30 января 2012 г.

Хочу, чтобы мне за это ничего не было

Самый популярный вопрос, с которым обращаются в наше агентство в последние месяцы по поводу ФЗ-152: «А что нам будет за то, что мы ничего по защите персональных данных делать не будем?». Этот же вопрос, прослушав курсы, задают слушатели, прикинувшие на себя объем работы по выполнению закона. Он же чаще всего звучит и после публичных выступлений на различных конференциях, форумах, вебинарах и т.п. Просто эпидемия.
Похоже, в головах большинства сложилось четкое представление о мизерности штрафов по сравнению со стоимостью проектирования и технической реализации защитных мер, невозможности проверяющих хоть как-то повлиять на деятельность оператора персональных данных и привычное российское «Заплатим – и отстанут».
Это нередко действительно так, но не совсем.
Если мы полистаем разделы публичных докладов Роскомнадзора о деятельности в области персональных данных за последние пару лет, то увидим, что для привлечения операторов к ответственности применяются фактически всего две статьи КоАП: 13.11 «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» и 14.7 «Непредставление сведений (информации)». Максимальные наказания по ним действительно небольшие – для должностных лиц по 13.11 – 1 тысяча руб., для юридических лиц – 10 тысяч, по 19.7 и вовсе до 500 руб. для должностных лиц и до 5 тысяч руб. для юрлиц. Стоимость самого скромного проекта по ФЗ-152, даже без технических мер защиты, обойдется на порядки дороже. Да и постановление по делу об административном правонарушении должно быть вынесено в течение не более чем двух месяцев с момента выявления нарушения.
Но это взгляд поверхностный. А если копнуть поглубже, риски оператора уже не выглядят такими незначительными. И вытекают они из самой системы государственного контроля и надзора, установленной другим законом, ФЗ-294. Ст.17 данного закона предусматривает, что при выявлении проверяющими-надзирающими нарушений обязательных требований они обязаны выдать предписание об их устранении с указанием сроков и принять меры по контролю за устранением выявленных нарушений, их предупреждению, а также меры по привлечению виновных лиц к ответственности. Обязаны!
И если оператор требования предписания не выполнил, вступают в действие другие статьи КоАП: 19.5 «Невыполнение в срок законного предписания органа, осуществляющего государственный надзор» (штраф уже до 20 тысяч), 19.6 «Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения», 19.4 «Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор». А выполнить предписание иногда не просто сложно, а фактически невозможно, тем более, что для его реализации предоставляется небольшой срок, как правило – не более 1 месяца.
В качестве примера – реальная ситуация. Оператор связи (несколько миллионов абонентов) передал работу по выставлению счетов за услуги клиентам и сбору платежей в дочерние организации-самостоятельные юрлица. Прокуратура совместно с Роскомнадзором выявили нарушение – предоставление персональных данных субъектов третьим лицам без их согласия и потребовали в месячный срок нарушение устранить. А теперь прикиньте, что это значит – либо свернуть сеть сервисных центров и вернуть бизнес в головную компанию (с ликвидацией юрлиц и передачей дел-прав), либо получить подтверждаемое согласие у миллионов людей на огромной территории. За месяц. Не удастся выполнить – оператора не можно, а надо снова штрафовать!
Для руководящего состава операторов-юрлиц предусмотрено и такое наказание, как дисквалификация, т.е. лишение права занимать должности в исполнительном органе управления юридического лица, входить в совет директоров (наблюдательный совет). Дисквалификация устанавливается на срок от шести месяцев до трех лет и может быть применена к лицам, осуществляющим организационно-распорядительные или административно-хозяйственные функции в органе юридического лица, к членам совета директоров (наблюдательного совета).
Реальная ситуация, имевшая место в жизни – дисквалификация по ст.5.27 «Нарушение законодательства о труде и об охране труда» должностного лица, ранее подвергнутого административному наказанию за аналогичное административное правонарушение. Не выполнено на предприятии требование п.8 ст.88 Трудового кодекса о наличии и доведении под роспись до работников документов, устанавливающих порядок обработки персональных данных работников, а также их правах и обязанностях в этой области – пожалуйста, штраф до 5 тысяч рублей на руководителя (можно и всего тысячу, чтобы не сильно пугались) и предписание устранить нарушение в месячный срок. А за месяц и разработать, и довести документ до большого трудового коллектива ой как сложно. Кто-то в отпуске, кто-то учится, кто-то болен. Внеплановая проверка через месяц в рамках надзора за устранением выявленных нарушений – дисквалификация первого лица, ранее оштрафованного за аналогичное нарушение.
Наконец, хотя никакой возможности административной приостановки деятельности оператора за нарушения, связанные с персональными данными, кодекс не предусматривает, за исключением случаев (внимание!) если оператор является лицензиатом ФСТЭК или ФСБ и при этом грубо нарушает лицензионные условия (ч.5 ст.13.12 «Нарушение правил защиты информации»). А вот за нарушение трудового законодательства (помним о главе 14 Трудового кодекса!) вполне можно, по упоминавшейся выше ч.1 ст.5.27 КоАП, на срок до 90 суток.
Отдельная проблема – выполнение требований по защите персональных данных, в том числе в части использования несертифицированных средств. Но об этом – как-нибудь в другой раз.
А на сегодня мой рецепт простой: просчитайте риски – для своей организации, для себя лично с учетом занимаемой позиции и степени ответственности и принимайте решения: ждать или действовать.

19 января 2012 г.

Шагреневая кожа персональных данных

В предыдущем посте я обещал прокомментировать новость о создании Федеральной службой судебных приставов «интернет-банка должников, в который вошли сведения о неплательщиках со всей России». Причем на сайте ФССП найти эту новость и комментарии главного судебного пристава Российской Федерации Артура Парфенчикова мне так и не удалось, а вот пресс-релиз екатеринбургского коллекторского агентства ЗАО «Агентство по сбору платежей» на эту тема гуляет по Рунету, особенно активно тиражируемый сайтами коллекторских агентств и их объединений.
Давайте попробуем отделить мух от котлет и разобраться, в чем же реально дело.
В соответствии с традицией последних лет, самое интересное, но не слишком нуждающееся в тиражировании, происходит в нашей стране в новогодне-рождественские каникулы.
1 января 2012 года вступили в силу изменения в Федеральный закон № 229-ФЗ «Об исполнительном производстве». В соответствии с ними начала действовать новая статья закона 6.1 «Банк данных в исполнительном производстве», предусматривающая создание и ведение Федеральной службой судебных приставов банка данных, в том числе в электронном виде, содержащего сведения, необходимые для осуществления задач по принудительному исполнению судебных актов, актов других органов и должностных лиц. При этом сведения, содержащиеся в этом банке, до дня окончания (прекращения) исполнительного производства или до обнаружения указанных лиц или имущества являются общедоступными. Эти общедоступные сведения в отношении физических лиц включают в себя фамилию, имя, отчество и дату рождения должника, дату принятия судебного акта, номер исполнительного документа, дату возбуждения исполнительного производства и его номер, требования, содержащееся в исполнительном документе, сведения о подразделении судебных приставов, в котором возбуждено (ведется) исполнительное производство и даже, в случае розыска ребенка – его фамилию, имя, отчество и год рождения.
Такой банк данных функционирует на сайте Службы служебных приставов в виде поисковой системы:
Я на сайт ФССП давно не ходил, но этот сервис был там и год назад, несколько с иным интерфейсом.
Хорошо или плохо иметь такой банк, однозначно сказать сложно. С одной стороны, по долгам надо платить, а уж всякие там алименты – тем более. И уклоняться от этой обязанности как-то не очень честно и нравственно. Да и перед выездом  за границу неплохо бы знать, не ждут ли неприятные сюрпризы при ее пересечении. С другой стороны, зная, как работает наша бюрократическая машина и российская почта при доставке уведомлений, велик риск оказаться невинной жертвой ошибки. Так что воздержимся от вынесения суждений и констатируем факт: в очередной раз при выборе между приватностью и государственными интересами законодатели выбирают государственный интерес. Так было при внесении изменений, касающихся договоров о реадмиссии, оказании государственных электронных услуг, переписи населении, наделении полномочиями судебных приставов в части получения персональных данных должников, при принятия закона об обязательном медицинском страховании, при внесении изменений в закон об образовании в части персданных участников ЕГЭ и во многих других случаях. Зона защищаемой приватности личных данных при исполнении государственных функций неумолимо сжимается, как шагреневая кожа.
Кстати, с 1 января заработали еще два любопытных постановления Правительства: от 22.12.2011 № 1092 «О порядке представления в регистрирующий орган иными государственными органами сведений в электронной форме, необходимых для осуществления государственной регистрации юридических лиц и индивидуальных предпринимателей, а также для ведения единых государственных реестров юридических лиц и индивидуальных предпринимателей» и от 23.12.2011 № 1115 «О единой автоматизированной информационной системе технического осмотра транспортных средств», предусматривающие создание баз, содержащих персональные данные, и активный межведомственный обмен ими. Но это - предмет отдельного анализа.
И в заключение о мухах и о способах чтения закона. С котлетами мы более-менее разобрались.
Упомянутое выше екатеринбургское коллекторское агентство, выпустившее пресс-релиз, ставший поводом для данного поста, в марте 2010 года опубликовало на своем официальном сайте список должников, против которых были возбуждены исполнительные производства на основании судебных решений, касающихся долгов за коммуналку. Прокуратура Свердловской области подобную инициативу правомерно пресекла, посчитав ее незаконной. Теперь же генеральный директор агентства радостно сообщает всем в пресс-релизе, что «та история с публикацией в сети Интернет фамилий должников повлияла на действующее законодательство, и закон все же оказался на нашей стороне. Получается, мы просто опередили время!».
Нет, господа хорошие. Вы просто тривиально нарушили закон. И сейчас банк должников, несмотря на общедоступность сведений в нем, построен не в виде списка, а в виде поисковой системы. И ведет его ФССП, и прав коллекторских агентств публиковать какие-либо списки должников ни в одном законе так и не появилось. Как и вообще оснований для функционирования коллекторских агентств. И ФССП не «представила общественности запрещенный ранее проект интернет-банка должников», а выполнила требования Федерального закона в установленный срок. Не надо передергивать и рассказывать, что «подобную систему работы с персональными  данными уже давно используют службы безопасности банков». Схема совершенно иная и очень строго регламентируется законом. В данном случае –  ФЗ-218 «О кредитных историях».

18 января 2012 г.

Персональные данные: следуя за изменениями практики правоприменения

В ожидании принятия правительством документов, реализующих положения измененного летом прошлого уже года ФЗ-152 «О персональных данных», не стоит забывать, что практика правоприменения определяется не только самим ФЗ и нормативно-правовыми актами правительства, но и смежным законодательством, и принятыми документами регулирующих и надзорных органов, решениями судов различной юрисдикции и различных инстанций.
Отслеживая эти изменения, мы стараемся своевременно и оперативно корректировать проводимые авторские курсы и семинары, актуализируя их содержание по мере появления тех или иных решений, устойчивых тенденций в деятельности уполномоченных органов, и даже по результатам обсуждения идей, высказанных в этом блоге.
С сегодняшнего дня предлагается новая редакция авторского курса «Изменения законодательства о персональных данных и последствия для операторов», в котором анализируются изменения, связанные с персональными данными и внесенные в законодательство об исполнительном производстве и судебных приставах, обязательном медицинском страховании и образовании, рассматриваются особенности раскрытия и опубликования персональных данных участников и аффилированных лиц обществ (акционерных и с ограниченной ответственностью), обсуждаются проблемы правомерности обработки работодателем сведений о состоянии здоровья работника, связанных и не связанных с возможностью выполнения трудовой функции, допустимости обработки сведений о судимости, в том числе – связанные с принятием новой редакции ФЗ-402 от 06.12.2011 «О бухгалтерском учете в Российской Федерации». 
Программа семинара дополнена вопросами отнесения персональных данных к биометрическим. Так, рассматриваются новые признаки таких данных, установленные ФЗ-261 "О внесении изменений в Федеральный закон "О персональных данных"", требования ГОСТ  Р  ИСО/МЭК 19794-5-2006 к формату записи изображения лица человека в биометрических системах и изложением позиции Роскомнадзора по этому вопросу. Анализируется практика оценки органами Роскомнадзора правомерности хранения операторами копий паспортов граждан в ходе проверок операторов персональных данных.
Новый раздел семинара посвящен изменениям в системе государственного контроля и надзора за выполнением законодательства о персональных данных, в частности – изменениям в ФЗ-294 "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" и их влиянию на проведение проверок, новому административному регламенту проверок Роскомнадзора от 14.11.2011, типовому регламенту и проекту административного регламента ФСБ России. Рассматриваются вопросы планирования проверок надзорными органами и доведения информации о них до проверяемых.
Естественно, что по мере принятия новых законодательных и нормативно-правовых актов, проявления заметных тенденций правоприменения законодательства в программу семинара и в дальнейшем будут вноситься изменения и дополнения.
Оценивать все это очень важно, поскольку в зависимости от позиции и целей, преследуемых той или иной организацией или органом, появляются самые неожиданные трактовки закона. В качестве примере – ошарашивающая новость от коллекторов: «Федеральная служба судебных приставов представила общественности запрещенный ранее проект интернет-банка должников, в который вошли сведения о неплательщиках со всей России». И сделано это «в соответствии с изменениями в федеральных законах «О персональных данных» и «Об исполнительном производстве»», а в этой базе данных на сайте ФССП России раскрывается имя, фамилия, отчество, дата рождения должника.  Но об этом – в следующем посте.
А обновленный курс можно будет прослушать 10 февраля в Москве, в Учебном центре «Информзащита», и 17 февраля в Самаре, в Центре «Технологии управления бизнесом».

11 января 2012 г.

Коммерческая тайна: кругом-МАРШ! Часть вторая

Как и обещал в первой публикации на эту тему, вторая часть соображений про некоторый откат в отношении исключительных прав обладателей коммерческих секретов.
Ситуация связана с существующей в течении многих лет коллизии между законом «Об акционерных обществах» и законодательством о коммерческой тайне. Проблем, связанных между собой, две.
Первая заключается в том, что  ФЗ-98 «О коммерческой тайне» определяет порядок передачи информации, составляющей коммерческую тайну организации, работникам – на основании трудовых договоров, контрагентам – на основании гражданско-правовых договоров, органам власти – в рамках их деятельности, естественно, без договоров. А вот с участниками обществ, акционерами в том числе, отношения не регулируются никак.
Вторая проблема состоит в том, что ст.91 ФЗ-208 «Об акционерных обществах» обязывает общества обеспечить акционерам доступ к документам, предусмотренным пунктом 1 ст.89 того же закона. А там, среди прочего, перечислены документы, подтверждающие права общества на имущество, находящееся на его балансе, внутренние документы общества (?) и протоколы заседаний совета директоров (наблюдательного совета), ревизионной комиссии и коллегиального исполнительного органа общества (правления, дирекции).
Кстати, возникает еще одна коллизия в связи с новой редакцией ФЗ-402 от 6 декабря 2011 года «О бухгалтерском учете». Как я уже писал, теперь «в отношении бухгалтерской (финансовой) отчетности не может быть установлен режим коммерческой тайны». В соответствии со ст.91 ФЗ «Об акционерных обществах», к документам бухгалтерского учета и протоколам заседаний коллегиального исполнительного органа имеют право доступа акционеры, имеющие в совокупности не менее 25 процентов голосующих акций.
Т.е. вроде как к бухгалтерскому учету (кроме отчетности) и протоколам правления доступ миноритариям ограничить можно. А вот к материалам совета директоров – никак.
После исков А.Навального к акционерным обществам, акциями которых он владеет (а иски касались как раз отказов в предоставлении протоколов советов директоров) 18.01.2011 г. Конституционный суд выдал замечательную формулировку: «Достижение конституционно значимого баланса интересов акционеров и АО предполагает, что право акционеров на доступ к документам общества должно осуществляться без нарушения прав и законных интересов как самих акционеров, так и АО как самостоятельного субъекта гражданского оборота, заинтересованного в сохранении конфиденциальности коммерчески значимой для него информации». И далее: «Акционерное общество вправе установить адекватный режим доступности информации по вопросам, отнесенным законом и корпоративными нормативными актами к компетенции совета директоров и исполнительного органа акционерного общества». Вывод из этого не менее витиеват: «В делах, связанных с предоставлением информации, эффективный судебный контроль подразумевает как оценку правильности определения режима доступности информации с точки зрения наличия конфиденциальной информации, касающейся текущей хозяйственной деятельности, так и оценку обстоятельств конкретного дела, позволяющих выявить в действиях как АО, так и акционера злоупотребление правом, в том числе наличие необоснованного интереса в получении информации и иных признаков, которые указывают на намеренное создание объективных трудностей, способных отрицательно влиять на хозяйственную деятельность конкретного АО».
В тот же день (вот она, скорость реагирования на судебные решения, достойная подражания!) Президиум Высшего арбитражного суда (ВАС) РФ направил информационное письмо № 144, в котором очень просто растолковал, что «наличие в документах, запрашиваемых участником (акционером), коммерческой или иной охраняемой законом тайны не может быть безусловным основанием для отказа в предоставлении информации. Если документы, которые требует предоставить участник хозяйственного общества, содержат конфиденциальную информацию о деятельности общества, в том числе коммерческую тайну, общество, прежде чем передать соответствующие документы и (или) их копии, может потребовать выдачи расписки, в которой участник подтверждает, что предупрежден о конфиденциальности получаемой информации и об обязанности ее сохранять».
Про расписку я скромно умолчу, хотя ФЗ-98 никакого способа регулирования отношений, связанных с коммерческой тайной, кроме как гражданско-правовых или трудовых договоров не предполагает, а расписка в российском правоприменении как способ регулирования отношений участников – нечто загадочное.
Надо сказать, что судебная ветвь власти далеко не всегда так лояльно относилась к миноритарным акционерам, претендующим на знание коммерческих секретов общества, участниками которого они являются.
Так, в Постановлении Федерального арбитражного суда Уральского округа от 07.09.2000 г. по делу N Ф09-1246/2000-ГК суд прямо указал, что в предоставлении информации, составляющей коммерческую тайну, есть ограничения, следовательно, акционерное общество вправе не допускать своих акционеров к документам, которые составляют коммерческую тайну.
Тональность решения стала резко меняться к концу нулевых годов. Показательно в этом отношении Постановление Федерального арбитражного суда Северо-Кавказского округа от 14.12.2010 г. № А32-18173/2009 по иску о предоставлении бухгалтерской отчетности ООО «ЮгРеестр» его участнику – ОАО «Финансовый партнер». Суд указал, что возможность разглашения участниками предоставленной конфиденциальной информации о деятельности общества не может служить основанием для отказа в удовлетворении законных требований. Право участника общества на ознакомление с документами общества является неограниченным. Невыполнение участником общества либо его представителем обязанности не разглашать конфиденциальную информацию, не является основанием для отказа в реализации указанного права участника, а может служить основанием для применения мер гражданско-правовой ответственности или исключения из числа участников общества.
Отсюда еще один рецепт для обладателей коммерческих секретов: ищите новые формулировки, позволяющие охранять в режиме коммерческой тайны финансовую информацию, изменяйте содержание протоколов органов управления. Категорий сведений, которые могут охраняться в режиме коммерческой тайны, становится все меньше. Тем большее внимание надо уделять защите тех, которые действительно требуют обеспечения конфиденциальности на деле, а не на бумаге, и остаются под охраной их законных владельцев.