28 ноября 2017 г.

Некоторые впечатления о Международной конференции «Защита персональных данных» Роскомнадзора

Прошедшую 9 ноября VIII Международную конференцию «Защита персональных данных» я считаю главным событием в России, связанным с персональными данными. Поэтому, в силу специфики бизнеса, не пропустил ни одной. В прошлом году слушал выступления он-лайн, и это тоже полезный опыт (в том смысле, что пользы меньше). В этом году мы получили приглашение Роскомнадзора в очередной раз провести круглый стол с регуляторами по нашему сценарию и с нашими вопросами, а также выступить с острой, на наше усмотрение, темой. Мы высоко оценили возможность проявить инициативу, а также отсутствие любой цензуры при подготовке и проведении выступления на очень, на наш взгляд, со сложной и неоднозначной темой получения работодателем согласия работника на обработку персональных данных и передачу их третьим лицам. И за это, а также за интересную программу и отличную организацию мероприятия – искреннее спасибо надзорному ведомству. 
С получением согласий работников на передачу их персональных данных иным лицам сложилась сложная и неоднозначная ситуация. После неудачных попыток ООО «Скартел» оспорить результаты проверок Управлением Роскомнадзора по ЦФО в 4 судебных процессах в Арбитражном суде города Москвы и Девятом арбитражном апелляционном суде позиция надзорного ведомства стала достаточно однозначной: на каждую цель передачи и каждое лицо, которому поручается обработка персональных данных, необходимо получать согласие работника, оформленное в виде отдельного документа. Основание: в части 4 статьи 9 закона «О персональных данных» слова «цель» и «наименование лица» употребляются в единственном числе. Не буду сейчас обсуждать этот аргумент, позиция высказана, и надо думать, что в этих условиях делать. Тем более, что Минкомсвязи, в ответ на наш запрос, также сообщило об аналогичном понимании проблемы.
В отведенные на выступление 15 минут я успел рассказать о нескольких проблемах, которые в связи с этим возникают. Первая и главная – каким образом наличие нескольких (а иногда и нескольких десятков) согласий с паспортными данными, местом жительства работника улучшает его правовую защищенность как субъекта персональных данных и способствует реализации его права на неприкосновенность частной жизни.   
Вторая проблема заключается в том, что статьи 86 и 88 Трудового кодекса, устанавливающие необходимость получения согласия работника в письменной форме, не содержат отсылок на закон «О персональных данных», и включение в согласие работника всех сведений, указанных в части 4 статьи 9 закона, является явно избыточным, поскольку работник идентифицирован работодателем, и паспортные данные для подтверждения личности лица, дающего согласие, и его адрес, в данном случае, для достижения целей, поставленных законом, явно не нужны.
Третье. Необходимо различать передачу работодателем персональных данных работников иным лицам как поручение их обработки (аутсорсерам кадрового, бухгалтерского, воинского учета, охраны труда, охранным организациям и т.д.) и без поручения обработки персональных данных (банкам, страховым компаниям, перевозчикам, отелям, фитнес-клубам и языковым курсам и т.д.), поскольку указывать наименование и адрес получателя персональных данных надо именно в случае поручения обработки.
И, наконец, четвертое. Что делать работодателю, если работник согласие давать отказывается? Я уже писал о попытке получить ответ на этот вопрос в Роструде, но его по-прежнему нет. Сейчас запросили мнение Минкомсвязи по этому вопросу.
На круглом столе с регуляторами вопросов удалось задать довольно много, он затянулся почти до 19 часов вместо планируемых 18. Вот наиболее интересные, на мой взгляд, ответы на поставленные вопросы, появившиеся в ходе активного диалога с участниками. 
С.Д. Мигранов, Минкомсвязи России. Министерство не планирует инициировать легализацию в законе «О персональных данных» получения согласия в форме конклюдентных действий, хотя оно и является самым распространенным. Приказ об утверждении административного регламента ведения реестра операторов утратил силу, поскольку это не государственная услуга, и регламент не нужен в принципе. Постановление Правительства о контроле и надзоре ждать стоит (оно, кстати, получило отрицательную оценку регулирующего воздействия)
Ю.Е. Контемиров, Роскомнадзор. Cookie-файлы и иные следы анонимного пользователя в Интернете – персональные данные, необходимо его согласие на обработку, в том числе на трансграничную передачу в аналитические службы Интернета. Если эти службы находятся в «неадекватных» странах, США, например, фактически единственный способ выполнения требований закона – правильное пользовательское соглашение, для акцепта которого необходим баннер с чек-боксом или кнопкой для закрытия, подтверждающими согласие с условиями соглашения.
Пока новая редакция статьи 13.11 КоАП применяется весьма мягко (с 1 июня оп 1 ноября возбуждено всего 39 административных дел по стране). На мой вопрос: если в ходе проверки выявлено 10 случаев необходимости получения согласия в письменной форме в организации, где работает 100 работников, то сколько здесь административных правонарушений – одно, 10, 100 или 1 000, - последовал ответ – одно. И да, отдельное согласие необходимо для каждой цели.
Вред субъекту оператор оценивает по своей методике, какую-либо единую разрабатывать не планируется.
Е.Б. Торбенко, ФСТЭК России. В случае размещения ИСПДн в дата-центре, облаке или по схеме SaaS для выполнения требований закона необходим договор, в котором закреплены обязанности провайдера в отношении обеспечения безопасности обрабатываемых данных для выбранного типа актуальных угроз и уровня защищенности, указаны меры, предусмотренные статьей 19 закона. В этом случае оператор свои обязанности выполнил, проверять, как именно это делает провайдер не надо, что вполне логично.
Методику актуализации угроз 2008 года, «заточенную» под утратившее силу Постановление Правительства № 781 и «приказ трех» о классификации ИСПДн применять можно, но можно разработать (и быть готовым обосновать) и свою. В дополнение к базовым угрозам необходимо анализировать актуальность угроз из банка данных угроз на сайте ФСТЭК (их там уже более 200).   
Оценку соответствия средств защиты информации можно проводить любым способом, указанным в законе «О техническом регулировании», в том числе, в форме декларирования соответствия, но, если оператор имеет соответствующую квалификацию.
А.Г. Бодров, ФСБ России. Оценку соответствия СКЗИ можно проводить только в форме сертификации в системе ФСБ. Просто признать угрозу перехвата персональных данных в канале связи неактуальной и не применять сертифицированные СКЗИ нельзя. Отсутствие модели угроз – уже административное правонарушение. Для моделирования угроз все операторы могут использовать «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности».
Вот, если коротко, что запомнилось и на что, на мой взгляд, стоит обратить внимание.
В дополнение к написанному можно посмотреть небольшое видео с конференции и презентации некоторых выступавших (к сожалению, не всех), в том числе, мою - http://zpd-forum.com/#contacts.