводах и уроках из этого процесса.

Суд подтвердил правоту румынских судов двух инстанций, признавших отсутствие нарушений прав инженера Бурбулеску, установленных статьей 8 ЕКПЧ (право на уважение личной и семейной жизни, жилища и корреспонденции и ограничения на вмешательство в них), и не принял жалобу на нарушения положений статьи 6 той же Конвенции (право на справедливое судебное разбирательство). Это все. Никакого права читать переписку в решении суда нет. Но вот в обосновании вынесенного решения румынские и согласившийся с ними европейский суды указали очень много важного и интересного.

В документе постоянно упоминается об обязательности наличия правил доступа в интернет и использования в личных целях компьютеров, копировальной техники и телефонов, о соразмерности и пропорциональности действий работодателя по защите своих прав, допустимости и прозрачности контроля, его регламентации, наличии у работника точных данных о ведении такого контроля и необходимости документального подтверждения этой осведомленности, допустимых способах получения работодателем доказательств причинения работником вреда и наличии альтернатив получения таких доказательств.

Внимания заслуживают, например, такие фразы из решения Суда муниципалитета Бухареста: «Работодатель предоставил доступ в сеть интернет для использования в профессиональных целях, поэтому неоспоримым является тот факт, что работодатель, в силу своего права контролировать деятельность работников, обладает полномочиями осуществлять проверки использования ими сети интернет в личных целях» или «мониторинг переписки заявителя [Барбулеску] был единственным способом установить подлинность линии его [работодателя] защиты».

Апелляционный суд г. Бухареста в своем постановлении подчеркнул, что «нарушение тайны переписки со стороны работодателя было единственным способом достичь указанной законной цели, и надлежащий баланс между необходимостью работника защитить свою частную жизнь и правом работодателя обеспечивать функционирование компании не был нарушен», а ЕСПЧ согласился с тем, что «поведение работодателя было разумным, и мониторинг переписки заявителя был единственным способом установить факт дисциплинарного нарушения».

В особом мнении судьи П.П. де Альбукерке указывается также на необходимость получения работодателем согласия работника на такой контроль.

Так чем же нас так порадовало решение? Оно подтвердило полную правильность, разумность и достаточность предлагаемых нашим Агентством мер по организации мониторинга за использованием работниками средств хранения, передачи и обработки информации. Наши клиенты, в том числе производители и внедренцы DLP-систем, а также клиенты, ведущие мониторинг действий пользователей без специальных систем предотвращения утечек, могут сопоставить содержание подготовленного нами пакета документов с аргументами суда и увидеть, что все условия допустимости доступа к электронным сообщениям, формируемым работником на рабочем месте, следам его доступа к сети интернет и конкретным сайтам сети в документах соблюдены.

Что же это за условия?

1. Открытость мониторинга

Его нельзя осуществлять втайне от работника, без ознакомления его под роспись с регламентом проведения контрольных мероприятий. Из этого следует и требование к содержанию такого регламента: отражение в нем возможных действий работодателя, четкое разделение порядка анализа содержимого сообщений и файлов в автоматическом режиме, техническими средствами, когда с ним не знакомятся третьи лица, в том числе другие работники, и порядка ручного контроля с анализом контента.

2. Определение области мониторинга

Очень важно в таком документе определить конкретно, что анализируется работодателем: электронная почта, интернет-мессенджеры, файлы на файл-серверах и в системах хранения данных, приложениях коллективного пользования, записи в базах данных, телефонные переговоры и т.п. Должны быть определены четкие границы мониторинга и его условия, обеспечивающие невмешательство в личную жизнь, защиту прав иных лиц, не являющихся работниками, но осуществляющих с работниками коммуникации.

Такой подход требует документального фиксирования двух ограничений:

·         запрета на использование предоставленных работодателем средств хранения, обработки и передачи информации в личных целях (как минимум в рабочее время и на рабочем месте – в эру консьюмеризации ноутбуки и смартфоны часто покидают территорию организации);

·         документально подтверждаемого признания работником того, что он не может рассчитывать на конфиденциальность переписки с рабочего места и с использованием учетных записей, созданных в информационной системе работодателя.

3. Получение согласия работников на мониторинг

Исходя из той же позиции, которую изложил в особом мнении судья де Альбукерке, мы всегда рекомендовали получить явное и недвусмысленное согласие работника на такой контроль, а, чтобы не создавать конфликтную ситуацию в последующем, отразить такое согласие сразу при приеме на работу – в трудовом договоре.

4. Ограничение возможностей доступа

В дополнение к регламенту контроля необходимы детальные правила работы со средствами хранения, обработки и передачи информации, а также снижение тяжести контрольных мер за счет установления различного рода фильтров и ограничений – в отношении, например, публичных почтовых сервисов типа mail.ru или gmail.com, интернет-месседжеров (Facebook, ICQ, Telegram и пр.), социальных сетей и других ресурсов. Чем меньше возможностей доступа – тем меньше надо контролировать и создавать конфликтные зоны.

Но, по своему опыту, скажу – при использовании списков запрещенных для посещения ресурсов интернет (RBL) мне никогда не удавалось добиться того, чтобы в Топ-50 самых используемых работниками сайтов хоть раз попал нужный для работы J.  

Необходимо четко определить запреты на типы хранимых и пересылаемых файлов, в первую очередь, мультимедиа, действия при обнаружении вредоносного кода и массу других важных вещей. Чем больше и конкретнее прописано – тем меньше поводов для судебных споров. 

Решение суда – не точка

Особенно, если внимательно почитать особое мнение. Право на доступ к интернету как базовое и фраза «работники не оставляют свое право на неприкосновенность частной жизни и защиты данных каждое утро за дверью рабочего кабинета» еще не раз станут предметом анализа в судах.   

Небольшой комментарий. Российский Трудовой кодекс не рассматривает нерациональное использование рабочего времени, в том числе, доступ в интернет в личных целях, как однократное грубое нарушение трудовой дисциплины, которое может быть основанием для расторжения трудового договора по инициативе работодателя. Но повторное нарушение – это уже повод при наличии дисциплинарного взыскания. Подробнее – у Марии Вороновой.

И еще. В решении ЕСПЧ постоянно даются ссылки на документы рабочей группы Евросоюза по защите физических лиц при обработке персональных данных, изучающей вопросы мониторинга электронной переписки сотрудников на рабочем месте и оценивающей воздействие защиты данных на работников и работодателей, а также на «Свод практических правил Международной организации труда (МОТ) по защите персональных данных работника» 1997 года, который содержит важные правовые руководства, не носящие обязательного характера, для работодателей, работников и судов.

Именно рабочая группа Евросоюза в мае 2002 года опубликовала «Рабочий документ по мониторингу электронной переписки работников», в котором указывается, что работодатель вправе осуществлять контроль за работниками, но это не может служить оправданием нарушения неприкосновенности их частной жизни. Документом устанавливается, что любые меры по контролю должны отвечать следующим параметрам: прозрачность, необходимость, объективность, пропорциональность.

Мне кажется, нам в России не хватает методической и разъяснительной работы регулятора и надзорных органов именно в этом направлении – как правильно выполнять требования законодательства о персональных данных, обеспечивая баланс интересов государства, общества, бизнеса и граждан.