Долго думал писать или нет ту информацию, которую сегодня услышал. Назвать ее спорной – это никак не назвать. Решил написать под заголовком: «За что купил, за то и продаю», снимая все возражения в свой адрес.
Итак, не секрет что недавно проходил координационный совет с участием ФСТЭК и интеграторов, ну это не секрет, все знают. Также известно, что на нем обсуждался факт внесения минимальных изменений в Четворокнижие 2.0.
И вот сегодня, от одного из сотрудников крупного отечественного интегратора, услышал о результатах данного совета. Честно признаться, был слегка шокирован, хотя и говорил неоднократно, что в области ПДн уже ничему не удивляюсь.
Постараюсь донести суть услышанного:
«Итак, на совете поднимался вопрос о том, что большинство государственных операторов обрабатывают персональные данные 1 категории, и что защитить их все по требованиям ФСТЭК нереально. Поэтому принято волевое решение не менять Четверокнижие, при этом спрашивать с государственных операторов как по К3! И оставить К1 только у администраций и операторов обрабатывающих сведения о состоянии здоровья!»
Жуть-то какая… Звучит как полная ерунда!
Простите коллеги, но если эта информация подтвердиться, то мы с вами лишний раз убедимся, что у регуляторов есть свои, неизвестные нам с вами причины, сохранять документы в их первозданном виде. Более того, нарушаются основные принципы права (беспристрастность и равенство перед законом).
Будем надеяться, что тут есть ошибка, оговорка или недопонимание, а лучше все вместе.
Этот вопрос неоднократно поднимался, неоднократно объяснялся, но разговоры не утихают. Итак... ФЗ 208 "Об акционерных обществах" в ст.2. п.4 говорит "Общество имеет гражданские права и несет обязанности, необходимые для осуществления любых видов деятельности, не запрещенных федеральными законами", ниже идет добавление "Отдельными видами деятельности, перечень которых определяется федеральными законами, общество может заниматься только на основании специального разрешения (лицензии). Если условиями предоставления специального разрешения (лицензии) на занятие определенным видом деятельности предусмотрено требование о занятии такой деятельностью как исключительной, то общество в течение срока действия специального разрешения (лицензии) не вправе осуществлять иные виды деятельности, за исключением видов деятельности, предусмотренных специальным разрешением (лицензией) и им сопутствующих". Ни слова о внесении изменений в устав в случае инициации нового вида деятельности. В ст.11 мы также ничего не обнаруживаем. Идем дальше... ФЗ 14 "Об обществах с ограниченной ответственностью" в п.2 ст.2 "Общество может иметь гражданские права и нести гражданские обязанности, необходимые для осуществления любых видов деятельности, не запрещенных федеральными законами, если это не противоречит предмету и целям деятельности, определенно ограниченным уставом общества". А теперь заглядываем в устав, как правило, после перечня видов деятельности написано что-то вроде "и иные виды деятельности, не запрещенные законодательством РФ", если такие слова есть, то организация имеет права заниматься любым законным видом деятельности (коды статистики не имеют значения). Если таких слов нет, то список видов деятельности является исчерпывающим, и заниматься технической защитой конфиденциальной информации вы формально не можете. При внесении изменений в устав нужно внести только поправку на иные виды деятельности.
Складывается интересная практика. Существуют вполне понятные и оправданные положения, по которым, требования ФЗ №152 не распространяются на информацию, которая относится одновременно и к ПДн и гостайне.
Тут все закономерно, если бы не практика:
На сегодняшний день среди государственных предприятий, обрабатывающих гостайну, складывается (если не сказать сложилась) практика ухода от выполнения требований ФЗ 152 и РД ФСТЭК с ФСБ. Делают они это следующим образом, находят приказ от какого-нибудь 9-сот косматого года по которому, информацию, содержащую персональные данные, можно отнести к гостайне, и повышают гриф. Это очень удобно для заказчиков, у которых обрабатывается большой объем секретной информации, есть выделенные отделы по защите гостайны и схема работы уже давно отработана.
На этих выходных общался с иностранцем, который очень далек от всей этой тематики, но когда узнал, чем я заминаюсь, спросил: "А у вас есть закон о защите кредитных карт?", на что я ему рассказал пример описанный выше (думал, он восхитится уровнем защищенность российских банков).
Зря я это сделал.
После этих слов, я вспомнил о тех временах, когда по-английски мог сказать только «My name is Zhenya, the sun is shining». Он просто не мог, понят как защита информации о кредитках, может реализовываться сложнее, чем информация о военной мощи и террористах (грубо говоря). Пытаясь объяснить ему, суть всего происходящего сам стал осознавать всю абсурдность своих объяснений, махнул рукой и сказал «It's Russia».
Есть насущная задача, в электронной карточке работника указаны: ФИО, дата и место рождения, гражданство, знание языка, стаж работы, состояние в браке, группа инвалидности, паспортные данные и сведения о воинском учете. Какая категория персональных данных обрабатывается в системе?
Самым результативным регионом по числу уведомлений в Роскомнадзор об обработки ПДн, является Республика Башкортостан. У меня этот сюжет вызвал усмешку...
Новое сообщение, опубликованное на РБК. В очередной раз хочу обратить внимание на то, что РКН - это первый регулятор в области защиты ПДн в России. Привожу текст статьи:
"И.Щеголев поручил Роскомнадзору разработать и ввести новые стандарты в области защиты персональных данных.
РБК 26.03.2009, Москва 13:03:56 Министр связи и массовых коммуникаций РФ Игорь Щеголев поручил Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) разработать и ввести новые стандарты в области защиты персональных данных. Как сообщил сегодня И.Щеголев, представляя нового руководителя службы Сергея Ситникова, новые стандарты нужны для того, чтобы информационные системы, которые внедряются, не допускали информационных утечек. "Граждане, которые доверяют свои данные государству, должны быть уверены, что с ними ничего не произойдет", - отметил министр.
В настоящее время Роскомнадзор готовит предложения Минкомсвязи по совершенствованию нормативно-правовой базы для систем защиты персональных данных. И.Щеголев отметил, что это важнейшее новое направление Роскомнадзора.
Напомним, ранее правительство РФ утвердило постановление о Роскомнадзоре, где прописаны новые функции ведомства.
"Мы переходим к очередному этапу деятельности службы, нам нельзя снижать обороты, перед нами стоят новые задачи, но при этом не надо забывать и о старых", - отметил И.Щеголев. По его словам, в рамках антикризисных мер от Роскомнадзора ожидают прозрачности, ясности рынка и оперативности в работе. Ведомство должно быстрее рассматривать заявки, чтобы операторы могли быстрее разворачивать сети сотовой связи нового поколения."
Иногда, кажется, что вопрос социальных сетей и персональных данных в них никогда не потеряет актуальность, связано это с очень неточным пониманием определения персональных данных, принципов обработки данных в социальных сетях, плюс отсутствием разъяснений регуляторов.
Рассмотрим пример, если завтра в одноклассники.ру появятся ваши ФИО с фотографией Шварценеггера и местом жительства Петровка 38, это будут персональные данные? 80% опрошенных не задумываясь отвечают: ДА! мол, определить субъекта, обладая такой информацией, можно. Но постойте, персональными, являются данные, которые относятся к определенному или определяемому лицу. Кого определяют ваши ФИО и фотография губернатора Калифорнии? Кому принадлежат эти персональные данные? Как проверить эту информацию? Значит это не персональные данные.
С другой стороны, из 2мил. записей на одноклассниках, по крайней мере 500тыс. – подпадают под определение персональных данных, что делать с ними? Брать письменное согласие с каждого субъекта?..
И вновь мы приходим к молчаливым регуляторам за разъяснениями, а в ответ… ну кто как, в Москве говорят одно, в регионах другое, одним словом no comments.
Сегодня общался с коллегой по вопросам защиты ПДн, и один из примеров, показался мне очень интересным. Прошу отнестись к заметке со здоровым чувством юмора. В большинстве офисов Москвы стоят камеры видеонаблюдения, работают они много лет и никто их уже не замечает. А замечать придется, потому что, без сомнения, это автоматизированная обработка, видеозапись относится к определенному или определяемому лицу и самое главное, по видеозаписи, можно получить данные о состоянии здоровья, не говоря уже о сведениях касающихся "интимной жизни" ;-)
Сегодня, хотелось бы внести ясность в вопрос об обработке ПДн третьим лицом в интересах оператора. Здесь существуют некоторые домыслы, поэтому попробуем разобраться. Итак… Оператор ПДн - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
Согласно ПП 781:
«10. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор или лицо, которому на основании договора оператор поручает обработку персональных данных (далее - уполномоченное лицо). Существенным условием договора является обязанность уполномоченного лица обеспечить конфиденциальность персональных данных и безопасность персональных данных при их обработке в информационной системе.»
Явно в постановлении не указано, но оператор отличается от уполномоченного лица, тем, что оператор сам определяет цели обработки, а уполномоченное лицо ведет обработку в целях определенных оператором и обеспечивает требуемую защиту. Помимо этого именно оператор несет ответственность за получение права на обработку (согласие субъекта) и поручает техническую обработку (естественно с соблюдением требований регуляторов) на уполномоченное лицо.
Передача третьему лицу должна проходить на основании согласия субъекта ПДн, например, это может быть указано в договоре на предоставление услуг.
Управлением Россвязькомнадзора по Саратовской области на основании обращения проведено 6 внеплановых мероприятий по контролю, из них: 5 в отношении организаций ООО «Волга-Фудс», ООО «Городской парк», ООО «Карусель», ООО «Парк-Фудс», ЗАО «Парк города» и одно в отношении физического лица Хохловой А.С.
По результатам мероприятий выявлены нарушения обязательных требований законодательства РФ в области обработки персональных данных. В связи с чем, в адрес указанных организаций вынесены предписания об устранении выявленных нарушений. Для рассмотрения вопроса о возбуждении административного производства и принятия мер прокурорского реагирования соответствующие материалы направлены в органы прокуратуры.
УправлениемРоссвязькомнадзора по Республике Башкортостанв соответствии с ч.3 ст. 23 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» проведены внеплановые проверки соблюдения законодательства организациями ООО «Карт-Бланш Консалтинг», ООО «Альвис плюс», ООО «Кадровые решения» действующего законодательства в области защиты прав субъектов персональных данных.
Данные организации производили обработку персональных данных соискателей вакансий (сбор, хранение, использование, передачу и т.д.) без уведомления уполномоченного органа по защите прав субъектов персональных данных (в данном случае Управление Россвязькомнадзора по Республике Башкортостан). Тем самым, нарушалась ст. 22 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных». По факту выявленных нарушений Управлением Россвязькомнадзора по Республике Башкортостан составлены протоколы об административных правонарушениях по ст. 19.7 Кодекса об административных правонарушениях (непредставление в государственный орган сведений, представление которых предусмотрено законом). Протоколы направлены в судебные органы.
УПРАВЛЕНИЕ РОССВЯЗЬКОМНАДЗОРА ПО ВОРОНЕЖСКОЙ ОБЛАСТИ ПОТРЕБОВАЛО ПРЕКРАТИТЬ РАСПРОСТРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ДОЛЖНИКОВ 17 ОРГАНИЗАЦИЙ ЖИЛИЩНО-КОММУНАЛЬНОГО ХОЗЯЙСТВА Г. ВОРОНЕЖА
17 марта 2009 г. в газете "Берег" были опубликованы списки должников физических лиц 17 организаций жилищно-коммунального хозяйства г. Воронежа (РайДЕЗ Железнодорожного района, ООО УК "Бульвар Победы", РайДЕЗ Левобережного района, ООО АВА-КРОВ, ОАО УК Ленинского района, РайДЕЗ Советского района, ООО РЭК Центральный, ООО РЭП Центр-Сервис, ТСЖ "Содружество", ТСЖ "Отрада", ООО УК "Стройтехника", ООО УК ВКХ, ОАО УК Левобережного района, РайДЕЗ Центрального района, ЖСК ЛЕН, ЖСК технологического института, ТСЖ "Чайка"), включающие в себя фамилию, инициалы, почтовые адреса указанных лиц и размер их долга.
В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных" фамилия, имя, отчество лица относятся к персональным данным, а согласно п. 10 ст. 3, ч. 1 ст. 7 данного закона установлено обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания (конфиденциальность персональных данных).
Таким образом, публикация списков должников физических лиц, включающих в себя фамилию, инициалы, почтовые адреса указанных лиц и размер их долга, противоречит требованиям п. 10 ст. 3, ч. 1 ст. 7 Федерального закона от 27.07.2006 г. № 152-ФЗ "О персональных данных".
Управление направило в редакцию газеты "Берег" и указанные организации письма с требованием о прекращении незаконного распространения персональных данных.
Коллеги, я призываю Вас ко взаимному уважению! Уверен что давить на личное никто не хочет, но не забывайте, что все люди разные, поэтому прошу вести себя профессионально и не переходить на личности. Очень надеюсь на Ваше понимание.
Очень и очень больной вопрос в области ПДн –трансграничная передача данных.
Хотелось бы высказать свои частные соображения по этому вопросу. Итак…
Что такое трансграничная передача данных? Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства. До начала передачи оператор должен убедиться в том, что на территории иностранного государства обеспечена адекватная защита прав субъектов ПДн.
Камнем преткновения является формулировка «адекватная защита», критерии адекватности не определяются, при этом здравый смысл подсказывает, что адекватной становится защита, которая соответствует российскому законодательству.
Понятное дело, что нигде в мире не существует систем соответствующих российскому законодательству, стало быть, юридически адекватная защита не обеспечивается нигде. Понятное дело, что такое прямое заключение противоречит «духу закона» (это понятие достаточно часто стало циркулировать в области защиты ПДн), и законодатель, сам того не зная, обрек нас всех на огромную дыру в законе. Как эту проблему решать, большой вопрос, по моей информации, наши регуляторы уже дали свои рекомендации по внесению поправок в ФЗ №152, как раз по части этого пункта.
Что могут делать операторы если адекватная защита не обеспечена? Приведу весть 3 пункт 12 статьи ФЗ №152 со своими комментариями:
«Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях:
1) наличия согласия в письменной форме субъекта персональных данных; (тут все понятно)
2) предусмотренных международными договорами Российской Федерации по вопросам выдачи виз, а также международными договорами Российской Федерации об оказании правовой помощи по гражданским, семейным и уголовным делам; (Если Интерполу необходима информация о международном преступнике, то согласие с преступника никто не попросит)
3) предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства; (тут тоже все понятно)
4) исполнения договора, стороной которого является субъект персональных данных; (если вы решили съездить на охоту, куда-нибудь в африку, то у туристической фирмы должны быть основания забронировать для вас гостиницу, купить авиабилеты…)
5) защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.» (если субъект попал автокатастрофу в Египте и необходимо срочное переливание крови, то просить с него разрешение на пересылку данных из российской больницы, мягко говоря глупо)
Анализируя вышесказанное, единственным способом для большинства операторов выполнить требования 12 статьи – это получение согласия субъекта ПДн в письменной форме.
