среда, 28 августа 2013 г.

Уловка обезличивания. Или ПДн не ПДн.

Относительно недавно свет увидел проект Ведомственного приказа  РКР по обезличиванию. Реакция на данный проект была сдержанная. Лишь несколько постов, суть которых, что документ «ниочем».
Действительно основной текст документа «унылая нудятина» о возможных методах обезличивания и их характеристиках, без конкретных рекомендаций.
Однако, этот проект просто бомба может подлить масла в огонь давнего спора «Можно ли обезличенные данные считать ПДн?». Данный проект создает предпосылки для вывода  обезличенных ПДн из под ФЗ №  152 «О персональных данных».
 
Хитрый план:
  1. Разобраться в терминологии
  2. Обосновать, что ПДн больше не ПДн (во всяком случае обезличенная часть).
  3. Обезличить по любой предложенной методике
  4. Profit. 
 Раздел 1. Терминология.
Давным давно  Ранее в приказе ФСТЭК ФСБ и Минкомсвязи по классификации ПДн было указано, что бывают обезличенные ПДн. Тогда это породило много споров, могут ли ПДн вообще быть обезличенными. Однако если сказали могут, значит могут. Все смирились и обсуждения затихли.
Время шло и в проекте РКН появилась довод, для обоснования, что после обезличивание ПДн  превращаются в «просто» данные.
 
В законе «О персональных данных» определено только действие - «обезличивание» с конечным результатом в виде «невозможности без использования дополнительной информации определить принадлежность ПДн конкретному субъекту».
Согласно определению ПДн это «любая информации, относящееся к … определенному или определяемому физическому лицу».
Таким образом если физ. лицо не определено и его нельзя определить то возможно это не ПДн? До выхода проекта РКН ссылки в официальных документах на подобную логику не было.
 
2. Обезличенные ПДн уже не ПДн?
И тут РКН выпускает свой проект. В котором в п. 3 (второй абзац) «Для этого обезличенные данные (НЕТ слова «персональные» примечание автора) должны обладать свойствами, сохраняющими основные характеристики обезличенных персональных данных.».
Можно сделать вывод, что по мнению РКН, после обезличивания ПДн становятся «просто» данными с заданными свойствами необходимыми для обработки.
Аналогичный вывод появляется и при прочтении п. 10 «Методы обезличивания должны обеспечивать требуемые свойства обезличенных данных  … и решать задачи обработки ПДн.».  
 
3. Методы обезличивания .
 
РКН предлагает 4 метода:
  1. Введение идентификаторов.
  2. Изменение состава или семантики.
  3. Декомпозиция.
  4. Перемешивание. 
Методы имеют свои плюсы и минусы, в том числе по возможностям противостоять атакам на «идентификацию» и «деобезличивание», но теоретически подойдет любой.
 
4. В чем выгода?
Учитывая, что «обезличенные ПДн» в терминологии 1119 Постановления Правительства фактически относятся к категории ИСПДн – И (иные, не относящиеся к ИСПДн – С, Б и О соответственно) УЗ для них будет составлять УЗ – 4 если в ИСПДн их менее 100.000 и УЗ-3 если более 100.000, а это 27 и 41 рекомендованные меры по защите ПДн.
Кроме этого принципиально решается вопрос о передаче «обезличенных ПДн» по открытым каналам связи. Если нет требований предусмотренных законодательством, значит нет СКЗИ «прошедших процедуру оценки соответствия». )).  
На форе этого мысль о выводе обезличенных ПДн в просто данные становится очень привлекательной.

среда, 14 августа 2013 г.

Видео наблюдение, биометрия и личная жизнь.

Видеонаблюдение фактически стало неотъемлемой частью нашей жизни. Однако, неверная организация видеонаблюдения, а также дальнейшее использование материалов может привести к негативным последствиям для оператора.
Для минимизации проблем с видеонаблюдением целесообразно выполнить ряд рекомендаций.
1.       Правильные цели, заявленные при организации видеонаблюдения. (Как ни странно они НЕ должны быть связаны с идентификацией).
2.       Обоснование законности обработки. (Создание условий, когда граждане, в том числе Ваши сотрудники, осведомлены о ведущемся видеонаблюдении).
3.       Правильное использование результатов видеонаблюдения.
4.       Важно помнить, что личная и частная жизнь, возможна даже в общественных местах (прямо под Вашей видеокамерой).
Теперь  подробности и предложения по решению типовых проблем.
1.       Правильные цели.
Цели НЕ должны быть связаны с идентификацией.
Данный пункт очень важен. Если цель связана с идентификацией, то Ваше видеонаблюдение превращается в Биометрическую ИСПДн и появляются сразу 2 проблемы.
1.        ИСПДн – Б (биометрическая ИСПДН) и как следствие требования по защите в рамках 21 приказа ФСТЭК РФ.
2. Необходимость получения «только письменного согласия» от всех, включая посетителей, что фактически невозможно. (Большинство организаций не подпадают под исключение предусмотренное ч. 2 ст. 11 ФЗ № 152 «О персональных данных» и единственным основанием для обработки становится письменное согласие).

Спор о том, является ли Фото или видео биометрией, особенно если они не соответствуют ГОСТу, не утихают много лет. Поставить точку до выхода официальных разъяснений невозможно, поэтому выскажу ИМХО кратко:
1.       ГОСТ  не может противоречить ФЗ. (В данном случае № 152 «О персональных данных»)
2.       Ст. 11 ФЗ № 152 «О персональных данных» определяет 3 обязательных признака биометрии:
a.       Физические и физиологические особенности. 
b.      Можно установить личность.
c.       Используется оператором для установления личности.
Пункты «а» и «b» присутствуют практически всегда, иначе, «зачем Вам видеонаблюдение?». 
На пункт «с» мы можем повлиять через внутренние документы.

Рекомендация
Для фиксации «правильных целей» обработки, можно издать приказ о внедрении системы видеонаблюдения, где определить цели ее создания и использования: для «обеспечения личной безопасности работников, …. и обеспечения сохранности имущества». Эти цели полностью соответствуют указанным в ч. 1 ст. 86 ТК РФ, что позволит использовать систему видеонаблюдения в том числе и в отношении работников. Кроме этого данные цели не предусматривают идентификацию (ее можно возложить на сотрудников «охраны» прибывших на место событий).

2.       Обоснование законности обработки.
После выхода из закона о Персональных данных в Гражданский кодекс обоснование законности обработки резко упрощается.
А) п. 1 ст. 152.1 ГК РФ предусматривает обработку изображения гражданина с согласия, однако нет категоричного требования о том, что согласие должно быть письменным. Таким образом, простой таблички «Ведется видео наблюдение» достаточно для получения согласия в форме конклюдентных действий (косвенно предусмотренных ч. 2 ст. 158 ГК «когда из поведения лица явствует его воля ...) Вошел под табличку – выразил свою волю.
Б) п. 2 указанной статьи предусматривает возможность осуществлять фото и видеозапись  вообще без согласия, если это ведется «в местах открытых для публичного посещения или на публичных мероприятиях». Однако даже в этом случае лучше иметь табличку с предупреждением.
Таким образом возможно уйти от невыполнимого требования о получении «письменного согласия», а также вести контроль прилегающей территории. 

Однако от сотрудников необходимо получить письменное согласие. Это целесообразно сделать, если Вы допускаете использование видеозаписи в качестве материалов при расследовании внутренних инцидентов. (В конфликтной ситуации лучше иметь письменное подтверждение согласия). Кроме этого данное требование обусловлено ст. 21 ТК РФ (Трудового кодекса), согласно которой сотрудник имеет право на: «полную достоверную информацию об условиях труда и требованиях охраны труда на рабочем месте». Очевидно, что наличие видеонаблюдения является важной составляющей условий труда.
Еще одним важным элементом видеонаблюдения является запрет на использование «скрытого видеонаблюдения». Само приобретение средств для негласного получения информации предусмотрено 138.1 УК РФ. Боле того полученные таким образом доказательства теряют свою юридическую силу ч. 2 ст. 55 ГПК РФ и не могут ложиться в основу судебного решения.

Рекомендация
Для уведомлении о видеонаблюдении необходимо:
  1. Повесить соответствующее предупреждение.
  2. От сотрудников получить письменное согласие. (Желательно с учетом требований ч. 4 ст. 9 ФЗ № 152 «О персональных данных»).  
  3. Не использовать «скрытое» наблюдение.

3.       Правильно использование результатов видеонаблюдения.
Учитывая, что на первом этапе было указано, что система видеонаблюдения не ставит целью идентификацию конкретных субъектов, использовать ее как самостоятельное доказательство будет сложно, хотя и без этого ссылка на видеозапись целесообразна, когда у Вас есть чем ее подтвердить (всегда могут быть сомнения в ее монтаже). Эффективным способом решения будет использование видеозаписи вместе с показаниями сотрудников попавших в «кадр» в период интересующих нас событий. Фраза Вашего сотрудника о том, что на видео узнаю себя, а еще сотрудника/коллегу/посетителя/ … позволит фактически использовать «показания» в качестве доказательства и при этом обеспечить наглядность событий. Указанный способ позволит избежать вопросов связанных с проведением «экспертизы» на предмет отсутствия монтажа и определения, кто вообще на видео изображен. 

Рекомендация
Не надейтесь на результаты  видеозаписи без увязки с другими доказательствами.

4.       Помните, что личная и частная жизнь возможна везде.
Заключительный пункт пересекается с предыдущим, но на нем следует заострить внимание.  Результаты видеозаписи опасно предавать огласке: передавать в СМИ, публиковать на сайте, без получения согласия (лучше письменного) со стороны «главного героя». 
Мысли о том, что частная или личная жизнь не возможна в общественных местах или в рабочем кабинете основана только на убеждении авторов и здравом смысле.  К сожалению этого недостаточно.
Лучше всего данную рекомендацию разъяснит Постановление Европейского суда по правам человека. "Пек против Соединенного Королевства "
п. 57 
Частная  жизнь  - это широкое понятие, не  подразумевающее    исключительного  определения.  Европейский  суд  уже  отмечал,  что    такие   элементы,  как  половая  принадлежность,  имя,  сексуальная    ориентация  и  половая жизнь являются важной частью  личной  жизни,  охраняемой статьей 8 Конвенции. Статья также предусматривает  право    на  личность и личное развитие, право на установление и продолжение    взаимоотношений  с  другими людьми и окружающим  миром,  также  она    включает   деятельность профессионального  и  делового  характера.    Однако  существует зона взаимоотношения человека с другими  людьми,  которая   может   включаться  в  понятие   "частная   жизнь"
Кроме самого определения интересна будет и суть событий:
1. "Заявитель" хотел зарезаться
( «…находился  в  состоянии  депрессии  вызванной личными  и  семейными  обстоятельствами.  20   августа  1995  г. в 23 часа 30 минут он шел один  по  Хай  Стрит  к перекрестку  в центре Бренвуда с кухонным ножом в руке и  попытался покончить   жизнь самоубийством,  перерезав  себе   запястья».)
2. Это зафиксировали на камеру видео наблюдения.
«оператор только  подал сигнал тревоги, когда заметил человека с ножом на перекрестке»
3. По сообщению оператора приехала полиция и спасла «заявителя».
 «Полиция была предупреждена оператором и прибыла на  место.  Полицейские  отобрали  нож  у заявителя,  предоставили  медицинскую  помощь  и  доставили  в полицейский участок.  Он  был  задержан  …. ему  была  оказана медицинская  помощь, после чего он был  отпущен  без  предъявления обвинения и доставлен полицейскими домой.»
4. О случившемся показали репортаж по ТВ.
«видеозапись  была  предоставлена   средствам массовой  информации для ее дальнейшего опубликования».
«Заявителя» даже попытались обезличить
    «Лицо заявителя было скрыто ... Однако такая маскировка была позднее признана недостаточной .... отчетливая прическа заявителя и его усы делали его узнаваемым для всех
«… Европейский суд счел,  что  опубликование Советом   указанной   видеозаписи представляет   собой   серьезное вмешательство в частную жизнь заявителя.»
5. Заявитель отсудил 11800 Евро за моральный вред. + 18075 евро в возмещение судебных расходов и издержек.

       Согласно мнению Европейского суда нарушение было именно в связи с показом по ТВ. Передача видеозаписи полиции не рассматривалось как нарушение частной и личной жизни.
Мнение суда по правам человека важны в связи с тем, что это последняя инстанция (туда тоже можно пойти жаловаться), а также в связи с ч. 4 ст. 15 Конституции РФ.
«Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора
Далее Конституция РФ в ч. 1 ст. 23 и ч. 1 ст. 24 в прямую запрещает: «сбор, хранение, использование и распространение информации о частной жизни лица без его согласия», а ст. 137 УК РФ разъясняет что будет если нарушить указанную тайну.

Рекомендация
        Используйте результаты видеонаблюдения только по прямому назначению - «обеспечения личной безопасности работников» и «обеспечения сохранности имущества». 
  Передача и опубликование материалов видеонаблюдения возможна только в предусмотренных Федеральными Законами случаях или с согласия субъекта.

П.С.
Знание – сила.

вторник, 6 августа 2013 г.

Штраф по «понятиям»

      Штраф за «не уведомление РКН» по ст. 19.7 КоАП РФ, является одним из наиболее популярных и при этом одним из наименее законных.
      За последние 3 дня вышли две замечательные статьи от «Гуру»: «Кто имеет право знать наши тайны?» http://emeliyannikov.blogspot.ru/2013/08/blog-post.html, а также «Правовой нигилизм нарастает» http://lukatsky.blogspot.ru/2013/08/blog-post_2.html. Если сложить выводы, то получается, что закон «анализируется» на эмоциях, а в тонкости способны погрузиться лишь немногие специалисты. Хочется добавить свои 5 копеек к теме разбора законодательства.
      В новостях РКН постоянно встречаются сообщения примерно следующего содержания: «Управлением Роскомнадзора по …. возбуждено дело об административном правонарушении по ст. 19.7 КоАП РФ в отношении …. который не представил в установленный срок … уведомление об обработке персональных данных» = штраф обычно 3000 рублей.
      Вот лишь один из примеров: В Приморском крае 19 июля 2013 года оштрафовано 11 юридических лиц (http://www.rsoc.ru/news/regions/news21016.htm?print=1).
      Возникает вопрос. Можно ли было избежать указанных штрафов? Ответ - Да.
Есть 2 варианта:
  1. Своевременно зарегистрироваться – (ничего нового или интересного в нем нет ).
  2. Обосновать незаконность привлечения к ответственности по ст. 19.7. КоАП РФ за «неуведомление».
Именно об этом варианте расскажу подробнее.
В чем состоит Хитрый план:
  1. Разобраться в законодательстве.
  2. Обосновать истечение сроков давности по привлечению к 19.7 КоАП РФ
  3. PROFIT от 3000 до 5000 рублей (Законный уход от ответственности по 19.7 КоАП РФ).
Итак, по порядку.
В КоАП РФ предусмотрена «давность привлечения к административной ответственности» ст. 4.5 КоАП РФ. Согласно п. 1 «Постановление по делу об административном правонарушении не может быть вынесено по истечении двух месяцев (по делу об административном правонарушении, рассматриваемому судьей, - по истечении трех месяцев) со дня совершения административного правонарушения…».
Таким образом, можно сделать вывод что срок «давности» по ст. 19.7 составляет 3 месяца (т.к. данная статья относится к компетенции судьи).
В п. 2 ст. 4.5 КоАП РФ сказано «При длящемся административном правонарушении сроки, предусмотренные частью 1 настоящей статьи, начинают исчисляться со дня обнаружения административного правонарушения».
Т.е. если «неуведомление» является длящимся правонарушением, то сроки давности начинаются с момента обнаружения РКН факта «неуведомления». Кажется, все логично, т.к. я не зарегистрировался как оператор к 1 января 2013 года (или 1 января 2008 года), то это длящееся правонарушение, ведь я все еще не зарегистрирован, и ФЗ не выполнен.
Однако у «юристов» своя логика и терминология:
В случае совершения административного правонарушения, выразившегося в форме бездействия, срок привлечения к административной ответственности исчисляется со дня, следующего за последним днем периода, предоставленного для исполнения соответствующей обязанности
«И контрольный в голову».
Невыполнение предусмотренной нормативным правовым актом обязанности к установленному в нем сроку не является длящимся административным правонарушением…
(п. 14 Постановления Пленума Верховного Суда РФ от 24.03.2005 г. №5 «О некоторых вопросах, возникающих у судов при применении Кодекса Российской Федерации об административных правонарушениях»). http://www.rg.ru/2005/04/19/administrativnye-razjasnenia-dok.html.
В переводе с «юридического» на русский. При НЕ выполнении требований (нарушение в форме бездействия), сроком совершения нарушения является последний день, когда нужно было выполнить указанное требование. Для 19.7 КоАП это 1 января 2008 и (или) 2013 годов соответственно.
Таким образом, можно сделать вывод, что все, кто не уведомил РКН до 1 января (любого года), могли быть привлечены к ответственности не позднее «марта».
Исключением является «письмо счастья» от РКН, где устанавливается новый срок для подачи уведомления. Например, «зарегистрируйтесь до …». В этом случае 3 месяца пойдут с указанной РКН даты. Тут уже можно и уведомление подать, учитывая, что штраф не снимает указанной обязанности.
P.S.
Почему ежемесячно, после «марта», продолжаются отчеты о наказаниях?
Вариантов - четыре:
  1. Никто (включая прокурора и судью) не читал пленум, и правовые выводы делают на «эмоциях» или по «понятиям».
  2. Читали все (или часть из указанных лиц), кроме оператора, привлекаемого к ответственности.
  3. Оператор тоже читал, но не смог дозвониться судье или прокурору со словами «Ваше решение будет гарантированно обжаловано» и «Чье именно мнение Вы не уважаете?». (Последнее для тех, кто считает, что ссылка на пленум это не аргумент).
  4. 3000-5000 рублей штрафа не являются основанием ехать в суд или посылать юрисконсульта.
  5. Услуги юриста, который съездит в суд, стоят больше 3000-5000 рублей.
P.P.S.
Нужно ли подавать уведомление в РКН – вопрос открытый.
Учебный центр ДПО «Информзащита» зарегистрирован в качестве оператора еще в 2009 году, а в 2010 прошел плановую проверку РКН :). 

вторник, 30 июля 2013 г.

Когда опасно получать согласие на обработку персональных данных?

О необходимости получать согласие, а также о том, когда без этого можно обойтись, написано много хороших и правильных статей.

Закон «О персональных данных» определяет согласие как один из способов обеспечения законности обработки. Это не единственный, но популярный и часто рекомендуемый способ. Остальные основания для обработки персональных данных описаны в статьях 6, 10 и 11 ФЗ «О персональных данных» и сведены мной в таблицу, которую выставляю для Вашего обозрения.


https://docs.google.com/file/d/0BxVDUMVucgx3SU1nd2o3b0ZJRUk/edit?usp=sharing
Но речь пойдет не об этом.
Существуют случаи, когда требовать согласие от субъекта опасно, т.к  это нарушает его права.
Подобное может случиться, когда Вы не можете отказать субъекту в обработке его персональных данных и (или) в предоставлении ему услуги. Именно так случилось с Астраханским «Областным наркологическим диспансером», врачи которого должны были провести осмотр «субъекта персональных данных» без всякого согласия на обработку (данная обязанность возложена на них законодательством и соответствующее основание предусмотрено в ФЗ «О Персональных данных»).
Как сказано в судебном решении  №2-2739/2012 от 13.08.2012,
«… в Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по <адрес> направлена жалоба, в которой указано, что для получения допуска к работе работодатель обязал ее пройти осмотр в Областном наркологическом диспансере, где ей предложили подписать согласие на обработку персональных данных, объяснив, что иначе ее не допустят на прием к врачу. Считает данные действия работников ОГУЗ «Наркологический диспансер» незаконными.»  
По указанной жалобе прокурор вынес предписание на устранение нарушений, которое главврач и пытался обжаловать в судебном порядке.
Итогом судебного разбирательства стал вывод о том, что права субъекта персональных данных нарушены, а главврач, организовавший получение согласия: разработку формы согласия, печать в бумажном виде, получение, хранение, а также зарплата соответствующему сотруднику, и потративший на это время и ресурсы «организации» должен «устранить допущенные нарушения».

Вывод прост: Незнание закона не освобождает от ответственности. Зато знание — запросто. 
«Станислав Ежи Лец». 


среда, 24 июля 2013 г.

Никто кроме ФСТЭК


Читая различные статьи о ПДн, часто встречаю слово "болото", законодательство в этой области все еще сырое и мутное. 
15 июля ФСТЭК России опубликовал информационное письмо № 240/22/2637, разъясняющее ряд важных вопросов связанных с ПДн, например, про «оценку эффективности» принятых мер по обеспечению безопасности  (п. 4 ч. 2 ст. 19 ФЗ № 152 «О ПДн») или разъяснение использования  понятий «информационная система» и «автоматизированная система»,  за что огромное им человеческое спасибо. Общая реакция сообщества положительная, даже «методологическим лидером» назвали. http://lukatsky.blogspot.ru/2013/07/17-21.html
Ясности стало больше, но вопросы еще остались, и их много.
После выхода 1119 Постановления Правительства ни один курс по ПДн не обходится без вопросов  об определении типа угроз безопасности и о перечне угроз.
Разъяснить это мог бы ФСТЭК, который как-то попытался соскочить. В п. 9 указанного выше письма ФСТЭК заявляет, что ФЗ № 152 «о ПДн» не предусматривает разработку ими «иных документов», в том числе по моделированию угроз безопасности ПДн.
Уважаемый регулятор не врет, но явно лукавит. У него есть все соответствующие полномочия.
Рекомендуя операторам определять тип угроз самостоятельно, ФСТЭК ссылается на п. 7 Постановления правительства № 1119. Указанный пункт в свою очередь вменяет в обязанность оператору учитывать НПА, разработанные ФОИВ, в рамках их полномочий, в исполнение ч. 5 ст. 19 ФЗ № 152 «О ПДн». И, если верить п. 1 ч.3 Положения № 1085 «о ФСТЭК», это как раз про них.
Рекомендации (именно методические рекомендации, не являющиеся строго обязательными) существенно упростили бы жизнь многим операторам. Ваше информативное письмо внесло немного ясности. Сделайте еще один шаг в сторону методического руководства.
Ждем и надеемся …

Дальше много буков цитаты из соответствующих пунктов.
Информационное письмо ФСТЭК России № 240/22/2637
п. 9.
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 издан во исполнение части 4 ст. 19 ФЗ №152-ФЗ «О персональных данных». Указанным Федеральным законом разработка ФСТЭК России иных документов по обеспечению безопасности персональных данных, в том числе по моделированию угроз безопасности персональных данных, не предусмотрена.            Определение типов угроз безопасности персональных данных осуществляется оператором в соответствии с п. 7 … утвержденных Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119

Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119
п. 7
Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных",  и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

ФЗ № 152 "О персональных данных".
ч. 5 ст. 19
Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, … в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, …

Положение о ФСТЭК Указ Президента Российской Федерации от 16 августа 2004 г. № 1085
п. 1
ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:
3) обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, … ;