Дорогие читатели! Представляем вашему вниманию 11-й номер журнала «ЛОГИСТИКА», где вы найдете актуальные материалы и статьи.
28 ноября в Москве в отеле «Золотое кольцо» прошел XI форум «Склады России: итоги года!».
18 ноября Президент Российского Союза химиков Виктор Иванов лично вручил директору «Агентства Маркет Гайд» и издателю журнала «ЛОГИСТИКА» Юлии Кисловой сертификат, подтверждающий членство агентства в Российском Союзе химиков.
1 марта 2013 с лёгкой руки Национальной Ассоциации Дистанционной Торговли начинает работу инициативная группа по разработке поправок в 152 ФЗ «О персональных данных». Вступить в инициативную группу предварительно изъявили желание представители Министерства РФ по связи и информатизации, Федерального агентства связи, ФСБ, ФСТЭК, Торгово-промышленной палаты РФ, Комитетов Госдумы по собственности, безопасности, профильного Комитета по конституционному законодательству и госстроительству, а также независимых ассоциаций и объединений. В настоящем виде закон оставляет вопросы: в этом убедились и участники конференции НАДТ по Персональным данным. В диалоге с органами власти некоторые вопросы участников конференции удалось прояснить.
Кейс 1. Служба доставки Boxberry: нужно ли быть оператором?
Boxberry – служба доставки товаров дистанционной торговли, работающая преимущественно с Интернет-магазинами. При выдаче заказов Boxberry самостоятельно принимает оплату у клиента. Заключая договор с Интернет-магазином, служба доставки и Интернет-магазин обязуются соблюдать условия защиты персональных данных. Оператор персональных данных – это сам Интернет-магазин. Boxberry же обрабатывает персональные данные согласно 152 ФЗ в целях исполнения условий договора.
В чём проблема? Многие компании, так же как и Boxberry, работают с персональными данными, не имея при этом статуса оператора персональных данных. Нет статуса – нет и многих обязанностей оператора (например, уведомления клиента). В то же время, служба доставки принимает платежи у населения. Другой федеральный закон - о противодействии легализации доходов – обязывает оператора при приёме платежа свыше 15 т.р. затребовать у клиента персональные данные, уведомив его о последствиях непредоставления данных.
Вопрос: остаётся ли компания в таком случае третьим лицом, исполняющим договор в отношении потребителя? Или она перенимает обязанности оператора данных?
Разбираемся.
Комментирует Алексей Калмыков, выпускающий редактор журнала «Персональные данные»:
Закон ФЗ 152 чётко определяет понятие «Оператор персональных данных». Оператор – это любой субъект, осуществляющий обработку персональных данных. Процедуру обработки персональных данных лицами, не являющимися операторами, нужно поэтому чётко прописывать в договорах. Если в агентском договоре указано, что компания действует по поручению оператора, она имеет право пользоваться персональными данными, которые ей этот оператор предоставляет.
Схема следующая: клиент заключает договор с оператором персональных данных. При этом для того, чтобы исполнить этот договор, оператор привлекает стороннюю компанию – например, почтового перевозчика. В этом случае перевозчик обрабатывает персональные данные клиента с целью осуществления договора. Этот пункт предусмотрен в Стать 6 «Закона в персональных данных». В этой же статьи, в частности, сказано, что в целях исполнения другого федерального закона согласие субъекта на сбор его персональных данных не требуется.
Кейс 2. Почта России: слишком много отделений
Рассказывает Сергей Кирюшин, зам. ген. директора почта России:
Статья 19 ФЗ №152-ФЗ "О персональных данных" предусматривает обязательную сертификацию оборудования и программного обеспечения, используемого при сборе персональных данных*. (*«Правительство Российской Федерации устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»).
В чём проблема? У Почты России 90 филиалов и 42.000 отделений по России. Ждать, пока уполномоченный ФСТЭК подготовит и выдаст сертификат на очередную версию Windows, для ПР просто нереально. Сертифицированная ФСТЭК версия Windows при этом обходится, естественно, дороже. Государство же, установив требования законодательного уровня, не выделило средств для их реализации.
Требования закона расходятся с жизнью. Возникает вопрос: как, в какие сроки и на какие средства сертифицировать программное обеспечение?
Разбираемся.
Комментирует Александр Иванов, НАДТ:
152 ФЗ «О персональных данных» был принят в рамках европейской интеграции, поэтому сам по себе факт принятия закона отвечает европейским требованиям. Мы следуем дорожной карте ЕС-Россия. Кроме того, персональные данные граждан защищать нужно – это очевидно.
Однако в силу того, что закон принимался в спешке, он имеет ряд недоработок. Он не предусматривает, например, в отличие от общемировой практики, наличие «Робинсон-листа» - списка обязательной отписки. Он не до конца прописывает понятийный аппарат: напр., различия в персональных данных по степени приватности (идентификационные или чувствительные). Закон фактически не регулирует отношения в Интернете, в смс-общении и т.д. В конце концов, как регулировать работу Мосгордсправки, социальных сетей, создавать телефонные справочники?
Т.е. принятие 152 ФЗ во многом оторвано от существующих реалий, и эта проблема затронула не только Почту России. Однако в случае с Почтой России следовать букве закона на самом деле невозможно в силу охвата организации. При обсуждении закона поэтому звучало предложение сделать для Почты России исключение для выполнения 152 ФЗ, но эта мысль так и не была доведена до конца.
Комментирует Андрей Филинов, IBM:
Специалистам очевидно, что сертификация программного обеспечения через ФСТЭК – это на самом деле избыточная процедура. Она не только чрезмерно затратна для предпринимателей, но не окупается также и для самой ФСТЭК. Программное обеспечение Microsoft уже само по себе сертифицировано. Зачем сертифицировать его ещё раз – вопрос.
Кейс 3. Компания по секретарским услугам: если персональные данные не сохранять?
Рассказывает Александр Оводов, директор ООО "ИТ Энигма Уфа":
Поделюсь историей своего клиента – небольшой компании, оказывающей секретарские услуги. Внеплановая проверка прокуратуры по защищенности персональных данных привела компанию к судебному процессу.
В чём проблема: при внеплановой проверке прокуратура обвинила компанию в передаче данных третьему лицу, а также отсутствии необходимого оборудования для обработки персональных данных. При подаче иска компанию обвинили в отсутствии лицензии на деятельность по технической защите информации. При этом у компании не было даже базы данных: все данные оперативно обрабатывались и сразу же уничтожались.
Спрашивается: какие данные необходимо защищать? Кто имеет право проводить проверку? Кто определяет, подвергаются ли клиентские данные угрозе?
Разбираемся.
Комментирует Александр Бодров, Управление 8 Центра защиты информации и специальной связи ФСБ:
В описанном случае проверка проведена не вполне корректно. Её могут проводить только ФСТЭК и ФСБ. Специалисты прокуратуры никогда не привлекаются в качестве экспертов. Да, прокуратура действительно принимает решения по выполнению ФЗ, но она не может своими силами оценить защищенность системы в части защиты данных.
Что же касается того, какие персональные данные должны защищаться, ответ прост. 152 ФЗ гласит, что защищаться должны любые персональные данные, без каких-либо разграничений.
Разбираемся.
Комментирует Елена Торбенко, ФСТЭК
Согласно 152 ФЗ, оператор персональных данных должен разработать модель угроз, а организация, проводящая работу по защите информации, должна иметь лицензию. Относительно того, какие данные защищать и что считать базой данных, всё однозначно. Защите подвержены любые персональные данные, а защищать их нужно при обработке – т.е. в любой момент существования базы данных. Для этого персональные данные необязательно сохранять – достаточно их просто обрабатывать.
Сейчас каждый оператор сам отвечает за обработку и защиту данных. Оператор сам оценивает уровень угроз, защищённости, в связи с этим сам решает о принимаемых мерах. У многих операторов это вызывает вопросы, что, кстати, интересно. При принятии этого закон операторы сначала боролись за самостоятельность, а теперь, кажется, борются за несамостоятельность в принятии решений.
На практике это значит: устанавливая новый сервер и т.д., оператор должен сам определить, появились ли новые угрозы и нужно ли принимать новые меры. В помощь этому решению ФСТЭК разместил на своём сайте базовую модель угроз, методику рассмотрения актуальных угроз и другие базовые документы. Методики оценки уровня угроз при этом нет и не будет – её должен оценивать сам оператор. Мы, конечно, понимаем, что четвёртый уровень угроз для ПД своей деятельности присвоят, может быть, лишь 5% операторов – хотя бы из экономических соображений. Но с оценкой оператора никогда не будет никто спорить.
Комментирует Игорь Милашевский, Минкомсвязи РФ:
То, что оператор сам определяет степень угрозы безопасности данных в своей компании, соответствует международной практике. Закон разрабатывался в связи с ратификацией «Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и учёл международные стандарты.
Кейс 4. English First: как собирать персональные данные?
Рассказывает Александр Гайкалов, Российская ассоциация маркетинговых услуг:
Недавнее разбирательство компании English First уже вошло в историю. По жалобе одного из клиентов школа английского языка была оштрафована Федеральной антимонопольной службой за несоблюдение закона о рекламе, т.к. настойчиво продолжала слать рассылку незаинтересованному клиенту.
В чём проблема? Сообщество операторов персональных данных усмотрело в кейсе English First прецедент. Форма согласия на сайте English First не позволяла убедиться, что именно этот гражданин оставил своё согласие – утверждает ФАС.
Спрашивается: каких персональных данных достаточно для идентификации человека? Можно ли обезличить персональные данные?
Комментирует Михаил Яценко, исполнительный директор НАДТ:
«Закон о персональных данных» предусматривает, что данные, полученные от субъекта, должны быть достаточны. Школа English First как раз собирала тот минимум, который позволял им решать свои задачи: т.е. имя, телефон и электронная почта. Конечно, удостовериться, что данные достоверны и не принадлежат другому субъекту, на самом деле невозможно. Это может быть просто набор цифр и любой электронный адрес.
Поэтому здесь приходится балансировать между достаточностью персональных данных и безопасностью субъекта. Соблюсти предписание ФАС – значит собрать с клиента больше данных, чем нужно, т.е. пойти против прямого указания 152 ФЗ о неизбыточости собираемых данных. Правоприменительная практика подчас зависит от настроения проверяющего…
Комментирует Валентин Коробков, директор московского офиса Subscribe:
Персональные данные, конечно, имеют градацию. Одно дело, если оператор записывает лишь имя, телефон и электронную почту – это, так сказать, первая ступень. Более прозрачными и полными данные становятся, если сюда прибавляется место жительства, адрес, дата рождения, паспортные данные. Апогей сбора персональных данных – это запросить скан паспорта. Хотя в реальной жизни копии наших паспортов вы совершенно свободно оставляем где угодно и гуляют они по чьим угодно рукам, в Интернете не каждый клиент добровольно оставит скан своего паспорта. Вообще говоря, этого количества персональных данных вполне достаточно, чтобы через какой-нибудь неблагонадёжный банк оформить на клиента кредит либо зарегистрировать фирму, поэтому осторожность вполне объяснима.
152 ФЗ, однако, и вправду оставляет множество вопросов. Как доказать, что предоставленные данные принадлежат тому лицу, кто их сообщил? Может ли клиент оставлять данные родственников? Как поступать в случае доставки за границу – вводить ли в обязательном порядке запрос о скане паспорта? Эти вопросы, на мой взгляд, до сих пор подлежат обсуждению.
Дарья Бобровская
ГК «Урал-Пресс»