30 июня 2014 г.

Как решают проблемы атак на банки за рубежом

Помните октябрь 2013-го, таинственные СМС об отзыве лицензии, панику в Подмосковье, очереди к банкоматам «Возрождения», банка из первой «тридцати», невнятные комментарии разных должностных лиц и общий призыв «не волноваться»?
До боли похожий сценарий реализуется с конца прошлой недели в Болгарии. А вот реакция на сложившуюся ситуацию в небольшой стране радикально отличается от российской.
Итак, с утра в пятницу, 27 июня, через интернет и смс-сообщения началось активное распространение информации о проблемах в третьем по величине банке Болгарии, «Первом инвестиционном банке». Клиенты поверили. Уже к 15 часам они сняли в отделениях банка более 400 миллионов евро, и банк закрылся «до понедельника» (обычно по субботам банки в Болгарии работают). Центробанк Болгарии тогда же, в субботу, объявил о спланированной атаке на банковскую систему, заявил о достаточном количестве наличных, отсутствии реальных проблем в банке и неизменности курса лева, вот уже много лет жестко привязанного к евро и не менявшегося за это время ни на стотинку.
В этот же день полиция задерживает первых двух подозреваемых во введении в заблуждение с целью дискредитации банка. К воскресенью число задержанных составило 6 человек. В болгарских СМИ активно обсуждается, к какой ответственности, по какой статье их можно привлечь и на сколько лет посадить.
Вчера, в воскресенье, в процесс вмешался президент страны, заявив: «У нас нет банковского кризиса, но есть кризис доверия и криминальная атака на банковскую систему». Заодно президент заявил о роспуске парламента и проведении досрочных выборов. Нельзя сказать, что эти события жестко связаны между собой, роспуск зрел давно, но вот так совпало. Сегодня (в понедельник) с утра плотно обсуждается отставка правительства, но уже в жесткой привязке к его бездействию по предотвращению банковского кризиса.
Вчера же болгарские власти запросили разрешение в Евросоюзе на кредитную линию для банковского сектора общим объемом 3,3 млрд. левов и уже сегодня утром (!) получили подтверждение о ее предоставлении, поскольку такие действия, как отметили в Европейской Комиссии, «совместимы с правилами единого рынка ЕС».
Отделения Первого инвестиционного банка сегодня утром открылись. Деньги в болгарских банкоматах есть, а очередей к банкоматам нет. Нет и паники.
Это к тому, как можно решать проблемы. Если, конечно, хочется их решать. И не сильно при этом сосредотачиваться на вопросе, почему кризис возник. Это все потом. 

26 июня 2014 г.

Суверенные базы данных и реестры нарушителей

Зарекся некоторое время назад комментировать проекты законов и прочих нормативных правовых актов, поскольку от окончательной редакции они порой отличаются радикально, если будут приняты вообще.
Про него уже отпостили Алексей Лукацкий и Сергей Борисов, но есть нюансы, которых я в их комментариях не увидел и на которые хотелось бы обратить внимание. Поскольку рожденное в недрах Госдумы не подлежит опубликованию на «Едином портале для размещения информации о разработке федеральными органами исполнительной власти проектов нормативных правовых актов и результатов их общественного обсуждения», приходится пользоваться личным блогом для этого самого общественного обсуждения.
О сути закона высказались уже многие, сводится она к двум принципиальным моментам – размещению баз с персональными данными россиян только на территории России (с некоторыми допустимыми исключениями) и созданию очередного реестра, теперь - нарушителей прав субъектов персональных данных. Все остальное – некая обвязка к реализации этих двух основных идей.
По поводу размещения баз персональных данных россиян в России. Удивительна не сама идея суверенности баз, об этом разговоры идут очень давно, а как раз эти самые исключения. Предполагается, что на территории России будет все, но кое-что можно хостить и за ее пределами, а именно – сайты госорганов (пункт 2 части 1 ст.6 152-ФЗ, отдельно выделю базы данных судебных приставов – п.3 части 1 ст.6 152-ФЗ), государственных внебюджетных фондов, любых органов власти и самоуправления, а также организаций, оказывающих государственные и муниципальные услуги (п.4 части 1 ст.6 152-ФЗ).
Мне почему-то казалось, что должно быть ровно наоборот – коммерсанты пусть разбираются с клиентами сами, где находятся их сервера баз данных, а вот госорганы, муниципалы и организации, специально созданные для реализации их полномочий, – за рубеж ни-ни. Сначала я не поверил своим глазам, перечитал статью 1 законопроекта раз десять – точно, им можно. Т.е. систему персонифицированного учета, созданную в соответствии с Федеральным законом «Об обязательном медицинском страховании», или сайт госуслуг или муниципальных услуг города Верхневольтовска захостить где-нибудь в Германии или Латвии – это, пожалуйста, а вот базу данных АБС и веб-сайт банка - стопроцентной дочки зарубежного, или booking.com, где россияне имели неосторожность забронировать гостиницу или арендовать машину – будьте добры перенести в Россию. Я про booking.com не шучу и не ошибаюсь – постоянные требования депутатов и сенаторов проверить на предмет исполнения российского законодательства Google, Twitter или Facebook говорят о том, что законодатели ставят вопрос именно так. Иначе – заблокировать, и точка. Интересен также вопрос, каким образом оператор должен определить, россиянин ему персональные данные прислал или нет. Для абсолютного большинства сайтов указывать гражданство или паспортные данные не нужно.
По поводу включения оператора в реестр нарушителей прав субъектов персональных данных и блокировки ресурса. Попадание в реестр, в соответствии с законопроектом, происходит на основании вступившего в законную силу судебного акта. А теперь – вопрос в студию. Какого именно акта? О чем? В соответствии со ст.2 законопроекта, реестр создается «в целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных» Т.е. речь идет о судебном акте, в котором определен виновный в нарушении такого законодательства? Или о судебном акте, прямо требующем блокировки сайта? Если об акте с указанием виновного – это только ст.13.11 КоАП в нынешней редакции, или вообще любое нарушение, связанное с этим законодательством? Могу навскидку предложить целый набор таки случаев:
·    Статья 5.27 КоАП (Нарушение законодательства о труде и об охране труда) – если речь идет о нарушении требований главы 14 Трудового кодекса «Защита персональных данных», например, на сайте опубликованы персональные данные работников без их письменного согласия;
·    Статья 5.39 КоАП (Отказ в предоставлении гражданину информации) – если оператор не ответил на запрос субъекта, поданный через сайт;
·    Статья 13.12 КоАП (Нарушение правил защиты информации, часть 6) – если для защиты сайта используются несертифицированные средства защиты информации или межсетевой экран стоит не того класса защищенности, который указан в Приказе ФСТЭК № 21, а канал сайта не шифруется сертифицированным СКЗИ;
·    Статья 13.13 КоАП (Незаконная деятельность в области защиты информации) – если оператор построил защиту своего сайта сам, а лицензии на ТЗКИ у него нет;
·    Статья 19.7 КоАП (Непредставление сведений (информации)) – если оператор обрабатывает персональные данные на сайте, а Роскомнадзор об обработке не уведомил;
·    Статья 137 УК РФ (Нарушение неприкосновенности частной жизни) – если на сайте собирается и выкладывается информация о частной жизни, а суд посчитал это незаконным;
·    Статья 138 УК РФ (Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений) – если оператор, например, выложил на сайте частное письмо, SMS-сообщение или протокол телефонного соединения;
·    И с некоторой натяжкой – статья 140 УК РФ (Отказ в предоставлении гражданину информации), если ст 5.39 КоАП показалось мало.
Еще одна проблема, заложенная в законопроекте – а как Роскомнадзор будет узнавать о вступлении в силу решения суда о нарушении законодательства? Обязанности судов это делать в законопроекте не заложено, как и прямого решения суда о блокировке. Предлагается несколько экзотический путь – право субъекта на обращение в Роскомнадзор с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства в области персональных данных на основании вступившего в силу судебного акта по утвержденной Роскомнадзором форме. А если субъект не обратится, как надзорный орган будет выполнять возложенные на него законом функции? Одни вопросы без ответов…
И еще один маленький, но существенный момент. На ряд операторов законом возлагается обязанность раскрывать на своем официальном сайте в сети интернет определенные сведения. Например, Приказ ФСФР от 10.01.2006 № 06-117/пз-н «Об утверждении положения о раскрытии информации эмитентами эмиссионных ценных бумаг» подробно расписывает порядок раскрытия на сайте предусмотренной законом «О рынке ценных бумаг» информации, обязывая предоставить пользователям «свободный и необременительный доступ» к ней и обеспечить этот доступ «в течение сроков, установленных нормативными правовыми актами, на одной странице в сети Интернет». А за нарушение, между прочим, штраф от 700 тысяч до миллиона рублей. Или Указание Банка России от 16.01.2004 № 1379-У «Об оценке финансовой устойчивости банка в целях признания ее достаточной для участия в системе страхования вкладов» признает банк обеспечивающим доступность информации о лицах, оказывающих существенное (прямое или косвенное) влияние на решения, принимаемые органами управления банка, неограниченному кругу лиц, если на официальном сайте банка или на официальном сайте Банка России размещена информация о них. Отсутствие письменного подтверждения банка о раскрытии неограниченному кругу лиц этой информации – основание для отказа в выдаче лицензии на привлечение во вклады денежных средств физических лиц, не больше и не меньше.
А теперь представим себе – эмитент ценных бумаг или банк нарушил закон о персональных данных, не разместив, например, на сайте политику в отношении обработки персональных данных, и привлечен за это к ответственности. Ситуация вполне реальная, о таких случаях не так давно писал. Решение суда вступило в законную силу, сайт заблокировали, а тут совсем к другому регулятору пришла жалоба, что нельзя получить доступ к информации, подлежащей обязательному раскрытию. Немая сцена. Занавес.
И наконец. Законопроект написан с ошибками и неточностями. Как вам, например, фраза «оператор реестра исключает выгрузки для операторов связи доменное имя, указатель страницы сайта в сети «Интернет» или сетевой адрес, позволяющий идентифицировать сайт в сети «Интернет», на основании обращения владельца сайта в сети «Интернет», провайдера хостинга или оператора связи, оказывающего услуги по предоставлению доступа к информационно-телекоммуникационной сети «Интернет», не позднее чем в течение трех дней со дня такого обращения после принятия мер по устранению нарушения законодательства Российской Федерации в области персональных данных, либо на основании вступившего в законную силу решения суда об отмене ранее принятого акта суда». Я, как ни старался, так и не понял, кто и что должен сделать.
В общем, по моему скромному мнению, закон в таком виде принимать не только нельзя, но и очень вредно, поскольку последствия его принятия будут совершенно непредсказуемы, причем в тех областях, о которых авторы явно и не думали.

8 июня 2014 г.

Для защиты коммерческой тайны у работников появился материальный стимул

Я уже писал, что с 1 октября 2014 года меняется законодательство, регулирующее вопросы отнесения к коммерческой тайне и охраны результатов интеллектуальной деятельности. Если коротко, секреты производства (ноу-хау) и информацию, составляющую коммерческую тайну, развели по разным законам, и с 1 октября они перестают быть тождественными понятиями.
Секреты производства можно будет охранять в режиме коммерческой тайны, но не обязательно – охрана их конфиденциальности будет возможна и без установления в отношении них режима коммерческой тайны, иными разумными мерами, правда, какими пока неизвестно. Видимо, как обычно, практика правоприменения покажет. Кроме того, секрет производства (ноу-хау) теперь – всегда и только сведения о результатах интеллектуальной деятельности в научно-технической сфере и о способах осуществления профессиональной деятельности, и никакие другие. К информации же, составляющей коммерческую тайну, можно отнести что-то еще, опять-таки – что конкретно не определено и не очень понятно.
У работника, в том числе бывшего, в новой редакции закона «О коммерческой тайне» появилась новая обязанность – в случае, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей, он обязан возместить причиненные работодателю убытки. Обратите внимание – не прямой действительный ущерб, как в статье 238 Трудового кодекса, прямо запрещающей взыскивать с работника неполученные доходы (упущенную выгоду).
Между тем статья 15 Гражданского кодекса устанавливает, что под убытками понимаются как расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права (реальный ущерб), так и неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода). Опять ждем практики. В отношении руководителя организации прямо установлена обязанность возместить организации убытки, причиненные его виновными действиями в связи с нарушением законодательства Российской Федерации о коммерческой тайне в соответствии с гражданским, а не трудовым законодательством.
Новые положения законов, еще не вступившие в силу, получают развитие в подзаконных нормативных правовых актах. Постановлением Правительства РФ от 04.06.2014 № 512 утверждены «Правила выплаты вознаграждения за служебные изобретения, служебные полезные модели, служебные промышленные образцы». Принятие акта связано с тем, что в отношении ряда результатов интеллектуальной деятельности – изобретений, полезных моделей и промышленных образцов которые охраняются патентным правом, а сами результаты требуют государственной регистрации, конкретный механизм вознаграждения их авторов законом не был определен.
Четвертая часть гражданского кодекса предусматривает выплату создавшему такие результаты работнику вознаграждения. Размер вознаграждения должен определяться трудовым договором, а в случае отсутствия в нем соответствующих положений – судом. Естественно, работодатели вовсе не торопились включать обязанности по выплатам работникам в договоры, а ввиду неопределенности нормы работники не спешили обращаться в суд. Через 4 года после вступления этой нормы в силу защитить экономически слабую сторону решило правительство. Теперь, если в договоре эти отношения не прописаны, действуют очень четкие правила.
Размер выплачиваемого работодателем работнику вознаграждения за создание служебного изобретения, служебной полезной модели, служебного промышленного образца определяется следующим образом:
·         30% средней заработной платы работника, являющегося автором служебного изобретения, за последние 12 календарных месяцев;
·         20% средней заработной платы работника, являющегося автором служебной полезной модели, служебного промышленного образца, за последние 12 календарных месяцев;
·         средняя заработная плата за последние 12 календарных месяцев, в которых такие изобретение, полезная модель, промышленный образец были использованы работодателем, после истечения каждых 12 календарных месяцев, в которых использовались эти результаты;
·         10% суммы обусловленного лицензионным договором вознаграждения в случае предоставления работодателем иному лицу права использования таких результатов по лицензионному договору;
·         15% предусмотренного договором вознаграждения в случае передачи работодателем иному лицу права на получение патента или исключительного права на служебное изобретение, служебную полезную модель, служебный промышленный образец в течение месяца со дня получения работодателем указанного вознаграждения.
Для получения вознаграждения при отсутствии в договоре между работодателем и работником соглашения об ином работник должен письменно уведомить работодателя о создании в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя результата, в отношении которого возможна правовая охрана.
После этого у работодателя есть три варианта дельнейших действий:
·         поскольку в соответствии со ст.1370 ГК РФ он является обладателем исключительного права на служебное изобретение, служебную полезную модель, служебный промышленный образец, подать заявку на патент;
·         передать право на получение патента другому лицу;
·         (Бинго!) охранять результаты интеллектуальной деятельности в тайне
(в режиме коммерческой тайны как вариант, других вариантов я просто не знаю);
Если работодатель в течение четырех месяцев со дня уведомления его работником не подаст заявку на выдачу патента в Роспатент, не передаст право на получение патента другому лицу или не сообщит работнику о сохранении информации о соответствующем результате интеллектуальной деятельности в тайне, право на получение патента на такие изобретение, полезную модель или промышленный образец возвращается работнику. В этом случае работодатель в течение срока действия патента имеет право использования служебного изобретения, служебной полезной модели или служебного промышленного образца в собственном производстве на условиях простой (неисключительной) лицензии с выплатой патентообладателю вознаграждения, размер, условия и порядок выплаты которого определяются договором между работником и работодателем, а в случае спора - судом. Сами понимаете, чтобы такой возможностью воспользоваться, работнику надо будет получить патент самостоятельно и на себя.
Таким образом, у работников появляется прямая материальная заинтересованность патентования результатов интеллектуальной деятельности как работодателем, так и самостоятельно, или отнесения их к секретам производства, охраняемым в режиме коммерческой тайны, и максимально долгой охраны их конфиденциальности в таком режиме. Связана такая заинтересованность с тем, что исключительное право на секрет производства государственной регистрации не требует, но действует до тех пор, пока сохраняется конфиденциальность сведений, составляющих его содержание. С момента утраты конфиденциальности соответствующих сведений исключительное право на секрет производства прекращается у всех правообладателей. И плакали денежки, как работодателя, так и работника, создавшего секрет.
Возможность получения вознаграждения, как единовременного, так и периодического, за создание секрета производства в случае его патентования или установления в отношении него режима коммерческой тайне должна стимулировать использования данного института защиты прав. Воспользуются ли им стороны трудовых отношений – покажет время.
Тем временем для своих клиентов мы уже готовим изменения в локальные акты, позволяющие защитить их интересы в изменившихся обстоятельствах.
А теперь информация для тех, кто по-прежнему считает, что режим коммерческой тайны в нашей стране не работает. По информации Судебного департамента при Верховном Суде РФ, в течение 2013 года были зарегистрированы 317 преступлений, квалифицированных по ст.183 УК РФ (Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну). Уже вынесены приговоры 13 фигурантам данных уголовных дел. Двое из них приговорены к лишению свободы, пятеро – к штрафам в размере до 50 тыс. руб. Остальных шестерых приговорили к иным видам наказаний (исправительные работы, принудительные работы).