29 августа 2011 г.

ФЗ-152: радикально обновленный курс

Позади почти два месяца напряженного труда. Закончена коренная переработка моего авторского курса «Защита персональных данных», в ходе которой были учтены изменения, произошедшие в законодательстве о персональных данных и смежных законах, их последствия для деятельности операторов, результаты контрольной и надзорной деятельности уполномоченных органов. Курс успешно проводится и обновляется уже 4 года. Последняя его корректировка коснулась не только содержания, но и методики изложения материалов, с учетом отзывов и пожеланий слушателей. Хочется надеяться, что материал будет лучше восприниматься и усваиваться.
С частью результатов анализа новой редакции закона я делился с Вами в своем блоге, остальное будет обнародовано на премьере обновленного 2-х дневного курса. Проблема ревизии учебного материала оказалась гораздо сложнее, чем казалось вначале – в ФЗ-152 выявлены не очевидные, не видимые с первого взгляда проблемы, которые часто скрываются под такой простой заменой слов, как например, «в федеральных законах» вместо «в настоящем Законе».
Новые определения, новые субъекты отношений, новые обязанности оператора и новый порядок направления уведомлений в Роскомнадзор – все это очень существенно отразится на деятельности каждой организации, каждого предприятия. Можно, конечно, попытаться разобраться в этом самому – весьма «занимательный», но длительный процесс. А можно проанализировать материал, подготовленный экспертом, задать любые вопросы и попытаться найти правильное решение вместе с коллегами из самых разных отраслей экономики, работающих на различных должностях в самых разных подразделениях – технарями, айтишниками, безопасниками, юристами, кадровиками, руководителями самых разных бизнес-единиц. Именно такая компания обычно собирается на моих курсах, и запретных вопросов на них нет. Курс рассчитан на всех, независимо от предварительной подготовки.
Новая редакция закона, имеющая к тому же обратную юрисдикцию, и пространные планы контрольных органов, наконец-то всеми ими выложенные на свои сайты, заставила обратиться к теме персональных данных даже тех, кто надеялся, что его минует чаша сия.
Ну, а для тех, кто считает себя уже спецом в области персональных данных и их защиты, активно готовится однодневный семинар, целиком посвященный анализу изменений и их влиянию на деятельность операторов. Дата премьеры и место проведения будут объявлены дополнительно.
А пока всех приглашаю на радикально обновленный курс. Первая общедоступная дата проведения – 19-20 сентября в Учебном центре «Информзащита», вчера свободные места еще были, программа - на сайте Учебного центра, там же и запись на курс.

24 августа 2011 г.

Технический дефолт

Я не про отказ от выполнения финансовых обязательств. Слово default имеет разные значения. В данном случае речь пойдет о сознательном отказе от выполнения требований. Догадались? Требований по технической защите персональных данных.
Принятие поправок в ФЗ-152, похоже, начинает давать эффект, прямо противоположный целям, поставленным авторами статей 18 прим и 19 в новой редакции закона. В ходе переговоров с заказчиками выясняется, что люди, от которых в конечном итоге зависит выделение бюджетов, категорически отказываются обсуждать реализацию мер технической защиты. Правовые меры – пожалуйста, давайте поговорим. Организационные? Доработка локальных нормодоков, разработка политики оператора? А что Вы конкретно предлагаете? Ваша оценка стоимости?
Техническая защита? Стоп. На основании каких нормативно-правовых актов Вы предлагаете определять меры по технической защите?
Квинтэссенция – вникание юристов из служб правового обеспечения заказчиков в проблемы выдвижения требований по таким ранее неведомым для них вопросам, как уровни криптографической защиты персональных данных, специальной защиты от утечки по каналам побочных излучений и наводок и защиты от несанкционированного доступа. Они уже знают про печальный конец «четырехкнижия» ФСТЭК, отмененные требования об обязательности аттестации ИСПДн, о порядке выбора межсетевых экранов и IDS/IPS в зависимости от класса системы.
Держатели бюджетов компаний, не имеющих и не намеревающихся получать лицензии на работу с гостайной, интересуются, в каких конкретно актах установлен особый порядок допуска к документам, содержащим обязательные для выполнения требования. Нет конкретного ответа – нет бюджета. До принятия правительством России актов, определяющих уровни защищенности персональных данных, требований к их защите и видов деятельности, при осуществлении которых осуществляется надзор со стороны ФСБ и ФСТЭК, обсуждение вопросов технической защиты они считают нецелесообразным. И их можно понять.
Ситуация складывается аховая.  Если про консалтинг по поводу правовых и организационных мер с заказчиками говорить можно, и он видится востребованным, то по поводу технического проектирования настрой руководителей и владельцев бизнеса – резко отрицательный. И они его не скрывают, демонстрируя готовность перенести обсуждение в суд. Достали их. 

22 августа 2011 г.

Поговорим «по понятиям»

Занимаюсь коренной переработкой своих авторских курсов по тематике защиты персональных данных. Изменений много, и не только в ФЗ-152, и чем дальше влезаешь, тем сложнее видится ситуация.
В качестве одного из аргументов в пользу новой редакции закона «О персональных данных» очень часто приводится тезис о совершенствовании понятийного аппарата. В значительной степени готов согласиться с этим утверждением, но некоторые моменты существенно уменьшают оптимизм.
Давайте поговорим о терминах и определениях нового закона – ведь от понятийной базы зависит многое, если не все, в последующем правоприменении.
Что же изменилось и как? И что не изменилось, хотя и нуждалось в этом?
Анализировать будем не «вообще» и не на тему, как закон соответствует духу новых европейских документов или что об этом когда-нибудь напишут в NIST, BSI или ISO, а конкретно.
Вроде бы все уже согласились с очевидным: плохо это или хорошо, ФЗ -152 заточен на проверку выполнения формальных требований, а не на реакцию на инциденты с персданными. В данной ситуации главное - что подлежит контролю  и надзору. Цитирую ФЗ-294 в последней (как и в предыдущей) редакции: «Предметом плановой/внеплановой проверки является соблюдение юридическим лицом, индивидуальным предпринимателем в процессе осуществления деятельности обязательных требований». Про муниципальные требования пропустим, поскольку к делу не относятся.
Мой главный аргумент против закона я уже много раз озвучивал. Он связан с тем, что оператор может, а что - должен. Поэтому не разделяю энтузиазма по поводу новой статьи 18прим. ИМХО, она ужасная...
Часть первая. [Оператор] Самостоятельно определяет меры... Счастье. И, там же, "к мерам могут относиться" - опубликование политики в том числе. МОГУТ!
Часть вторая. "Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику". Так «могут» или «обязан»? Задумчивость.
Часть четвертая. "Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных". Если могут, то как же обязан представить? Взрыв мозгов и торжествующий инспектор на пороге...
Ст.22прим. "Оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных". Подождите, в 18прим мог назначать?
Про техническую защиту вообще молчу - будем ждать подзаконных актов.
Основное. Определение персональных данных стало другим. Определение базовое, краеугольное и основополагающее. Как в Конвенции, убеждают нас сторонники новой редакции закона. «Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных)».
Меня лично слово «косвенно» просто убивает. Никогда не понимал, что такое «обезличенные персональные данные» в «приказе трех», исходя из закона, и считая, что если обезличены – значит, не персональные. Наивности пришел конец. Теперь все попытки заменить ФИО на табельный номер, условный код или номер договора в ИСПДн могут оказаться бесполезными – косвенно, с использованием другой ИСПДн, все определяется.
И не надо кивать на Европу.  Правило, выведенное отнюдь не россиянами, «что русскому здорово, то немцу смерть», имеет и обратную силу. Может, у них это и катит. Учитывая, что у нас про способы обезличивания ни в одном нормативно-правовом акте нет ни слова, боюсь, что с таким определением о поблажках, предусмотренных для К4, придется забыть. Посмотрим.
В законе вводится 13 видов обработки персданных, а, с учетом подвидов, - 18: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. При этом прямо определяются только пять видов обработки (распространение, предоставление, блокирование, уничтожение, обезличивание). Про сбор, хранение, уточнение, изменение, доступ, передачу и удаление можно догадаться, читая внимательно другие статьи закона. А вот что такое запись, систематизация, накопление, обновление, извлечение, использование – об этом вообще в законе нет ни слова. В предыдущей редакции определение «использования» было одним из базовых понятий, поскольку именно этот вид обработки приводил к принятию решений в отношении субъекта персональных данных, совершению «иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц». Теперь что такое использование – неизвестно. Кроме того, в законе упоминаются, но не определяются такие виды обработки, как опубликование, (обязательное) раскрытие, очень важные для понятия общедоступных данных.
Мелочи, придирки? Не совсем. Такое пренебрежение может приводить к абсурду.
Например. Сбор персданных – это тоже обработка. Но в ст.18 (как раньше, так и сейчас), оператор, в случае, если персданные получены не от самого субъекта, до начала обработки его данных обязан предоставить субъекту определенную информацию. Это как? Получив «черный ящик», найти того, про кого в ящике написано? Для многих этот пункт является камнем преткновения. Как, не обрабатывая данные, связаться с субъектом?
Или другой пример. Блокирование – тоже вид обработки. Читаем определение: «Блокирование - временное прекращение обработки персональных данных». Т.е. обработка заключается в прекращении обработки?
Выливается эта неряшливость терминов в неопределенность действий оператора в случаях, прямо связанных с его непосредственными обязанностями. Ст.21 предлагает в первой-третьей частях сразу два сценария поведения оператора при выявлении неправомерной обработки персональных данных. Если по этому поводу обратился субъект (его представитель, уполномоченный орган) (часть 1), данные надо блокировать и уточнить. А если просто обнаружился факт неправомерной обработки (часть 3 - про обращение субъекта – ни слова, , тогда, интересно, как он обнаружился?), обработку данных надо прекратить и их уничтожить.
Так как правильно? Тождественны ли блокирование и прекращение обработки? Если да, почему в двух частях одной статьи используются разные термины? Вопросы без конца… Проверяющие на пороге…
И в заключение. Новая часть 2 прим статьи 25 закона в новой редакции: «Операторы, которые осуществляли обработку персональных данных до 1 июля 2011 года, обязаны представить в уполномоченный орган по защите прав субъектов персональных данных сведения, указанные в пунктах 5, 7прим, 10 и 11 части 3 статьи 22 настоящего Федерального закона, не позднее 1 января 2013 года».
Все операторы? Даже те, кто не представлял уведомление ранее и не обязан по закону уведомлять Роскомнадзор вообще? Из текста статьи вытекает, что – да, должны! Тогда это новое слово в законе. Принципиально новое. Статья 19.7. Непредставление сведений (информации) КоАП заплакала обо всех юрлицах, адвокатах, нотариусах, журналистах и прочих операторах персданных нашей страны. Очень горькими слезами.
Подробный анализ всего этого – на обновленных курсах и семинарах.

16 августа 2011 г.

И опять о выполнении требований ФЗ-152 предприятиями, ведущими бизнес в Интернете

Информационное сообщение. Об анонсе вебинара 23 августа на тему «Выполнение требований ФЗ-152 предприятиями, ведущими бизнес в Интернете» я писал.
Оказалось, что количество желающих принять участие в вебинаре существенно превзошло планы организатора. Компания «Код безопасности» приняла решение о повторе вебинара 30 августа. Участие все еще бесплатное, но по предварительной записи. Участникам вебинара будет предоставлена возможность задать вопросы экспертам. Запись на вебинар и более подробная информация.
В своем выступлении на вебинаре я планирую остановиться на сложных проблемах достижения соответствия ФЗ-152 в интернет-магазинах и действиях, которые предприятиям электронного бизнеса необходимо предпринять, чтобы минимизировать риски предъявления санкций со стороны госрегуляторов и при этом не понести чрезмерных затрат.

15 августа 2011 г.

Люди, будьте бдительны!

Не могу молчать! Тиграм в клетке не докладывают мяса!
Принятие поправок в ФЗ-152 породило вал комментариев, причем комментировать стали абсолютно  все – кто был в теме 5 лет, кто узнал о случившемся «вступлении в силу закона о защите персональных данных» и кто по этому поводу только что поучился на скоропалительно созданных курсах. Интеграторы и адвокатские бюро, кадровые агентства и объединения производителей софта и вообще все, кому не лень – комментируют.
Среди читателей моего блога – люди совершенно разные. По разным причинам они окунаются в эту отнюдь не прозрачную воду. Хочу выписать всем простой рецепт. Увидев комментарий, который вас поразил своей глубиной и выразительностью, выделите особо впечатляющие слова, скопируйте их, откройте новый текст закона и поищите.
Результат может быть неожиданным.
Для иллюстрации – таблица ниже. Вопреки обыкновению, не указываю названия компаний, имена комментаторов и журналистов. Я рядом во время интервью не стоял и их не слышал. Цепочка «источник-журналист-редактор» очень сложная, и в ней случается всякое. Поэтому – только то, что прочитал и что по этому поводу думаю. То, что прочел я в Интернете, и Вы прочесть можете.

Источник и высказывание
Мой комментарий
Известный интегратор, оказывает услуги в области персданных:
«То и дело от Роскомнадзора поступают недвусмысленные сигналы о необходимости подачи заявки на регистрацию в качестве оператора ПДн. Если компания не подала заявку, она нарушает установленные законом требования, и ее деятельность может быть приостановлена регулирующим органом».
Нет в законе регистрации в качестве оператора. Есть уведомление об обработке персданных. Уведомление и регистрация – суть понятия совершенно разные.
Нет такой санкции за неуведомление, как приостановка деятельности организации. Ст.19.7 КоАП «Непредставление сведений (информации)». Максимальное наказание для должностного лица – 500 рублей, для юрлица – 5000 руб. Все.
Депутат Госдумы:
«На сегодняшний день за деятельность по несанкционированной обработке персональных данных предусмотрен штраф от 5 до 500 тысяч рублей».
Введение в заблуждение или некомпетентность.
Ст.13.11 КоАП «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Нарушение влечет наложение штрафа на должностных лиц - от 500 до 1000 рублей; на юридических лиц - от 5 до 10 тысяч рублей». Почувствуйте разницу.
Если имелась в виду ст.137 УК «Нарушение неприкосновенности частной жизни» (прецедентов ее «подтягивания» к персданным пока нет), штраф при использовании служебного положения – от 100 до 300 тыс. рублей. Все равно не 500 тысяч.
Чиновник:
«Чтобы доказать свой ущерб от недобросовестных действий сетевых продавцов, достаточно будет представить в суде скриншот (снимок экрана, показывающий в точности то, что видит пользователь на экране своего монитора) веб-страницы с опубликованными на ней персональными данными».
Бесполезно. Скриншот надо заверить у нотариуса, а это сложно, дорого и долго, делается далеко не всеми нотариусами и принимается судами далеко не всегда (надо доказать принадлежность сайта оператору) – см. дело Кирилла «Медведа 01» Форманчука в Екатеринбурге. И скриншот – не ущерб. Ущерб надо доказывать. См. известное дело «Субъект персданных против МТС» в МАС № КГ-А40/14789-07: «Суд пришел к выводу, что истец не представил доказательств факта причинения ему нравственных и физических страданий действиями ответчика».
Руководитель якобы крупной, но неизвестной компании на рынке ИБ:
«Те компании, которые не выполнят жестких требований закона, не внедрят необходимое оборудование (системы ограничения доступа, криптографическую и антивирусную защиту, программы по отслеживанию несанкционированных вторжений) будут выплачивать не только административные штрафы, но и лишаться лицензий».
Неправда. Роскомнадзор (ст.23 ФЗ-152) может направлять в лицензирующий орган заявление о принятии мер по приостановлению действия или аннулированию соответствующей лицензии только в том случае, если условием лицензии является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных. Все. Других вариантов нет. Пока неизвестны случаи включения этого положения в какие-либо лицензионные условия. Значит, и говорить не о чем.
Известная, крупная юридическая компания:
«Новая редакция Закона вводит правило, согласно которому операторы самостоятельно определяют состав мер, необходимых и достаточных для обеспечения требований Закона и подзаконных актов. При этом устанавливается примерный неисчерпывающий перечень таких мер».
Это не правило, это декларация. Читаем ст.18прим ФЗ-152 в новой редакции. Часть 4: «Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных».
Юрист компании:
«Документ ужесточает ответственность организаций за соблюдение защиты личной информации россиян. Напомним, принятый в 2006 году Федеральный закон "О персональных данных" предоставлял отсрочку по введению этой нормы до 1 января 2010 года. Впоследствии Госдума дважды продлевала этот срок, и в последний раз - до 1 июля 2011 года».
«Закон вводит понятие биометрических персональных данных. Но прерогатива их хранения и использования отдана в основном государственным службам, которые смогут к ним обратиться в случае необходимости установления личности».
Нет в новой редакции никакого ужесточения. И переносилось не ужесточение, а срок приведения в соответствие закону информационных систем. И биометрические данные были в самой первой редакции.
А уж где юрист вычитала про «прерогативу» - только ей известно, в ФЗ-152 этого нет.
Неофит, сходивший на семинар по новой редакции ФЗ-152:
«Оказывается, любой "обиженный" или бывший сотрудник практически любой организации может подложить свинью своим работодателям-уродам. Для этого, нужно всего лишь инициировать их внеплановую проверку Роскомнадзором, составив жалобу. И если у организации конь не валялся в подготовке к требованиям 152-ФЗ "О защите персональных данных", они за месяц должны будут конкретно упереться рогом в землю и нарожать столько ежиков, что будут потом очень долго вспоминать всех своих бывших и "обиженных" сотрудников в долгих матерных выражениях».
Вас обманули. Ни ФЗ-152, ни ФЗ-294 не предусматривает в качестве основания для внеплановой проверки жалобу действующего или бывшего работника, как и любого другого субъекта, на нарушения оператором порядка обработки персональных данных. Соответствующие поправки в закон не прошли.
Появились прецеденты отказа в предоставлении доступа лицам, приехавшим осуществлять внеплановую проверку.
А месяц упирания рогом – вообще плод фантазий авторов семинара. О внеплановой проверке, когда она законна, предупреждают не позже, чем за 24 часа.
Руководитель известной компании на рынке ИБ:
«По новому закону компании, которые нанимают более 10 человек, становятся операторами персональных данных».
«Организации, которые оперируют базами данных объемом свыше 100 тысяч записей, должны будут приобретать дополнительное сертифицированное оборудование. Сертификаты выдает Федеральная служба по техническому и экспортному контролю (ФСТЭК) и ФСБ».
Нет этого в законе. Оператором является даже тот, кто никого не нанимает, но обрабатывает персданные не в личных, а в профессиональных целях – индивидуальный предприниматель, адвокат, нотариус, журналист.
И 100 тыс. записей здесь ни при чем. Независимо от количества записей в базах данных операторы должны применять средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия.
Я читаю, естественно, не все, что пишут о ФЗ-152. Это невозможно. И написал далеко не обо всем, что прочитал и что меня задело. Это просто примеры.
Не верьте на слово. Лучше проверьте, чтобы не наделать ошибок.

12 августа 2011 г.

Пятничное. Персональные данные владельца животных

Мне кажется, в связи с многострадальным ФЗ-152 потихоньку съехала крыша у значительного количества причастных к теме.
Читаем.
«Обращение с информацией, содержащей персональные данные владельца животных, осуществляется в соответствии с федеральным законодательством о персональных данных.
Основным документом, удостоверяющим факт регистрации животного, является регистрационное удостоверение. Форма регистрационного удостоверения и порядок его выдачи устанавливается федеральным органом государственной власти.
По желанию владельца животного при  регистрации животного  ему вводится электронный носитель информации (микрочип) с записанными на него персональными данными владельца животного и описанием индивидуальных характеристик животного.
Перечень данных, записываемых на электронные носители информации, вводимые в животное, а также порядок учета таких данных определяется уполномоченным федеральным органом государственной власти».
Это не стеб. Это – из принятого в первом чтении законопроекта «Об ответственном обращении с животными».
Т.е. если не написать, что персданные владельца обрабатываются в соответствии с законодательством, то конкретно ему, собачнику, будет ну очень плохо, а данные его, самые что ни на есть персональные, будут обрабатываться как-то по-другому.
Может быть, пока второе чтение не началось, внести поправки и пойти дальше. Поскольку в ФЗ-152 нигде не написано, что субъект – человек, можно узаконить и персданные домашнего животного. А что, «описание индивидуальных характеристик животного» - ведь это и есть биометрические персональные данные, используемые для установления его личности. И не надо лишней бумаги тратить!
За выходные можно подумать о внесении по этому поводу изменений в ФЗ «О пчеловодстве».

8 августа 2011 г.

О бедном субъекте замолвите слово

Продолжаем изучать новую редакцию Федерального закона «О персональных данных».
Один из главных аргументов сторонников новой редакции ФЗ-152 – существенное улучшение положения субъекта, уровня защищенности его прав в соответствии с новейшими европейскими тенденциями. В законе появились правильные слова, что, как пишет Ю.В.Травкин, «ставит новый российский ФЗ в ряд лучших мировых национальных законов» и является шагом к тому, чтобы «прекратить или снизить тот бардак, который творится с персональными данными».
Давайте посмотрим, что же изменилось в новом законе с точки зрения интересов субъекта. В новой, выверенной по лучшим европейским калькам редакции, в ст.5 появились замечательные слова о том, что обработка персданных должна ограничиваться достижением конкретных, заранее определенных и законных целей, а обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
А теперь – конкретный пример. При получении заказного письма на почте оператор (Почта России) требует указать на уведомлении номер паспорта, дату его выдачи и наименование выдавшего органа, а если адрес не совпадает с местом регистрации – и место регистрации. Зачем? ФИО и адрес указаны в уведомлении, паспорт предъявляется при получении.
Каким образом закон позволяет субъекту оценить, соответствует ли содержание и объем обрабатываемых персональных данных заявленным целям обработки и не являются ли запрашиваемые данные избыточными по отношению к заявленным целям их обработки? А никак. Можно, конечно, «накапать» в Роскомнадзор – но бесполезно. Жалоба субъекта основанием для проверки не является (об этом ниже).
Ну, и зачем тогда нужны правильные слова?
В статье 6 значительно расширены основания для обработки персданных без согласия субъекта. Расширены совершенно справедливо и в целом правильно, но никакого повышения защищенности субъекта это не предполагает. Появилось новое основание для обработки данных без согласия субъекта - «достижение общественно значимых целей», пусть и при обязательном условии, что при этом не нарушаются права и свободы субъекта. Такое основание дает возможность, например, обзванивать доноров сайта Распил.Ру. А что – цель еще какая значимая! Общественно. А нарушены ли права тех, кому звонили? Идите в суд и доказывайте, что они нарушены, если сможете.
Как уже упоминалось, ст.9 требует конкретного, информированного и сознательного согласия субъекта на обработку его персональных данных. При наличии в законе массы определений пояснить, что же это такое, его авторы все же не удосужились. Если конкретность и сознательность согласия еще как-то можно понять на интуитивном уровне (хотя и здесь возможны тяжкие споры с надзором, который до 1 июля с удовольствием выписывал штрафы за несоответствие формы согласия закону, как он его понимал), то что такое информированное согласие субъекта, сказать очень трудно. Значит – опять будет прав чиновник, о чем я уже писал
В статье 14 ограничены, по сравнению с предыдущей редакцией, возможности субъекта на запросы оператору по поводу обработки персданных и увеличены сроки подготовки ответов на них, внесения изменений в обрабатываемые данные по требованию субъекта и уничтожения данных. Расширен перечень оснований для отказа оператором субъекту в доступе к его персональным данным. Среди этих оснований появилось весьма, на мой взгляд, экзотическое: «обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях … защиты интересов личности … в сфере транспортного комплекса от актов незаконного вмешательства». Во как! Получается, согласия не нужно для защиты субъекта от его же незаконного вмешательства в свои же данные.  Про транспортную безопасность домыслите сами.
В целом корректировка ст.14 видится справедливой, но о повышении уровня защищенности прав субъекта здесь тоже говорить нельзя – легче стало только оператору. Аналогично со ст.17, определившей в новой редакции случаи, когда оператору не надо информировать субъекта о получении персданных не от него, а от других лиц.
Появилась новая часть (вторая) в ст.24: «Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков». Опять – чистой воды декларация, которая и так очевидна из Гражданского кодекса. Зачем писать общие слова, не предлагая никакого механизма реализации – не понятно. Да и возмещение морального вреда в нашей стране – песня старая и совсем не веселая: попробуйте его получить.
Иногда стремления законодателей защитить права субъектов становятся совсем смешными. Пункт 4 части 1 ст.6 предусматривает обработку персданных субъекта без его согласия для предоставления государственной или муниципальной услуги, для обеспечения предоставления такой услуги  и для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг. А часть 5 ст.9 гласит, что порядок получения согласия субъекта персональных данных в форме электронного документа на обработку его персональных данных в целях предоставления государственных и муниципальных услуг, а также услуг, которые являются необходимыми и обязательными для предоставления государственных и муниципальных услуг, устанавливается Правительством Российской Федерации. Зачем закон требует от Правительства устанавливать то, что этим же законом не требуется?
Единственно, что хорошо для защиты субъекта – появился четкий подход в новой редакции ФЗ-152 к общедоступным персданным. Они могут быть сделаны таковыми только субъектом, и никак иначе. Просто и понятно. Заодно закон вводит понятия персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. Тоже неплохо.
И в заключение. По таинственным причинам, частично поясненным А.Лукацким, из нового закона № ФЗ-242 «О внесении изменений в отдельные законодательные акты Российской Федерации по вопросам осуществления государственного контроля (надзора) и муниципального контроля» в подписанной Президентом редакции исчез раздел о внесении изменений в ФЗ-152 в части оснований для внеплановых проверок. По-прежнему жалобы субъектов, обращения органов власти и СМИ не могут быть основанием внеплановой проверки оператора, что бы не писал Роскомнадзор в своем административном регламенте.
Так что субъект может жаловаться, может не жаловаться – результат один. Проверку его жалобы ПО ЗАКОНУ провести нельзя.
Вот, собственно, и все. Никакого улучшения положения субъекта в новой редакции ФЗ-152 я не увидел. Ухудшения – тоже.
Но по-прежнему при появлении в продаже базы данных с моими данными я, как субъект, ничего сделать не могу. И ФЗ-152 мне – не помощник. Послушаем 8 августа депутата Железняка. На своей пресс-конференции он обещал рассказать, что надо сделать (в который раз!) чтобы ситуацию изменить. Наверное, в новых редакциях законов и кодексов. 

3 августа 2011 г.

Закон о движении облаков строго над территорией России

Внимательно анализируя результаты весенней парламентской сессии, изменения, внесенные в законодательство и ревизуя свои авторские курсы в связи с этими изменениями (в сентябре предстоят премьеры всех четырех обновлений и подготовиться нужно серьезно), иногда прихожу к неожиданным для себя выводам.
Самыми интересными буду делиться здесь. Если есть желание поспорить или предложить иную трактовку – милости прошу. Поскольку выводы иногда получаются не самыми оптимистичными.
Начнем с облачных вычислений.
Похоже, новая редакция закона «О персональных данных» категорически исключает возможность простого и радикального решения вопроса соответствия закону – переноса обработки персданных за территорию Российской Федерации или в облако с нечеткими границами.
Итак, логика рассуждений. ФЗ-152 позволяет оператору поручить обработку персданных другому лицу, уже получившему в Интернете элегантное имя ЛООПДППО (лицо, организующее обработку персональных данных по поручению оператора) на основании договора, заключаемого с этим самым ЛООПДППО (ч.3 ст.6). Согласие должно быть доказываемое, конкретное, информированное (кто бы сказал, что это?) и сознательное. Допустим, эта проблема решена в договоре между оператором и субъектом. Идем дальше.
ЛООПДППО обязано соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, а в поручении оператора должны быть указаны требования (!) к защите обрабатываемых персональных данных (теперь внимание!) в соответствии со статьей 19.
Не вдаваясь пока глубоко в содержание ст.19, выделю лишь горячо обсуждаемое требование о применении средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.
В ч.5 ст.6  определено, что оператор несет ответственность перед субъектом персональных данных за действия ЛООПДППО.
Определяя роль оператора, передающего обработку на аутсорсинг, ч.1 ст.19  закона в новой редакции устанавливает, что оператор обязан обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Мне кажется, все однозначно. Обработка персданных с использованием облачных технологий стороннего провайдера возможна при выполнении следующих условий:
  • на это есть доказываемое конкретное, информированное и сознательное согласие каждого субъекта, чьи данные обрабатываются;
  • в договоре оператора с провайдером оговорено выполнение требований ФЗ-152;
  • провайдер создал подсистему ИБ, соответствующую ФЗ-152, с использованием СЗИ, сертифицированных ФСБ и ФСТЭК.
Кроме того, в соответствии с ч.2 ст.18 прим, оператор обо всем этом должен честно и подробно рассказать в опубликованной им политике в отношении обработки персональных данных.
Даже если найдется безумный провайдер за рубежом, готовый пойти под юрисдикцию ФЗ-152 (интересно, что думают об этом власти страны, где он зарегистрирован?) и поставить у себя всякие там экраны, сканеры и прочие с российскими сертификатами, придется решать нерешаемую проблему передачи данных через Интернет, т.е. получать разрешение (в России) на ввоз (по месту нахождения ЦОД) российских криптографических средств.
Таким образом, на CRM, ERP и прочих системах, получаемых по запросу (SaaS) из-за рубежа, похоже, надо будет поставить крест.
А теперь вопросы на засыпку:
1. Что делать с системами бронирования авиабилетов российских авиакомпаний, полностью лежащих в облаках Sabre и Gabriel?
2. Что делать банкам, отелям, страховым компаниям и прочим, формально являющимся резидентами РФ, но входящим в международные компании, которые требуют все данные (в том числе персональные) передавать им и строить их обработку по их же правилам (часто в их же ЦОДах)?
3. Что делать Интернет-магазинам, хостящимся где-то там, за облаками?
Выводы неутешительные. Может, я где-то перегнул?  

1 августа 2011 г.

Вот такой официоз…

Дважды подряд изумила «Российская газета». Официальное издание, учрежденное Правительством, сначала дало фантастический комментарий к ФЗ-261 о внесении изменений в закон о персональных данных, а потом без пояснений сообщило о корректировке текста этого же закона, опубликованного ею чуть ранее. 
Комментарий называется «Тайна за семью печалями. Как защитить персональные данные граждан РФ». Как следует из текста, статья основана на экспертном мнении «руководителя одной из крупных российских компаний, специализирующихся на проблемах информационной безопасности, Павла Шибкова».  Пересказывать это творение не буду, слов просто таких у меня нет.
Коллеги, может быть кто-нибудь знает, кто такой этот Павел Шибков и чем таким крупным он руководит? Может, узнав это, будет понятно, откуда такие перлы?
Ну, а с текстом ФЗ-261 просто класс. «Уточнение. В Федеральном законе "О внесении изменений в Федеральный закон "О персональных данных", опубликованном в "РГ" N 162 от 27 июля 2011 г., следует читать…». Осталось понять, кто, когда и почему решил, что читать надо именно так.