20 декабря 2017 г.

О персональных данных на сайте интернет-магазина

Отвечал на вопросы газеты «Экономика и жизнь» https://www.eg-online.ru/article/362716/.
Ответы, как я понимаю, вместе с другими материалами на тему «Компания собирает персональные данные на своем сайте. Как все оформить, чтобы не получить штраф Роскомнадзора», доступны только подписчикам, и как обычно, при публикации СМИ, были несколько сокращены под формат издания.
По договоренности с редакцией, выкладываю полный вариант ответов на вопросы в своем блоге. Кому тема интересна – милости прошу ознакомиться.
1. Обязательно ли в документе, определяющем политику обработки персональных данных, а также в согласии на обработку персональных данных перечислять всех лиц, которым передаются персональные данные?
Пояснение: допустим, интернет-магазин передает персональные данные Google.Analytics, Яндекс.Метрика, подрядчику, который отправляет рассылки, подрядчику, который занимается разработкой сайта и т.д. Все эти третьи лица могут периодически меняться. Интернет-магазин запрашивает согласие на обработку персональных данных путем проставления галочки. Будет ли грозить штраф такому интернет-магазину, если в положении об обработке персональных данных, а также в полученных согласиях (путем проставления галочки на сайте) не будут указаны конкретные наименования третьих лиц, которым интернет-магазин передал? Если да, то какой? Как можно выйти из этой ситуации?
Ответ: Следует различать передачу персональных данных иным лицам с целью исполнения поручения оператора на обработку персональных данных (например, агентам, колл-центрам, осуществляющим обзвон клиентов, организации, которая осуществляет аутсорсинг кадрового или бухгалтерского учета и т.п.) и передачу таких данных без поручения их обработки (например, транспортной компании при покупке билета для работника или отелю для бронирования номера, страховой компании при страховании за счет работодателя, банку для начисления доходов работника на платежную карту, контрагентам для заключения и исполнения договора и т.д.). Закон требует указывать лицо, которому передаются персональные данные, и адрес его местонахождения только в случае, когда необходимо получение согласия в письменной форме и только при поручении такому лицу обработки персональных данных. Интернет-магазину не требуется согласие покупателя, поскольку он является стороной договора розничной купли-продажи. Но, если для исполнения договора необходимо привлечение третьих лиц, например, для доставки товара, то согласие на это может быть получено в любой доказываемой форме, и обязательного указания конкретного наименования доставщика не требуется ни в согласии, выражаемом, например, путем простановки отметки в чек-боксе веб-формы, ни в политике оператора в отношении обработки персональных данных.    
2. Если компания работает уже давно и только сейчас решила уведомить Роскомнадзор об обработке персональных данных, то какую дату начала обработки персональных данных нужно указать в уведомлении: дату регистрации компании, дату, когда она фактически начала обрабатывать персональные данные (например, запустила сайт) или дату подачи уведомления? Могут ли оштрафовать за неправильно указанную дату? А за то, что уведомили Роскомнадзор с нарушением срока?
Ответ: Необходимо указать действительную дату начала обработки персональных данных. Как правило, это дата регистрации юридического лица, потому что с нее начинается обработка данных, как минимум, своих работников. За отсутствие уведомления, если компания не подпадает под исключения, позволяющие его не направлять, несвоевременное его представление и за указание в уведомлении сведений в неполном объеме или в искаженном виде статьей 19.7 КоАП РФ предусмотрена административная ответственность.
3. После того, как компания уведомит Роскомнадзор об обработке персональных данных, есть риск, что Роскомнадзор назначит проверку этой компании? А если компания относится к субъекту малого предпринимательства, то ее могут включить в план проверок?
Ответ: Роскомнадзор может провести плановую проверку любого оператора, независимо от того, подал он уведомление или нет, в том числе предприятия и организации малого и микро- бизнеса. Но для них максимальная продолжительность проверки значительно меньше – 50 и 15 часов соответственно, а не 20 рабочих дней, как для остальных.
4. Если компания не запрашивает согласие об обработке персональных данных на своем сайте (например, путем проставления галочки), то какой ей будет грозить штраф? Такой же, как и в случае отсутствия письменного согласия, то есть по ч. 2 ст. 13.11 КоАП РФ?
Ответ: Нет, часть 2 статьи 13.11 КоАП РФ предусматривает ответственность именно за отсутствие согласия в письменной форме, когда такая форма его получения обязательна по закону, а также в случаях, когда состав сведений, включаемых в согласие в письменной форме, не соответствует требованиям, установленным частью 4 статьи 9 закона «О персональных данных». Если же согласие требуется, но не обязательно его получение в письменной форме, и оно не было получено, такие действия оператора могут быть квалифицированы по части 1 статьи 13.11: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.
5. По какой статье могут оштрафовать интернет-магазин, который не предпринял мер по выполнению требований Закона о персональных данных, если он обрабатывает персональные данные клиентов только в электронном виде, у него нет офлайн-магазина? Например, он не ознакомил сотрудников с локальными документами о персональных данных.
Ответ: Это зависит от того, какие конкретно требования законодательства не были выполнены. Например, обязанность ознакомить работников с документами работодателя, устанавливающими порядок обработки персональных данных работников, установлена статьей 86 Трудового кодекса РФ, поэтому работодатель может быть привлечен инспекторами Роструда к ответственности, предусмотренной статьей 5.27 КоАП РФ «Нарушение трудового законодательства и иных нормативных правовых актов, содержащих нормы трудового права». Невыполнение требований к технической защите персональных данных при их автоматизированной обработке может быть квалифицировано по части 6 статьи 13.12 КоАП РФ – нарушение требований к защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами.
6. В споре Роскомнадзора с МТС суд решил, что пользовательские данные, собираемые с помощью cookie-файлов, тоже являются персональными данными и нужно получить согласие на их обработку. Для этого сейчас на практике делают всплывающее окно, в котором указывают, к примеру, такой текст: «Мы используем cookie-файлы, чтобы улучшить работу и повысить эффективность сайта. Продолжая пользоваться сайтом, вы даете согласие на обработку (включая передачу третьим лицам) cookie-файлов и пользовательских данных. Если вы не хотите, чтобы мы обрабатывали ваши данные, пожалуйста, покиньте сайт или измените настройки». Такого текста достаточно, чтобы не получить штраф?
Ответ: В целом - да, но, если для анализа cookie файлов используются статистические службы, находящиеся, например, в США (Google Analytics), государстве, не обеспечивающем адекватную защиту персональных данных, то, в соответствии с частью 4 статьи 12 закона «О персональных данных», передача данных в такое государство возможна лишь при наличии согласия субъекта персональных данных в письменной форме или договора, стороной которого является пользователь сайта. Поэтому необходимо тщательно продумать содержание пользовательского соглашения, описав в нем действия с файлами cookie.  
7. Может ли Роскомнадзор заблокировать сайт из-за нарушений Закона о персональных данных? Что это были за ситуации?
Ответ: Сам Роскомнадзор принять решение о блокировке не может, для этого необходимо наличие вступившего в силу судебного акта. А вот подать такой иск Роскомнадзор может, и этим правом пользуется. Именно так был ограничен доступ к сайту социальной сети LinkedIn решением Таганского районного суда г. Москвы по иску Роскомнадзора в защиту прав неопределенного круга пользователей сети Интернет. И это не единичный случай. Обычно оcнованием для блокирования доступа к сайту является размещение на нем персональных данных российских граждан без их согласия, например, телефонных справочников. 

11 декабря 2017 г.

Продолжение истории про персональные данные в социальных сетях

Последний пост про допустимость использования персональных данных из социальных сетей вызвал активную реакцию читателей, которые по этому поводу много чего рассказали. По их материалам мы провели небольшое расследование, и вот что открылось.
Есть в Интернете сайт, предлагающий услуги по извлечению данных о пользователе Интернета из открытых ресурсов сети, в первую очередь – социальных сетей. Ссылку на сайт, против обыкновения, давать не буду, его реклама в мои задачи не входит.
Для такого извлечения данных разработано и запатентовано (!) программное решение, установив которое на свой сайт, владелец сможет получить много интересного о посетителе, даже не зарегистрировавшемся на сайте: : фамилию, имя и отчество; номер телефона; адрес электронной почты; физическое местоположение; дату рождения; пол; информацию, опубликованную на страницах и в группах социальных сетей, членом которых является субъект; информацию о публикации контента - комментариев, аудио- и видеозаписей, фотографий; другую общедоступную информацию.
Все, примерно, как в истории с НБКИ, и даже больше. На сайте сообщается, что с использованием этого продукта они вместе с партнерами собрали уже данные о 28 миллионах пользователей сети.
А еще мы нашли очень интересный судебный документ. Весной этого года Управление Роскомнадзора по ЦФО обратилось в Таганский районный суд г. Москвы с иском о признании деятельности интернет-ресурса и информации, размещенной на сайте, незаконными и нарушающими законодательство РФ в области персональных данных, но в июне внезапно этот иск отозвало, с чем согласился и ответчик, и суд. Среди прочего, отзыв иска повлек последствия, предусмотренные статьей 221 Гражданского процессуального кодекса Российской Федерации: повторное обращение в суд по спору между теми же сторонами, о том же предмете и по тем же основаниям впредь не допускается. 30 июня судебный акт вступил в законную силу.
Что стало причиной отзыва иска, в определении суда не указывается, но предположения у меня есть. На том же сайте размещен ответ Управления Роскомнадзора по ЦФО на запрос о допустимости обработки персональных данных, сделанных пользователями общедоступными в социальной сети ВКонтакте, в котором сообщается буквально следующее: 
«Обработка персональных данных согласно п.10 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Закон) допускается при осуществлении обработки персональных данных, доступ к которым предоставлен субъектом персональных данных либо по его просьбе.
Зарегистрировавшись в социальной сети «Вконтакте», субъект персональных данных предоставляет доступ неограниченному кругу лиц к своим персональным данным и делает их общедоступными, из чего следует, что согласие субъекта персональных данных для обработки его общедоступных персональных не требуется.
Исходя из вышеизложенного, Вы имеете право собирать и систематизировать персональные данных посетителей социальной сети «Вконтакте», профили которых открыты и являются публичными».
Занавес.
Я очень люблю еще с армейских времен фразу: «По этому вопросу у меня есть собственное мнение, с которым я категорически не согласен». Как раз тот случай.

6 декабря 2017 г.

Судебное решение: соцсети и сайты объявлений в России теперь незаконны?

Можно ли любому желающему использовать данные, в том числе – персональные, размещенные пользователями на открытых для всех сайтах в сети Интернет в тех целях, которые определил для себя пользователь такой информации? Ответ, казалось бы, очевиден. Разместив свои данные для всеобщего доступа каждый, находящийся в здравом уме и твердой памяти, должен понимать, что ими может воспользоваться любой желающий так, как ему заблагорассудится, если только он своими действиями не нарушает установленные законом права такого пользователя. Например, законами «О персональных данных» и «О рекламе» наложен прямой запрет на звонки и рекламные рассылки без явного, доказываемого согласия потребителя. Поэтому наличие телефона в объявлении о намерении купить автомобиль – вовсе не повод предлагать владельцу телефона страховку.
Примерно такой логикой, наверное, руководствовалось АО «Национальное бюро кредитных историй» («НБКИ»), заказывая ООО «Дата» скоринг пользователей социальной сетей и сайтов объявлений для определения их потенциальной кредитоспособности.
Однако надзорные органы и суды решили совсем по-другому. Управление Роскомнадзора по ЦФО посчитало такую обработку персональных данных незаконной, а Арбитражный суд Московского округа 9 ноября 2017 года уже в третьей инстанции отклонил жалобу кредитного бюро на предписание надзора об устранении нарушения.
Логика судов была такова.
Исходя из буквального прочтения статьи 8 Федерального закона «О персональных данных» (далее – Закон 152-ФЗ), для того, чтобы считать персональные данные сделанными субъектом персональных данных общедоступными и обрабатывать их, как предусмотрено пунктом 10 части 1 статьи 6 того же закона без согласия субъекта, необходимо одновременное выполнение двух условий:
1. Персональные данные доступны неопределенному кругу лиц.
2. Персональные данные предоставлены непосредственно самим субъектом.
Однако, анализируя организацию размещения данных в социальных сетях, суды посчитали, что без письменного согласия пользователя не представляется возможным утверждать, что они предоставлены именно указанным субъектом. Таким образом, персональные данные, сделанные общедоступными субъектом персональных данных, могут содержаться только в общедоступных источниках персональных данных, соответствующих определению, данному в статье 8 Закона 152-ФЗ.
Следовательно, информация о субъекте (в том числе, персональные данные), содержащиеся в социальных сетях или на иных сайтах в сети Интернет, не может быть отнесена к персональным данным, сделанным субъектом общедоступными, поскольку социальные сети не являются источником общедоступных персональных данных применительно к положению этой статьи.
Суд также отметил, что в соответствии со статьей 7 Закона 149-ФЗ общедоступной является информация, размещаемая ее обладателями в сети Интернет в формате, допускающем автоматизированную обработку без ее предварительного изменения человеком в целях повторного ее использования, чего в социальных сетях не наблюдается.
Таким образом, персональные данные, обрабатываемые АО «НБКИ» и полученные из социальных сетей, не были сделаны общедоступными субъектом персональных данных, в связи с чем в действиях заявителя усматриваются нарушения пункта 1 части 1 статьи 6 Закона 152-ФЗ (обработка данных без согласия субъекта).
По-моему, это противоречит здравому смыслу, но уж если такое решение принято, оно требует полного и логического завершения.
Суд согласился с тем, что данные в социальных сетях – персональные, но доказательств того, что они размещены там пользователями, нет. При этом интернет-ресурсы с персональными данными прямо названы в решении судов открытыми, но не общедоступными. То есть доступ к ним предоставлен неограниченному кругу пользователей Интернета неизвестными лицами, полномочия которых операторами (владельцами) социальных сетей и сайтов объявлений не проверялись, поскольку никакого согласия, и уж тем более в письменной форме, у социальных сетей нет.
Налицо несколько нарушений закона. Статья 7 Закона 152-ФЗ обязывает оператора, получившего доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Для соцсетей законом это не предусмотрено, согласия субъекта на обработку, включая распространение, как установили суды трех инстанций, нет, кроме того, нарушено и требование части 1 статьи 9 закона, обязывающее, в случае получения согласия на обработку персональных данных от представителя субъекта персональных данных, проверить полномочия данного представителя. Согласие давалось, в данном случае, в форме конклюдентных действий – размещение персональных данных в социальной сети и на сайтах объявлений неустановленными оператором лицами в отношении неизвестных владельцам сайта лиц. Следовательно, все операторы, упомянутые в судебных актах по этому делу, – социальные сети ВКонтакте, Одноклассники, МойМир, Instragram, Twitter, интернет-порталы Авито и Авто.ру совершили административное правонарушение, предусмотренное частью 1 статьи 13.11 КоАП РФ: обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных.
Кроме того, поскольку источники персональных данных являются, по мнению судов, открытыми, и к персональным данным имеет доступ неограниченный круг лиц, совершено административное правонарушение, предусмотренное частью 2 той же статьи: обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.
Из этого следует только одно – владельцев соцсетей надо привлечь к ответственности, доступ на территории России к таким сайтам ограничить, подав иск в защиту прав неопределенного круга пользователей Интернета, как это происходит со всеми сайтами, где незаконно размещены персональные данные.
Есть, правда, и другой путь – согласиться с тем, что, поскольку данные выложены неизвестно кем, и никто не проверял их подлинность, вообще не рассматривать их как персональные, что было бы весьма логичным. Кстати, на этой точке зрения, как мне кажется, обоснованно стояли официальные лица уполномоченных органов власти сравнительно недавно.
Вот, например, скриншот моей странички в Twitter:
Много вы видите в ней персональных данных? 
Если это - не персональные данные, то история будет совсем другой.
Хочется надеяться, что АО «НБКИ» подаст надзорную жалобу в Верховный суд, и мы все окончательно узнаем, является ли открытый источник общедоступным или нет. Хорошо бы еще и с понятиями разобраться: чем все-таки отличаются открытые источники от общедоступных?

28 ноября 2017 г.

Некоторые впечатления о Международной конференции «Защита персональных данных» Роскомнадзора

Прошедшую 9 ноября VIII Международную конференцию «Защита персональных данных» я считаю главным событием в России, связанным с персональными данными. Поэтому, в силу специфики бизнеса, не пропустил ни одной. В прошлом году слушал выступления он-лайн, и это тоже полезный опыт (в том смысле, что пользы меньше). В этом году мы получили приглашение Роскомнадзора в очередной раз провести круглый стол с регуляторами по нашему сценарию и с нашими вопросами, а также выступить с острой, на наше усмотрение, темой. Мы высоко оценили возможность проявить инициативу, а также отсутствие любой цензуры при подготовке и проведении выступления на очень, на наш взгляд, со сложной и неоднозначной темой получения работодателем согласия работника на обработку персональных данных и передачу их третьим лицам. И за это, а также за интересную программу и отличную организацию мероприятия – искреннее спасибо надзорному ведомству. 
С получением согласий работников на передачу их персональных данных иным лицам сложилась сложная и неоднозначная ситуация. После неудачных попыток ООО «Скартел» оспорить результаты проверок Управлением Роскомнадзора по ЦФО в 4 судебных процессах в Арбитражном суде города Москвы и Девятом арбитражном апелляционном суде позиция надзорного ведомства стала достаточно однозначной: на каждую цель передачи и каждое лицо, которому поручается обработка персональных данных, необходимо получать согласие работника, оформленное в виде отдельного документа. Основание: в части 4 статьи 9 закона «О персональных данных» слова «цель» и «наименование лица» употребляются в единственном числе. Не буду сейчас обсуждать этот аргумент, позиция высказана, и надо думать, что в этих условиях делать. Тем более, что Минкомсвязи, в ответ на наш запрос, также сообщило об аналогичном понимании проблемы.
В отведенные на выступление 15 минут я успел рассказать о нескольких проблемах, которые в связи с этим возникают. Первая и главная – каким образом наличие нескольких (а иногда и нескольких десятков) согласий с паспортными данными, местом жительства работника улучшает его правовую защищенность как субъекта персональных данных и способствует реализации его права на неприкосновенность частной жизни.   
Вторая проблема заключается в том, что статьи 86 и 88 Трудового кодекса, устанавливающие необходимость получения согласия работника в письменной форме, не содержат отсылок на закон «О персональных данных», и включение в согласие работника всех сведений, указанных в части 4 статьи 9 закона, является явно избыточным, поскольку работник идентифицирован работодателем, и паспортные данные для подтверждения личности лица, дающего согласие, и его адрес, в данном случае, для достижения целей, поставленных законом, явно не нужны.
Третье. Необходимо различать передачу работодателем персональных данных работников иным лицам как поручение их обработки (аутсорсерам кадрового, бухгалтерского, воинского учета, охраны труда, охранным организациям и т.д.) и без поручения обработки персональных данных (банкам, страховым компаниям, перевозчикам, отелям, фитнес-клубам и языковым курсам и т.д.), поскольку указывать наименование и адрес получателя персональных данных надо именно в случае поручения обработки.
И, наконец, четвертое. Что делать работодателю, если работник согласие давать отказывается? Я уже писал о попытке получить ответ на этот вопрос в Роструде, но его по-прежнему нет. Сейчас запросили мнение Минкомсвязи по этому вопросу.
На круглом столе с регуляторами вопросов удалось задать довольно много, он затянулся почти до 19 часов вместо планируемых 18. Вот наиболее интересные, на мой взгляд, ответы на поставленные вопросы, появившиеся в ходе активного диалога с участниками. 
С.Д. Мигранов, Минкомсвязи России. Министерство не планирует инициировать легализацию в законе «О персональных данных» получения согласия в форме конклюдентных действий, хотя оно и является самым распространенным. Приказ об утверждении административного регламента ведения реестра операторов утратил силу, поскольку это не государственная услуга, и регламент не нужен в принципе. Постановление Правительства о контроле и надзоре ждать стоит (оно, кстати, получило отрицательную оценку регулирующего воздействия)
Ю.Е. Контемиров, Роскомнадзор. Cookie-файлы и иные следы анонимного пользователя в Интернете – персональные данные, необходимо его согласие на обработку, в том числе на трансграничную передачу в аналитические службы Интернета. Если эти службы находятся в «неадекватных» странах, США, например, фактически единственный способ выполнения требований закона – правильное пользовательское соглашение, для акцепта которого необходим баннер с чек-боксом или кнопкой для закрытия, подтверждающими согласие с условиями соглашения.
Пока новая редакция статьи 13.11 КоАП применяется весьма мягко (с 1 июня оп 1 ноября возбуждено всего 39 административных дел по стране). На мой вопрос: если в ходе проверки выявлено 10 случаев необходимости получения согласия в письменной форме в организации, где работает 100 работников, то сколько здесь административных правонарушений – одно, 10, 100 или 1 000, - последовал ответ – одно. И да, отдельное согласие необходимо для каждой цели.
Вред субъекту оператор оценивает по своей методике, какую-либо единую разрабатывать не планируется.
Е.Б. Торбенко, ФСТЭК России. В случае размещения ИСПДн в дата-центре, облаке или по схеме SaaS для выполнения требований закона необходим договор, в котором закреплены обязанности провайдера в отношении обеспечения безопасности обрабатываемых данных для выбранного типа актуальных угроз и уровня защищенности, указаны меры, предусмотренные статьей 19 закона. В этом случае оператор свои обязанности выполнил, проверять, как именно это делает провайдер не надо, что вполне логично.
Методику актуализации угроз 2008 года, «заточенную» под утратившее силу Постановление Правительства № 781 и «приказ трех» о классификации ИСПДн применять можно, но можно разработать (и быть готовым обосновать) и свою. В дополнение к базовым угрозам необходимо анализировать актуальность угроз из банка данных угроз на сайте ФСТЭК (их там уже более 200).   
Оценку соответствия средств защиты информации можно проводить любым способом, указанным в законе «О техническом регулировании», в том числе, в форме декларирования соответствия, но, если оператор имеет соответствующую квалификацию.
А.Г. Бодров, ФСБ России. Оценку соответствия СКЗИ можно проводить только в форме сертификации в системе ФСБ. Просто признать угрозу перехвата персональных данных в канале связи неактуальной и не применять сертифицированные СКЗИ нельзя. Отсутствие модели угроз – уже административное правонарушение. Для моделирования угроз все операторы могут использовать «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности».
Вот, если коротко, что запомнилось и на что, на мой взгляд, стоит обратить внимание.
В дополнение к написанному можно посмотреть небольшое видео с конференции и презентации некоторых выступавших (к сожалению, не всех), в том числе, мою - http://zpd-forum.com/#contacts.  

27 октября 2017 г.

9 ноября: VIII Международная конференция «Защита персональных данных»

9 ноября пройдет уже VIII Международная конференция «Защита персональных данных», мероприятие, организованное Роскомнадзором, на котором есть редкая возможность послушать представителей всех регуляторов и надзорных органов в сфере персональных данных – Роскомнадзора, Минкомсвязи, ФСБ и ФСТЭК, и даже задать им вопросы.
Задать вопросы можно и заочно, по приглашению Роскомнадзора я буду вести заключительное мероприятие конференции - круглый стол «Свободный микрофон с регуляторами», на котором предполагается участие представителей всех перечисленных выше органов власти. Для обсуждения предложены следующие темы: 
·    Положение дел в области защиты прав субъектов персональных данных. Риск-ориентированный подход и иные факторы развития системы государственного контроля в области персональных данных. Новые составы административной ответственности: первые итоги правоприменения.
·    Состояние информационной безопасности в цифрах и фактах: основные итоги государственного контроля (надзора) и анализ существующих проблемных вопросов.
Основные вопросы для участников круглого стола я уже подготовил, но у каждого из читателей блога есть возможность поучаствовать в формировании повестки – присылайте свои вопросы мне, самые интересные будут использованы в ходе диалога.
Кроме круглого стола в программе конференции – пленарная панельная дискуссия о глобальных проблемах неприкосновенности частной жизни, цифрового суверенитета, регулирования Больших данных, модерировать которую будет руководитель Роскомнадзора Александр Жаров, а также две секции Международной экспертной встречи, на которых выступят Юрий Контемиров, Салават Мигранов, Артем Сычев и многие другие (на выступления отводится по 15 минут). Темы – самые острые: перспективы и направления развития нормативной правовой базы в области обработки персональных данных, критерии составов административных правонарушений в новой редакции ст. 13.11 КоАП РФ, грядущий GDPR, персональные данные в финансовой сфере, криптография для персональных данных и моделирование угроз, национальная биометрическая платформа и т.д.
На второй панели я за 15 минут планирую рассказать о проблеме получения согласия работников в письменной форме на передачу их персональных данных с учетом сложившейся правоприменительной и судебной практики (отдельное согласие для каждой цели и каждого обработчика), корреляции статей 88 ТК РФ и части 4 статьи 9 закона «О персональных данных», последствий отказа работника дать такое согласие или его отзыва. Близкие по теме выступления о согласии субъекта будут у Эльмана Мехтиева, исполнительного вице-президента Ассоциации российских банков, и Розендоевгения Монтерея Чепова, комиссара Национального института информации открытого доступа и защиты персональных данных Мексики.
Жду вопросов и до встречи на конференции!

25 октября 2017 г.

Безопасность цифровой личности в государственных системах: резервное копирование и восстановление данных

В государственных органах, органах местного самоуправления, государственных и муниципальных учреждениях и предприятиях стало накапливаться огромное количество информации в цифровой форме о каждом из нас – в различных информационных системах, базах данных, приложениях. Это, с одной стороны, существенно повысило доступность информации и облегчило доступ к ней всех заинтересованных участников отношений, но, с другой стороны, привело к возникновению новых проблем. Уничтожение и модификация таких данных также стали значительно проще.
Между тем, многие данные, перекочевавшие с бумажных носителей, из картотек и архивов в электронные базы данных, не только важны, а критически важны для человека. И дело не только в пенсиях, льготах или историях болезни, хотя и это очень важно. Завладев так называемыми «государственными идентификаторами», однозначно определяющими их владельца при электронном общении с государством и его структурами, злоумышленник скрыто и безнаказанно может действовать от имени пострадавшего субъекта, который и не ведает о том, что кто-то управляет его собственностью, пенсионными накоплениями, совершает сделки и т.д. Появилось принципиально новое в истории человечества преступление – кража цифровой личности, когда у человека в виртуальной, но конкретно проецирующейся на его жизнь реальности появляется двойник, не отличимый для участников отношений в цифровом мире от него самого.
О том, как и почему это происходит, чем заканчивается и что делать читайте в моей новой объемной статье «Безопасность цифровой личности в государственных системах: резервное копирование и восстановление данных». Статья и запись вебинара, организованного компанией Veeam с моим участием, доступны после регистрации.
В статье на реальных примерах рассматриваются вопросы:
·       Какие государственные ИТ-системы персональных данных уязвимы для атак на доступность, целостность и конфиденциальность, и к каким последствиям может привести реализация таких атак?
·       Какие источники угроз существуют для персональных данных в государственных системах?
·       Что способствовало проникновению в 2017 году вирусов WannaCry и Petya в ИТ- системы государственных органов, и каковы возможные последствия?
·       Почему восстановление функционирования значимого объекта критической ИТ- инфраструктуры является важнейшей задачей безопасности, и к каким последствиям может привести невыполнение этого требования?
Обращая внимание на проблемы, я стараюсь показать направления и пути их решения. В данном случае, в качестве примера для решения поставленных задач рассматривается продукт Veeam Backup & Replication, новая версия 9 которого прошла инспекционный контроль и в августе 2017 года получила переоформленный сертификат соответствия ФСТЭК России техническим условиям, указанным в формуляре продукта, и требованиям к 4-му уровню недекларированных возможностей.
Читайте, думайте, используйте…

2 октября 2017 г.

Видео: Зачем российской компании знать о законе Евросоюза о персональных данных?

В конце прошлой недели состоялся Международный онлайн-форум Microsoft «You Trust IT. Путь к безопасности бизнеса» - очень интересное и отлично организованное мероприятие, в котором заочно приняли участие более 1200 участников.
В наше агентство поступает много запросов о новом законе Евросоюза о персональных данных (The General Data Protection Regulation, GDPR), его влиянии на ведение бизнеса в России и российскими компаниями за ее пределами. На целый ряд вопросов я дал ответы в своем выступлении на Форуме (просто о сложном J):
• На кого в России будут распространяются требования GDPR? 
• Каковы последствия введения GDPR для российских компаний и их дочерних компаний за рубежом? 
• Чем отличаются европейский The General Data Protection Regulation и Федеральный закон от 27.07.2007 № 152-ФЗ «О персональных данных»?
Видеозапись выступления (23 минуты) доступна по ссылке http://mssecurity.ru/player (при поиске ориентируйтесь на мое лицо, не ошибетесь ;)). Также можно посмотреть  здесь https://broadcast.comdi.com/player/r78mqshn.

21 сентября 2017 г.

Роструд отказался от надзора за выполнением требований главы 14 Трудового кодекса

Писать в блог некогда совершенно, проектной работы выше крыши. Но парадокс в том, что она дает огромное количество тем для постов – это же практика, там все время что-то интересное и полезное всплывает. Выстроилась уже целая очередь тем – и GDPR для российских компаний, и пересмотр Европейским судом дела Богдана Барбулеску, и проблема получения согласий работников в рамках статьи 88 ТК РФ, и VPN на рабочем месте, и много чего другого.
А начнем, пожалуй, с мини-сенсации, вынесенной в заголовок поста.
Довольно длительная переписка с Рострудом через официальный сайт надзорного органа закончилась весьма неожиданно.
Я пытался выяснить мнение надзорного органа о том, что делать работодателю, если работник отказывается дать согласие в письменной форме на передачу его персональных данных третьему лицу, что является обязательным в соответствии со ст.88 Трудового кодекса РФ А случаи отказов становятся все чаще и чаще.
Вопрос касался передачи персональных данных в нескольких ситуациях:
1. Для направления в служебные командировки, связанные с выполнением работником трудовых обязанностей, на учебу и повышение квалификации, для проведения профилактического медицинского осмотра работника, арендодателю для обеспечения прохода работника в арендуемые производственные и офисные помещения.  
2.  Организациям, которым работодатель, в соответствии с заключенными договорами, поручает обработку персональных данных работников в целях ведения кадрового и бухгалтерского учета, а также выполнения иных функций, возложенных на него законодательством.
3.  Трансграничной передачи компаниям за рубежом с целью реализации корпоративной политики кадрового учета и карьерного роста персонала международных и иностранных компаний, имеющих дочерние предприятия и организации, а также представительства в России.
Как это часто бывает при общении с госорганами, ответ я получил ровно один и совсем не на тот вопрос, который задавал: «Работодатель не вправе принуждать работника дать согласие на обработку персональных данных. Обработка персональных данных работника без согласия работника возможна только в случаях, предусмотренных в законе».
Так что же делать в этом случае, выяснить не удалось.
Вскоре в одном из наших проектов всплыла похожая проблема. Работодатель общается с некоторыми «сложными» работниками посредством почтовых отправлений, направляемых им на рабочий или домашний адрес. Работники считают, что почтовому оператору переданы персональные данные без их согласия. Роструду был задан вопрос: должен ли работодатель получать согласие работника в письменной форме на передачу его персональных данных оператору почтовой связи в целях доставки корреспонденции, если оператор имеет лицензию, и его деятельность регулируется Федеральным законом от 17.07.1999 № 176-ФЗ «О почтовой связи»?
Ответ был лаконичный, и, если честно, меня не просто удивил, а ошеломил: «Консультирование граждан по вопросам соблюдения законодательства о персональных данных не входит в компетенцию Роструда. Вам следует обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций». Ошеломил, потому что на сайте Роструда дано уже более полутора тысячи ответов на вопросы, касающиеся получения согласия работников на обработку, в том числе передачу, персональных данных.
Вторая причина удивления была вызвана тем, что в соответствии со ст.3 «Принципы защиты прав юридических лиц, индивидуальных предпринимателей при осуществлении государственного контроля (надзора), муниципального контроля» Федерального закона от 26.12.2008 № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», одним из основных принципов защиты прав юридических лиц при осуществлении государственного контроля является недопустимость проводимых в отношении одного юридического лица несколькими органами государственного контроля (надзора) проверок исполнения одних и тех же обязательных требований. В связи я попросил Роструд разъяснить, в компетенции какого надзорного органа находится проверка обязательных требований трудового законодательства, установленных статьей 88 Трудового кодекса РФ.
И вот ответ: Проверка требований, установленных статьей 88 ТК РФ, относится к компетенции Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. За нарушение положений статьи 88 ТК РФ работодатель может быть привлечен к ответственности в соответствии со ст. 5.39 КоАП РФ, ст. 13.11 КоАП РФ и ст. 13.14 КоАП РФ. Государственные инспекторы труда привлекать работодателя к ответственности, установленной вышеуказанными статьями, не вправе».
Осталось только выяснить, что по этому поводу думает Роскомнадзор, чем и придется заняться в ближайшее время.

18 сентября 2017 г.

Вебинар 21 сентября: Информация о гражданах в ИС госсектора: хранение, защита и восстановление

В органах государственной власти и местного самоуправления, государственных и муниципальных учреждениях и предприятиях, решающих самый широкий спектр задач оказания услуг гражданам, хранится и обрабатывается огромный объем сведений о них, очень часто критических с точки зрения их доступности, целостности и конфиденциальности. Причем каждый из элементов этой триады безопасности становится более значимым в зависимости от характера сведений, обрабатываемых в государственных информационных системах.
Так, например, внесение несанкционированных изменений в Единый государственный реестр недвижимости чревато для граждан утратой прав на собственность, нарушение доступности Реестра отмененных доверенностей открывает лазейку для мошеннических действий, а несанкционированный доступ в личный кабинет налогоплательщика на сайте ФНС создает угрозу налоговой тайне и неприкосновенности частной жизни.
Безусловно, сведения и доступ к ним при случайных или преднамеренных действиях, приводящих к их уничтожению или модификации, должны быть в кратчайшие сроки восстановлены. В соответствии с законодательством РФ в ряде случаев для этих целей необходимо использовать сертифицированные ФСТЭК России средства резервного копирования
Ситуация стала более острой в связи с принятием ряда законодательных актов, выдвигающих требования к обеспечению безопасности критических объектов информационной инфраструктуры, за невыполнение которых грозит ответственность вплоть до уголовной.
Вступающий в силу с 1 января 2018 года Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» устанавливает, что одной их четырех основных задач системы безопасности значимого объекта критической информационной инфраструктуры является восстановление его функционирования, обеспечиваемого, в том числе за счет создания и хранения резервных копий необходимой для этого информации.
С этой же даты уголовным деянием становится нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации, содержащейся в критической информационной инфраструктуре, информационных систем, информационно-телекоммуникационных сетей, относящихся к критической информационной инфраструктуре, либо правил доступа к ним, если оно повлекло причинение вреда критической информационной инфраструктуре Российской Федерации.
На вебинаре, организованном компанией Veeam, мы рассмотрим более детально эти и другие требования, меры по их выполнению и реализации на примере сертифицированного ФСТЭК России решения Veeam Backup & Replication (версия 9).
Вебинар начнется в 11:00 в четверг 21 сентября. Предварительная регистрация на вебинар.

31 июля 2017 г.

Кто может обрабатывать персональные данные пользователей социальных сетей

Роскомнадзор определил свою позицию по использованию общедоступных персональных данных пользователей социальных сетей, фактически запретив это другим компаниям, не дожидаясь судебного решения по этой проблеме. 
Эта история началась 31 января 2017 года, когда ООО «В КОНТАКТЕ» подало в Арбитражный суд города Москвы исковое заявление к ООО «ДАБЛ» (российское подразделение, использующее технологию скорринга Double Data) и АО «Национальное бюро кредитных историй» (НБКИ). Само заявление, к сожалению, не опубликовано, но из информации в открытых источниках можно сделать вывод, что социальная сеть оспаривала право использовать размещенную в ней информацию для оценки кредитоспособности пользователей сети с целью последующей продажи полученных результатов банкам и бюро кредитных историй. «ВКонтакте» обосновывало исковые требования нарушением его исключительных смежных прав на базу данных. Обоснование, на мой взгляд, более чем странное, поскольку ответчики пользовались не базой данных, а общедоступными публикациями в сети, на основании которых формировали свою базу данных, возможно, очень отличающуюся от базы, используемой социальной сетью. 
ООО «ДАБЛ» иск не признало, а вот НБКИ и социальная сеть заключили мировое соглашение (пока не опубликовано), заявив ходатайство о его утверждении судом. Суд дал время второму ответчику ознакомиться с ним, перенеся судебное заседание по рассмотрению иска на 15 августа. 
Цель иска, как мне кажется, вполне очевидна – сеть хочет монополизировать профилирование пользователей с целью извлечения прибыли (что и понятно, на создание, поддержку и развитие ее инфраструктуры затрачены и продолжают тратиться большие деньги), а многие другие, обладающие соответствующим инструментарием, также хотели бы заработать на этих больших данных, находящихся в открытом доступе. И судебный прецедент будет иметь большое значение для всего российского сегмента Интернета. 
И вот сегодня в «Известиях» появилась неожиданная публикация под заголовком «Роскомнадзор запретил сбор данных пользователей «ВКонтакте»». Авторы, ссылаясь на имеющееся в распоряжении редакции разъяснения Роскомнадзора, утверждают, что никто не вправе без согласия пользователя сети использовать выложенные им в открытый доступ персональные данные. Далее вынужден просто процитировать газету «В надзорном ведомстве рассказали, что по Федеральному закону «О персональных данных» допускается обработка персональных данных (ПД), доступ к которым предоставил сам их владелец. Но по ст. 6 того же закона обработка таких данных возможна только с согласия субъекта ПД. В соответствии с пунктом 5.12 пользовательского соглашения сети «ВКонтакте» пользователь дает согласие только на доступ к информации, которую он размещает на персональной странице, в том числе к своим персональным данным, пояснили в пресс-службе Роскомнадзора. Согласия на сбор, обработку и передачу третьим лицам пользователь не дает. В Роскомнадзоре пояснили, что при отсутствии волеизъявления гражданина его персональные данные не могут храниться, обрабатываться и передаваться». Конец цитаты. Сначала я просто не поверил своим глазам. Нет, все правильно, именно так и написано. 
Открываем закон. Упомянутая пресс-службой Роскомнадзора статья 6 закона «О персональных данных» содержит 11 оснований обработки персональных данных, первым из которых является наличие согласия субъекта. Остальные 10 случаев согласия не требуют. В контексте обсуждаемой проблемы нас интересует пункт 10 части 1 статьи 6 закона, где однозначно и недвусмысленно указано, что без согласия субъекта допускается обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе. То есть, если уж пользователь социальной сети разместил в общем доступе сведения о себе, ему придется смириться с тем, что все желающие будут ими пользоваться. Я, например, дал свои контакты в Фейсбуке и блоге и осознаю последствия этого – возможный спам и не запрошенные звонки по телефону. 
Хотелось бы также обратить внимание, что рассматриваемая статья закона не содержит ограничений по отдельным способам обработки персональных данных, и в это понятие входят и сбор, и хранение, и передача данных третьим лицам, и даже распространение, то есть раскрытие данных неопределенному кругу лиц, что пользователь соцсети уже и так сделал собственными руками. 
Публикацию в «Известиях» я назвал неожиданной по трем причинам. 
1. Надзорный орган заявляет свою позицию по вопросу, являющемуся предметом продолжающегося судебного спора, когда еще нет решения суда первой инстанции, не говоря уже о вступлении решения суда в законную силу, что может повлиять на позицию суда, внимательно относящегося к мнению уполномоченных органов исполнительной власти. 
2. Роскомнадзор много раз публично и письменно заявлял об отсутствии у него полномочий по трактовке закона, и он проверяет выполнение его требований на основании буквального понимая норм. Недаром ведомство довело до девственной чистоты страничку «Вопросы и ответы» на своем официальном портале «Персональные данные», удалив все ранее дававшиеся разъяснения. В публикации же идет речь именно о толковании, имеющем юридические последствия для участников правоотношений. Учитывая грядущее предоставление Роскомнадзору права требовать во внесудебном порядке прекращения обработки и уничтожения персональных данных, обработка которых, по мнению надзорного органа, незаконна, о чем я уже писал, ситуация становится весьма сложной. 
3. Надзорное ведомство ссылается в своем разъяснении на пользовательское соглашение социальной сети, не устанавливающее правоотношений между какими-то лицами, кроме соцсети и ее пользователями, и не имеющее значения для ООО «ДАБЛ» и НБКИ. 
Позиция Роскомнадзора фактически сводится к тому, что пользователь может разместить любые данные на общедоступных интернет-ресурсах, одновременно определив перечень допустимых действий с ними, а владелец этого ресурса автоматически получает право следить за соблюдением этого перечня в отношении любого своего пользователя, что фактически полностью перечеркивает нормы части 1 статьи 6 закона «О персональных данных» в части случаев обработки персональных данных без согласия субъекта. 
Кстати, вопросом выполнения норм статьи 8 закона о наличии письменного согласия субъекта на размещение его персональных данных в общедоступных источниках, которыми являются соцсети, почему-то никто не озадачился за 10 лет действия закона. А вопрос очень непростой. Может быть, поэтому и в тени до сих пор.

23 июня 2017 г.

«Законодательное регулирование всегда отстает и будет отставать от технологий»

Михаил Емельянников, управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры»
Источник: "КоммерсантЪ", № 111 (6105) от 23.06.2017, https://www.kommersant.ru/doc/3331543
О том, чем правоохранительные и законодательные органы отвечают на рост мирового рынка средств кибершпионажа, рассказал “Ъ” управляющий партнер агентства «Емельянников, Попова и партнеры» Михаил Емельянников.
— Рост числа киберугроз во многом способствовал появлению коммерческого рынка cyber threat intelligence. Что это за рынок и как он будет развиваться в ближайшие годы, в частности, в России?
— Начать надо с того, что само понятие cyber threat intelligence неустоявшееся и понимается в разных странах и разными людьми по-разному. В целом это большой по объему и быстрорастущий рынок средств кибератак, кибершпионажа, воздействия на массовое сознание и противодействия всем этим инструментам. Рост рынка неразрывно связан с растущим проникновением информатизации и интернета в повседневную жизнь, расширением их сфер применения и постоянно растущим числом пользователей.
Средствами cyber threat intelligence решаются задачи самых различных групп: правительств, бизнеса, криминала, гражданского общества, конечных пользователей и т. д. На сегодня можно выделить наиболее большие по объему и быстрорастущие сегменты этого рынка: средства атак на финансовые системы и их клиентов с целью хищения денежных средств и дестабилизации кредитных организаций в целях конкурентной борьбы; средства шпионажа для добывания политически ценной и коммерчески важной информации; средства воздействия на масс-сознание; средства воздействия на критически важные объекты — от терроризма до политического противостояния и конкурентной борьбы. С ростом интернета вещей будет расти и сегмент воздействия на него. Успешный опыт манипулирования гражданами в ходе «цветных» революций и выборов последних лет в разных странах позволяет сделать вывод о перспективности и этого сегмента. Соответственно, неизбежно будет расти и рынок средств защиты от таких воздействий.
Все эти тенденции будут характерны и для России, занимающей довольное заметное место в цифровом мире. Будут на российском рынке и свои особенности, характерные, впрочем, и для некоторых других стран, связанные с государственным регулированием интернета, его сегментированием в пределах национальных границ, суверенизацией российского сегмента, усилением контроля за действиями пользователей.
— Правоохранительные органы нередко привлекают к расследованию кибератак и подготовке технических экспертиз коммерческие компании. Это вызвано низкой квалификацией сотрудников органов или есть еще какие-то причины?
— Я не думаю, что квалификация сотрудников соответствующих госорганов низкая или недостаточная. В государственном сегменте уже есть и специалисты с высокими, рыночными зарплатами, работающие в области кибербезопасности и кибератак. Причины широкого привлечения специалистов коммерческих организаций, как мне кажется, в другом. Рынок cyber threat intelligence очень большой по объему и быстрорастущий, и госорганы просто физически не могут, да и не должны охватывать все его сегменты. Они в первую очередь решают государственные задачи, возложенные на них законодательством.
Кибервоздействие так или иначе очень часто связано с интересами бизнеса, поэтому коммерческие компании работают над гораздо более широким кругом задач, имея возможность узкой специализации и глубокого погружения в конкретные проблемы. Именно поэтому при решении специфических задач государственные органы обращаются в коммерческие организации за соответствующими инструментами и помощью, развивая параллельно компетенции в своих областях. Скажем, создание ГосСОПКА, FinCERT Банка России или войск информационных операций в вооруженных силах России — наглядное подтверждение такой тенденции. В концепцию создания этих структур изначально закладывалось их взаимодействие с аналогичными по задачам органами коммерческих структур.
— Известно ли вам о случаях ошибок в атрибуции кибератак, которые привели бы к серьезным последствиям, например, заключению под стражу невиновного?
— Нет, таких проверенных и надежных фактов я не знаю. Но тема атрибуции широко используется при обсуждении реальных и предполагаемых кибервоздействий на государственные системы и структуры, и очень часто на основании недоказанного источника атаки и сомнительных признаков ее территориального происхождения делаются далеко идущие политические выводы, которые затем активно используются в межгосударственных отношениях. Атрибуция в изначально анонимной сети интернет, где группировки хакеров, в которых объединены люди самых разных национальностей, живущие в разных странах, взаимодействующие через специальные инструменты проксирования, анонимизации, сокрытия информационного обмена, делают атрибуцию атаки в интернете крайне сложной, в большинстве случаев невыполнимой, и чаще всего атрибуция производится, исходя только из одного признака — кому это может быть выгодно.
— Совершенно ли российское законодательство с точки зрения противодействия кибератакам?
— Законодательное регулирование всегда отстает и будет отставать от технологий. С одной стороны, Уголовный кодекс содержит главу 28, предусматривающую ответственность за преступления в сфере компьютерной информации, в отдельные статьи выделено мошенничество с использованием платежных карт и в сфере компьютерной информации. С другой стороны, получить защиту у государственных институтов в случае хищения коммерческой тайны из информационной системы, например из базы данных, крайне сложно, поскольку закон «О коммерческой тайне» требует нанесения ограничительно грифа, полного наименования обладателя и его адреса на каждый материальный носитель такой информации. Реализовать это в информационной системе практически невозможно.
Практика правоприменения тоже пока не сильно сдерживает киберпреступников. Наказание для налетчиков на банк и хакеров, укравших ту же сумму через платежную или банковскую систему, на практике существенно разнятся. Много предстоит сделать для привлечения к судебной ответственности в случае атак на интернет вещей или объекты критической инфраструктуры. Не за горами автомобили без водителя или юридические компании с роботом-консультантом и неизбежные атаки и на них. Всем этим вызовам придется искать адекватную защиту, в том числе правовую.
Интервью взяла Мария Коломыченко