9 марта 2016 г.

Обсудим особенности обработки персональных данных в негосударственных пенсионных фондах

16 марта пройдет семинар по персональным данным, на этот раз – для негосударственных пенсионных фондов, пенсионных администраторов, страховых и управляющих компаний, который мы проводим совместно с Национальной ассоциацией негосударственных пенсионных фондов (НАПФ), а точнее – ее Учебно-методическим информационным центром.
Опыт наших проектов в этих организациях показывает, что их деятельности присуща специфика, существенно отличающая их от других операторов персональных данных, что требует отдельного анализа и обоснования правовых оснований обработки персональных данных, их допустимого состава.
В первую очередь, это связано с категориями субъектов, чьи данные обрабатываются в фондах. Помимо обязательных для всех операторов работников, их родственников, соискателей вакантных должностей, посетителей, представителей контрагентов и субъектов персональных данных, значительное количество сведений относится к вкладчикам, участникам фонда и клиентам по негосударственному пенсионному обеспечению, страхователям и застрахованным лицам, правопреемникам участников фонда и застрахованных лиц, выгодоприобретателям, а также агентам фонда, действующим на основании договора и обязавшихся совершать по поручению фонда действия как от своего имени, но за счет фонда, так от имени и за счет фонда. Для каждой такой категории необходимо определить наличие предусмотренных законом оснований для обработки данных, необходимость получения согласия и его форму, состав сведений, необходимых и достаточных для достижения предопределенных целей обработки, но не выходящих за установленные ими пределы.
Да и перечень законов и иных нормативных правовых актов, содержащих основания обработки персональных данных, помимо традиционного закона «О персональных данных» и Трудового и Гражданского кодексов РФ дополняется большим количеством документов, устанавливающих те или иные нормы, к примеру:
·         ФЗ от 07.05.1998 № 75-ФЗ «О негосударственных пенсионных фондах»;
·         ФЗ от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
·         ФЗ «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений»;
·         ФЗ от 24.07.2002 № 111-ФЗ «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации»;
·         Постановление Правительства РФ от 03.11.2007 № 742 «Об утверждении Правил выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, правопреемникам умершего застрахованного лица средств пенсионных накоплений, учтенных на пенсионном счете накопительной части трудовой пенсии»;
·         Постановление Правительства РФ от 21.12.2009 № 1048 «Об утверждении Правил единовременной выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, средств пенсионных накоплений лицам, которые не приобрели право на установление трудовой пенсии по старости»
·         Постановление Правления ПФР от 31.07.2006 № 192п «О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и Инструкции по их заполнению».
И в каждом из документов содержатся обязательные требования, которые необходимо учесть при организации работы негосударственного пенсионного фонда, разработки локальных нормативных актов, договоров с контрагентами и субъектами персональных данных.
Часть этих норм требует для их реализации дополнительных усилий, а часть, напротив, существенно облегчает деятельность оператора, освобождая его от весьма трудоемких, а иногда и затратных действий по реализации норм закона «О персональных данных». Крайне важными здесь представляются положения статьи 15 закона «О негосударственных пенсионных фондах», к которым в свое время приложил руку и я, в соответствии с которыми фонд не обязан получать согласие вкладчиков-физических лиц, страхователей-физических лиц, участников, застрахованных лиц, выгодоприобретателей на обработку персональных данных, касающихся состояния здоровья указанных лиц и предоставленных ими или с их согласия третьими лицами в объеме, необходимом для исполнения договора, а также право фонда поручить обработку персональных данных указанных выше лиц организациям при определенных условиях.
В ходе семинара будет рассмотрена позиция регулятора и надзорного органа в отношении негосударственных пенсионных фондов – Банка России, связанная с организацией обработки персональных данных и обеспечением информационной безопасности, новые тенденции ее правового регулирования, озвученные на магнитогорском форуме по банковской безопасности
В заключении семинара будет подробно проанализирована система контроля и надзора за соблюдением законодательства о персональных данных, ее изменения, произошедшие после 1 сентября 2015 года, примеры из практики надзорной деятельности, типичные нарушения, выявляемые при проведении надзорных мероприятий и мероприятий систематического наблюдения, а также практика разрешения судебных споров, связанных с персональными данными.
Учитывая, что во многих негосударственных пенсионных фондах подразделений по информационной безопасности традиционно нет, а занимаются описанными выше проблемами самые разные специалисты, мы вместе с НАПФ надеемся, что семинар поможет им разобраться в непростых вопросах и обеспечить соответствие обработки персональных данных всех категорий субъектов закону. 

3 марта 2016 г.

С 4 марта: ДСП поверх коммерческой тайны

Отродясь такого не видали, и вот опять! Бесценное наследие Виктора Степановича Черномырдина по-прежнему на вооружении в Белом доме. Заповеди исполняются неукоснительно: «Хотели как лучше, а получилось как всегда».
В соответствии с Постановлением Правительства РФ от 20.02.2016 № 123 завтра (04.03.2016) вступают в силу изменения в приснопамятное Постановление Правительства от 03.11.1994 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти и уполномоченном органе управления использованием атомной энергии», подписанное как раз Виктором Степановичем (далее - ПП-1233).
Изменение совсем коротенькое: пункт 1.2 Положения дополнить словами «, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами».
Видимо, никто особого внимания на это не обратил, мы, честно говоря, тоже, пропустили этот эпохальный документ, но позвонили уважаемые заказчики и задали вопрос: «Что это было?».
После внесения изменения пункт 1.2 ПП-1233 полностью выглядит так: «К служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности организаций, ограничения на распространение которой диктуются служебной необходимостью, а также поступившая в организации несекретная информация, доступ к которой ограничен в соответствии с федеральными законами».
Напомню, что организации в данном случае – это федеральные органы исполнительной власти и уполномоченный орган управления использованием атомной энергии (Госкорпорация «Росатом»), а также подведомственные им предприятия, учреждения и организации.
Далее будем руководствоваться замечательным тезисом, изложенным в труде под названием «Федеральный закон «О персональных данных»: Научно-практический комментарий» под редакцией заместителя руководителя Роскомнадзора А.А. Приезжевой: «Принцип формальной определенности закона, сформулированный в практике Конституционного Суда РФ, вытекает из ч. 1 ст. 1, ч. 2 ст. 4, ч. 2 ст. 6, ч. 2 ст. 15 и ч. 1 ст. 19 Конституции РФ и предполагает точность, ясность и недвусмысленность правовых норм, без чего не может быть обеспечено единообразное понимание и применение таких норм, а значит, и равенство всех перед законом». Там же есть и еще один очень правильный тезис про применение в правоприменительной практике «по умолчанию» буквального толкования установленных правовыми актами норм. Тезисы действительно очень важные и очень правильные, я их во все свои курсы с анализом законодательства включил.
Итак, что же теперь надо делать в организациях, чья деятельность регламентируется ПП-1233  при буквальном толковании?
На все документы, поступающие в такие организации и содержащие сведения, доступ к которым ограничен законом, надо ставить пометку «Для служебного пользования» или ДСП, как часто принято. На все.
А что это за документы? Много раз уже отмечалось, что тайн в нашем законодательстве много, сколько - точно не знает никто. Но поскольку речь идет об органах власти, а ПП-1233 регулирует отношения, связанные со сведениями, «содержащимися в подготавливаемых в федеральных органах исполнительной власти проектах указов и распоряжений Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, других служебных документов», для классификации этих сведений вполне обоснованно применять нормы Указа Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера» (далее – Перечень). Указ вовсе не вводит универсального классификатора, как часто это пытаются представить, но как раз для указанных выше случаев и предназначен: «В целях дальнейшего совершенствования порядка опубликования и вступления в силу актов Президента Российской Федерации, Правительства Российской Федерации и нормативных правовых актов федеральных органов исполнительной власти».
Итак, все документы, подпадающие под Перечень, надо маркировать пометкой «ДСП». Поступили документы с персональными данными в любую организацию, указанную в ПП-1233, – ставим пометку, пришла налоговая отчетность в ФНС, кроме подпадающей под общедоступную – ставим пометку (налоговая тайна), пришел запрос из суда или органов следствия и дознания – тоже ставим (тайна следствия и судопроизводства).
Дальше – больше. Все документы, содержащие врачебную тайну в Минздраве, его службах и агентствах, должны быть с пометкой «ДСП» - они именно поступили и составляют профессиональную тайну в терминах Указа № 188. Причем в самих лечебно-профилактических учреждениях их помечать как ДСП не надо, даже если они подведомственны Минздраву, ПП-1233 этого не требует.
Дальше – еще больше. Пришел в госорган документ с грифом «Коммерческая тайна» в рамках исполнения обладателем секретов обязанностей, предусмотренных ст.6 закона «О коммерческой тайне», на котором в соответствии с новой нормой тоже необходимо поставить над (или сверху, или ниже?) предусмотренным законом грифом так называемую пометку, о которой в федеральных законах ничего не сказано. Поэтому неясно, как гриф с пометкой соотносятся.
По-прежнему неясны правовые последствия простановки пометки «ДСП» и разглашения сведений, содержащихся в таких документах. Привлечь к административной ответственности по статье 13.14 КоАП и уж тем более по статье 183 УК РФ нельзя, поскольку в них речь идет об охраняемой законом тайне. А работникам организаций, не указанных в ПП-1233, до нее вообще дела нет. Постановление не регламентирует их деятельность.
Вот пишу все это и думаю: а зачем??? Зачем запутывать еще больше и без того запутанную ситуацию с ограничением доступа к информации? Я уже неоднократно писал про сумбурность и бессистемность нормотворчества, связанного с секретами и ограничением доступа к информации, например, здесь, здесь и здесь. Вот и сейчас не понятны ни цели вносимых изменений, ни ожидаемые от внесения результаты и их влияние на субъектов правоотношений.
Ровно четыре года назад я писал про служебную тайну, которая вроде бы есть, но которой совсем нет. Ничего не изменилось. Вместо того, чтобы выполнять прямые и конкретные требования федерального закона от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», предусматривающие принятие федерального закона и ввод им в действие перечня сведений, составляющих служебную тайну, все время создаются какие-то суррогаты, проблемы никак не решающие. А обладатели секретов ждут и запутываются еще больше.

2 марта 2016 г.

Microsoft приглашает юристов поговорить об информационных технологиях и законодательстве о персональных данных

С 14 по 18 марта российское подразделение Microsoft проводит в Питере Business Week – пять мероприятий для бизнеса и о бизнесе для различных категорий топ-менеджмента.
В первый же день бизнес-недели, 14 марта, пройдет довольно нестандартный для российских встреч подобного рода круглый стол, ориентированный в первую очередь на юристов коммерческих компаний крупного и среднего бизнеса. Заявленные темы, как и выбор целевой аудитории, тоже не очень стандартные: юрист компании как инициатор сокращения расходов на информационные технологии, решения для претензионно-исковой работы и автоматизации работы юридической службы, ну и, конечно, персональные данные в контексте выполнения требований российского законодательства, вступивших в силу с 1 сентября прошлого года (242-ФЗ), при использовании облачных вычислительных инфраструктур и сервисов, а также прикладного программного обеспечения по схеме SaaS.
Для раскрытия последней темы пригласили меня и щедро выделили под это дело почти полтора часа. Так что времени детально разобраться в проблеме будет достаточно. Скажу сразу – я не вижу в законодательных нововведениях барьеров на пути использования облачных вычислений, в том числе с использованием инфраструктур, находящихся за рубежом, и уж тем более полного запрета на их использование, как это иногда пытаются представить. И в ходе своей презентации буду подробно рассказывать, почему, ссылаясь на опубликованные точки зрения по этому поводу Минкомсвязи и Роскомнадзора. Минкомсвязи – потому что именно оно является федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере обработки персональных данных. Роскомнадзора – потому что именно его инспекторы придут (и приходят) проверять выполнение требований закона и оценить соответствие организации обработки установленным требованиям.
Презентацию я планирую разбить на три части:
1.  Что на самом деле написано в Федеральном законе от 21.07.2014 № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
2.  Как правильно организовать сбор и актуализацию персональных данных после 1 сентября 2015 года и выполнить требования закона (на основе анализа понятийного аппарата закона: персональные данные, база данных, сбор данных, способы обработки, трансграничная передача и т.д.).
3.  Организация обработки персональных данных использования облачной инфраструктуры и облачных сервисов, в том числе находящихся за пределами Российской Федерации. Что делать можно и что делать нельзя? (Использование MS Azure, MS Dynamics CRM, Office 365, MS Exchange, Hybrid Identity, SAM Cloud Ready, обезличивания и шифрования персональных данных в новых условиях. Облака Microsoft в России).
Так что, если остались вопросы, которые вы хотели, но стеснялись задать ранее, или не получили на них удовлетворяющего вас ответа – добро пожаловать. Будет время пообщаться и неформально, в кулуарах, если не хочется спрашивать прилюдно. Из вишенок на торте – участие бесплатное, но при условии предварительной регистрации.