26 апреля 2012 г.

Согласие на обработку и передачу банком персданных как камень преткновения

Исходя из практики работы нашего агентства, одним из наиболее сложных для банков вопросов по-прежнему остаются определение правовых оснований для обработки персональных данных, необходимость получения согласия конкретных категорий субъектов, а также возможность предоставления и передачи персональных данных банком иным лицам.
Новая редакция статьи 6 ФЗ-152 «О персональных данных» существенно расширила основания для обработки персональных данных без согласия субъекта, к которым теперь отнесено исполнение договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.
Однако наличие большого количества самых различных категорий субъектов, с которыми у банка договоров нет, но персональные данные которых обрабатываются, по-прежнему создает проблемы. При детальном анализе оказывается, что кроме собственно работников и клиентов, банк обрабатывает сведения о более чем 20 категориях субъектов. К ним относятся:
·         родственники работников,
·         акционеры,
·         учредители,
·         аффилированные с банком лица,
·         лица, вносящие денежные средства на счет вкладчика,
·         лица, осуществляющие от имени клиента распоряжения о перечислении и выдаче средств со счета,
·         залогодатели,
·         лица, имеющие право управления транспортным средством, приобретаемым в кредит,
·         держатели дополнительных платежных карт,
·         лица, от чьего имени осуществляется оплата коммунальных и иных платежей,
·         получатели денежных переводов,
·         лица, имеющие право пользования банковскими ячейками,
·         представители и работники контрагентов и клиентов банка,
·         получатели и плательщики по счетам и т.д.

Список этот можно продолжать достаточно долго.
Все эти категории субъектов не являются сторонами договора с банком, и правомерность обработки их персональных данных должна быть обоснована оператором.
При этом очень часто встает неизбежный вопрос о выполнении нормы ФЗ-152 в части уведомления субъекта о начале обработки персональных данных банком, когда данные получены не от самого субъекта. С одной стороны, банк в большинстве случаев вроде бы обязан это сделать, исходя из нормы, установленной ст.18, с другой, он связан требованиями о соблюдении банковской тайны и той же ст.18, допускающей не уведомлять субъекта, если предоставление ему сведений нарушает права и законные интересы третьих лиц, в частности – клиента банка.
Ситуация усугубляется еще больше, когда вопрос касается двух таких способов обработки, как предоставление и передача банком персональных данных иным лицам. Наиболее яркий пример столкновения различных точек зрения на допустимость такой передачи и ее принципиальную возможность даже при наличии согласия субъекта – уступка прав требования просроченной задолженности по кредиту (цессия). С одной стороны, ст.382 Гражданского кодекса допускает  передачу другому лицу права (требования), принадлежащего кредитору, без согласия должника, а, с другой, ст.388 не допускает возможности уступки требования по обязательству без согласия должника, если личность кредитора имеет для должника существенное значение.
По мнению Роспотребнадзора, например, такая уступка прав требования долга коллекторским агентствам, деятельность которых не регулируется законом и которые не являются участниками потребительского рынка, не допустима даже при наличии на это согласия заемщика в договоре, а само включение такого положения в договор уже нарушает права потребителя и влечет административную ответственность. Иной точки зрения придерживается Минэкономразвития, подготовившее законопроект «О деятельности по взысканию просроченной задолженности», и арбитражные суды, далеко не всегда находящиеся на стороне Роспотребнадзора. С судами общей юрисдикции, рассматривающими вопрос о взыскании невозвращенных кредитов, ситуация вообще особая.
Положение банков существенно ухудшают также b многочисленные жалобы их клиентов в различные органы - от прокуратуры до Роскомнадзора, на привлечение коллекторских агентств к взысканию просроченной задолженности, которые нередко приводят к проведению внеплановых проверок банка.
Эти и многие другие специфические вопросы соблюдения законодательства о персональных данных (например, такие непростые, как отнесение данных к биометрическим, трансграничная передача или вопросы передачи персональных данных на архивное хранение, судебная практика рассмотрения споров, связанных с персональными данными) будут рассмотрены на семинаре, который я буду проводить в Школе финансового мониторинга и контроля «ФКД консалт» 28-29 мая.
Семинар состоит из двух модулей, первый из которых предназначен для тех, кто только «вкатывается» в тематику персональных данных, например, назначен в юридическом лице ответственным за организацию их обработки, и будет интересен не только банкам, но и многим другим организациям, осознавшим необходимость выполнения законодательства. Второй модуль рассматривает специфические банковские проблемы, в том числе поставленные перед Консультационным центром Ассоциации российских банков, в подготовке информационных писем которого в качестве эксперта я принимал участие. Семинар проводится как очно, так и заочно, что позволяет его слушателям выбрать наиболее подходящий для них вариант. Благодаря транслируемому через Интернет вебинару те, кто не смогут приехать в Москву, также примут участие в мероприятии.
Традиционно семинар предусматривает живое обсуждение материала с его участниками, имеющими возможность и задавать вопросы, и высказывать свою точку зрения на рассматриваемые проблемы.

24 апреля 2012 г.

Можно ли защитить права обладателя секретов производства, не устанавливая режим коммерческой тайны?

Вы действительно знаете ответ на этот вопрос?
Практика показывает, что большинство представителей бизнеса считает, что на него можно дать положительный ответ. Постоянно сталкиваюсь с перечнями конфиденциальной, служебной, внутренней инфомации, информации ограниченного доступа и инфомации для внутреннего пользования. Все эти перечни формируются комерческими организациями и предусматривают использование широкого спектра ограничительных грифов и пометок «Конфиденциально», «Строго конфиденциально», «Для служебного пользования», «Из здания не выносить» и т.д.
На вопрос о правовом основании ограничения доступа, отличии служебной информации от информации, составляющей коммерческую тайну, ответ в большинстве случаев получить невозможно. Еще большее недоумение вызывает вопрос, а зачем ограничен доступ к тому, что названо служебной или внутренней тайной, и каковы последствия нарушения требования конфиденциальности в отношении нее работником, контрагентом или представителем органа власти. Спонтанный ответ: «Уволим к чертовой матери», при этом ссылкой на конкретную статью Трудового кодекса он никогда не обосновывается.
Разъснения про возможность ограничения доступа к информации только на основании федеральных законов и в случаях, ими предусмотренных, вызывают оторопь собеседника и встречный вопрос: «Это что, я и доступ к информации запретить не могу?».
Коллеги из служб безопасности и юридических департаментов! Давайте вместе бороться с правовой неграмотностью и правовым нигилизмом! Давайте читать решения судов и делать выводы. Давайте обосновывать позицию, а не прибегать к эмоциям. Пользы будет больше.  

18 апреля 2012 г.

Шутки кончились

Похоже, правоприменение ФЗ-152 «О персональных данных» вступает в принципиально новую стадию. Штрафы от полумиллиона рублей и больше еще неизвестно когда введут (а что введут – сомнений нет, зайдите на сайт Госдумы и посмотрите предложения по корректировке КоАП), а жить надо сегодня.
И вот в последнее время появились весьма интересные инициативы надзорных органов по наказанию операторов персональных данных, «не вписавшихся» в закон.
Тон задала прокуратура г.Уфы, которая проверила некие ООО «Исток-Сервис» и ООО «Инфорсер», занимающиеся оказанием справочно-консультационных услуг при отделе государственного технического осмотра и регистрации автомототранспортных средств ГИБДД УМВД России по г.Уфа. То, что эти два общества осуществляли обработку персональных данных без лицензии на деятельность по технической защите информации, и не принимали предусмотренных федеральным законодательством мер организационного, технического характера по защите персональных данных клиентов, удивления не вызывает. Прокуратура с полным основанием посчитала, что это может повлечь нарушение конституционных прав граждан на неприкосновенность частной жизни. А вот выводы оказались совсем неожиданные. 
Можно было бы предположить, что нарушителей, как обычно, привлекут к ответственности по ст.13.11 КоАП «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)», поскольку, как отмечено, мер по защите персональных данных они не принимали. Или по ст.13.13 «Незаконная деятельность в области защиты информации» за занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такая лицензия в соответствии с федеральным законом обязательна. Ну, или уж по ст.19.20 за осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии). Последняя статья самая суровая и допускает наложение на юрлиц штрафа размером до 250 тысяч рублей или административное приостановление деятельности на срок до 90 суток.
И городская прокуратура направила в Октябрьский районный суд г. Уфы исковые заявления о приостановлении и признании незаконной деятельности ООО «Исток-Сервис» и ООО «Инфорсер» по обработке и хранению персональных данных. Основания для этого в весьма пространном пресс-релизе почему-то не указываются, но, похоже, речь идет именно о ст.19.20, поскольку ни 13.11, ни 13.13 приостановку деятельности не предусматривает в принципе.
Второй звоночек с весьма характерным звуком в те же последние дни марта раздался в Ярославле. Дело тоже обычное до зевоты. Местный агент МТС, как водится, оформил договор и симку на подставное лицо, настоящий владелец использованного паспорта об этом узнал, нажаловался в Роскомнадзор, который по жалобе организовал проверку (основания для этого – отдельная история), ну, и привлек, как положено, но не агента, а оператора – ОАО «МТС», который, как отмечено в акте, «не обеспечил внесение в базу данных достоверной информации об абоненте, не убедившись в личном предъявлении им документа, удостоверяющего личность, не заключил договор в письменной форме», и, самое главное, не обеспечил возможности получения сами понимаете кем информации об абоненте из базы данных для проведения оперативно-розыскных мероприятий.
Естественно, по факту выявленных нарушений составлен протокол об административном правонарушении, в данном случае – по основаниям, предусмотренным ч.3 ст.14.1 КоАП РФ «Осуществление предпринимательской деятельности с нарушением условий, предусмотренных специальным разрешением (лицензией)». Поскольку речь шла о персональных данных, к 14.1 добавлены еще и упоминавшаяся ранее ст.13.11, а также ст.13.14 «Разглашение информации с ограниченным доступом» - видимо, персональных данных того самого пострадавшего, на имя которого продали симку. Но эти две статьи – в ведении прокуратуры, куда и ушли протоколы.
А вот за нарушение ст.14.1 (дело-то идет о СОРМе!), помимо предписания об устранении выявленных нарушений, оператор сотовой связи получил предупреждение о приостановлении действия лицензии на предоставление услуг связи. А это вам не 5-10 тысяч рублей штрафа.
По поводу агентов, продающих сотовые контракты по копиям чужих паспортов, а то и без них, Дума уже озаботилась, приняв к рассмотрению законопроект с новой статьей КоАП 13.11.1 «Предоставление недостоверной информации о гражданах (персональных данных) оператору персональных данных», предусматривающей штраф до 300 тысяч рублей.
Глядишь, скоро и время инициативы Роскомнадзора подойдет, о которой 1 марта на Консультационном совете рассказал заместитель руководителя надзорного органа Р.В.Шередин. Предусматривается увеличение срока давности при привлечении к ответственности по ст.13.11 КоАП с 3 месяцев до 1 года, передача Роскомнадзору полномочий по возбуждению административных дел по этой статье и повышение максимального размера штрафа по этой статье с 10 до 500 тысяч рублей.
Во вторник у меня на семинаре по персданным учился руководитель одной организации. Привела его ко мне неожиданная активность местного участкового полицейского, который стал регулярно захаживать в офис и интересоваться, как там идет обработка персональных данных и не нарушается ли чего.
Интерес к теме растет повсеместно.

2 апреля 2012 г.

По лезвию бритвы: между privacy и исключительными правами

Любой интеллектуальный продукт, который создается в современном мире, создается на компьютере. Для многих компаний результат интеллектуальной деятельности - практически все, что у них есть.
Работодатель платит деньги. Работник работает. И работодателю хотелось бы знать, над чем он работает и как. И кто, кроме заплатившего, пользуется полученными результатами. Современные технологии позволяют это сделать достаточно просто. Есть системы, контролирующие работу с почтой, интернет-мессенджерами, доступ в интернет, a при желании – и вообще любые действия пользователя компьютера, звонки по сотовому и стационарному телефону, отправку факсов и многое другое.
Сделать это довольно легко. Но вот допустимо ли? Как провести грань между конституционными правами на неприкосновенность частной жизни, личную тайну, тайну переписки (в том числе электронной), телефонных переговоров и правами работодателя контролировать использование предоставленных работнику средств производства, результаты оплаченной работы и соблюдение своих исключительных прав на результаты интеллектуальной деятельности, полученные за свои же деньги?
Законодатели за двадцать лет творчества в парламенте новой России ничего внятного по этому поводу не сказали. Продекларировав в Гражданском кодексе исключительное право работодателя на служебные секреты, созданные работником в рамках трудовых обязанностей или по заданию работодателя, вопросы ведения личной переписки на рабочем месте и использования средств коммуникаций они аккуратно обошли. А грань между правом на приватность и правами работника, если и существует, по толщине не превосходит лезвие бритвы, по которому и приходится проходить тем, для кого секреты производства – главный, хотя и нематериальный актив.
За пределами России единства взглядов на эту проблему тоже нет. В континентальной Европе мощные и авторитетные профсоюзы работодателям развернуться на поприще контроля категорически не позволяют, и системы контроля и предотвращения утечек – DLP (Data Loss или Leak Prevention или Protection) там редки почти как волки в европейских лесах. Англоязычные страны, в первую очередь – США и Великобритания, на проблему смотрят несколько иначе, ставя во главу угла интересы бизнеса, из чьего кармана оплачивается рабочее время, веб-серфинг и обмен электронными сообщениями.
В США периодически к ответственности привлекаются работодатели, не обеспечившие контроля за использование средств коммуникации и допустившие рассылку по корпоративной почте информации дискриминирующего, оскорбительного или экстремистского характера. Еще проще взгляды на проблему в Азии и Латинской Америке. Там пока проблема примата личного над общественным не стоит. Работодатель платит – и заказывает музыку. Любую, которую любит.
Россия, как обычно, где-то посередине. В некоторых компаниях вопрос мониторинга действий сотрудников даже не поднимается и не рассматривается, где-то контролируется вся переписка, фактически перекрыт доступ к большинству ресурсов интернета, в опен-спейсе – видеокамеры, а на входе – системы контроля доступа учета рабочего времени.
И вот уже отечественный производитель этих самых DLP систем доводит до широкой общественности результаты операции по предотвращению переманивания конкурентом ценного работника, проведенной с перлюстрацией электронной почты.
Есть у этой проблемы и другая сторона. Российские арбитражные суды отказывают в защите компаниям, пострадавшим от кражи коммерческой тайны  своими или уже бывшими работниками. Наличие технической возможности использования почтового ящика работника, через который произошел слив информации, администраторами или службой безопасности, создают у судов «неразрешимые сомнения» в виновности ответчика.
Если специальных средств контроля и логирования нет  – доказать правоту будет невозможно при всей кажущейся очевидности вопроса о бессмысленности «подставы» уволившегося вместе с клиентской базой бывшего коммерческого директора.
Представляется, что тем, кому есть что защищать в этой хрупкой нематериальной сфере интеллектуальной деятельности, принимать меры контроля так или иначе придется. Открыто говоря об этом работникам, документально регламентируя порядок и степень вмешательства, получая подтверждаемое согласие работников на чтение служебной переписки. И делая еще много чего – не будем забывать, что у электронного письма есть получатель или отправитель, а в телефонном разговоре – второй собеседник, которые предупрежденными и согласившимися на это работниками могут и не являться.
Важно еще и не переходить разумные и этические границы. Не стал бы я организовывать прослушку телефона, даже и служебного. Нельзя запретить работнику пользоваться им в личных целях. Забота о здоровье больного ребенка важнее установленных правил. Но знать об этом работодателю вовсе не надо.
Здравый смысл, уважение к личности работника и защита своих прав, предоставленных законами – непростые и не всегда дружащие между собой поводыри для работодателя, создавшего почву для инноваций и ожидающих отдачи от них.