Михаил Емельянников - Основные тенденции...
TRANSCRIPT
Основные тенденции государственного регулирования в
сфере персональныхданных и коммерческой тайны
ЕмельянниковМихаил Юрьевич,
Управляющий партнер
2
Внесенные измененияИзменения внесены пятнадцатью федеральными законами в период 2009-2013:• от 25.11.2009 N 266-ФЗ• от 27.12.2009 N 363-ФЗ • от 28.06.2010 N 123-ФЗ• от 27.07.2010 N 204-ФЗ • от 27.07.2010 N 227-ФЗ• от 29.11.2010 N 313-ФЗ • от 23.12.2010 N 359-ФЗ• от 04.06.2011 N 123-ФЗ • от 25.07.2011 N 261-ФЗ• от 05.04.2013 N 43-ФЗ • от 23.07.2013 N 205-ФЗ• от 21.12.2013 N 363-ФЗ• от 04.06.2014 N 142-ФЗ• от 21.07.2014 N 216-ФЗ• от 21.07.2014 N 242-ФЗ
3
Основания для изменений• Практика реализации 152-
ФЗ позволяет сделать вывод о недостижении цели его принятия и создает предпосылки для уточнения его отдельных положений.
• Попытки реализации требований, определенных НПА к ИСПДн, выявили целый ряд трудностей.
4
Основания для изменений
5
Основные изменения до 261-ФЗ
1. Дважды перенесен срок приведения ИСПДн в соответствие с законом.
2. Существенно упрощен порядок обработки персональных данных при реализации требований международных договоров и деятельности органов власти.
3. Выведено из области регулирования законом предоставление уполномоченными органами информации о деятельности судов.
6
4. Расширены основания обработки специальных категорий персональных данных (перепись населения, обязательное социальное страхование).
5. Предусмотрена собственноручная подпись субъекта в согласии на обработку персональных данных.
6. Порядок получения согласия на обработку в форме электронного документа поручено определить Правительству.
Основные изменения до 261-ФЗ
7
Принятие 261-ФЗ
1. Фактически принята новая редакция закона, содержащая как положительные нововведения для оператора, так и существенно осложняющие его деятельность.
2. Центральным понятием закона стала цель обработки персональных данных, а не согласие субъекта на обработку).
3. Принятие поправок привело к неопределенности с определением и реализацией требований по технической защите персональных данных.
4. Новая редакция потребовала принятия большого количества новых нормативных правовых актов.
8
Обоснование переноса сроков для ИСПДн
Пояснительная записка к законопроекту № 444277-5(внесен А.Г. Аксаковым)Попытки реализации требований, определенных нормативно-правовыми актами к ИСПДн, выявили целый ряд трудностей.Коммерческие организации отмечают существенное увеличение затрат на приведение информационных систем в соответствие с требованиями по безопасности персональных данных и, особенно, затрат на поддержание таких систем. Более того, выполнение органами государственной власти, органами местного самоуправления, бюджетными организациями требований к информационным системам персональных данных потребует резкого увеличения расходов из бюджетов всех уровней, что неосуществимо в условиях кризиса. Кроме того, сами расходы для приведения информационных систем в соответствие с требованиями закона не предусмотрены Федеральным законом «О федеральном бюджете на 2010 год и на плановый период 2011 и 2012 годов».Следствием указанных проблем, очевидно, станет массовое несоответствие хозяйствующих субъектов требованиям Федерального закона. При этом с начала 2011 года государственные регуляторы будут вправе осуществлять проверки исполнения требований закона в отношении информационных систем персональных данных и привлекать к ответственности нарушителей.
9
Закон о территориальности баз данных россиян
Федеральный закон от 21.07.2014 года № 242-ФЗ «О внесении изменений РФ в отдельные
законодательные акты в части уточнения порядка обработки персональных данных в
информационно-телекоммуникационных сетях»Статья 2Внести в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» следующие изменения: 1) ст.18 дополнить частью 5 следующего содержания:5. При сборе персональных данных, в том числе посредством ИТКС «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч.1 ст.6 настоящего ФЗ.
10
Когда ИСПДн можно будет хостить за рубежом
• для достижения целей, предусмотренных международным договором или законом, для осуществления и выполнения возложенных законодательством на оператора функций, полномочий и обязанностей;
• для осуществления правосудия, исполнения судебного акта;
• для исполнения полномочий ФОИВ, органов государственных внебюджетных фондов, исполнительных органов госвласти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении государственных и муниципальных услуг;
• для осуществления профессиональной деятельности журналиста и (или) законной деятельности СМИ, научной, литературной или иной творческой деятельности.
11
А в ETS-108, между прочим
Статья 12. Передача персональных данных через границы и национальное право2. Сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.
12
А в ETS-108, между прочим
Статья 25. ОговоркиВ отношении положений настоящей Конвенции не может быть сделано никаких оговорок.
Венская конвенция о праве международных договоровПринята 23 мая 1969 года«Оговорка» означает одностороннее заявление в любой формулировке и под любым наименованием, сделанное государством при подписании, ратификации, принятии или утверждении договора или присоединении к нему, посредством которого оно желает исключить или изменить юридическое действие определенных положений договора в их применении к данному государству.
13
Но есть нововведения и похуже…
Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений РФ в отдельные законодательные акты в части уточнения
порядка обработки персональных данных в информационно-телекоммуникационных сетях»
Статья 3Часть 3.1 ст.1 Федерального закона от 26.12.2008 № 294-ФЗ дополнить пунктами 19 и 20 следующего содержания:19) контроль за соблюдением требований в связи с распространением информации в информационно-телекоммуникационной сети «Интернет»;20) контроль и надзор за обработкой персональных данных.
14
Блокировка сайтов операторов персданных
Федеральный закон от 21.07.2014 № 242-ФЗ «О внесении изменений РФ в отдельные законодательные акты в части уточнения
порядка обработки персональных данных в информационно-телекоммуникационных сетях»
Статья 1Внести в Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» следующие изменения:1) дополнить статьей 15.5 «Порядок ограничения доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных».
15
Реестр нарушителей прав субъектов персональных данных
1. В целях ограничения доступа к информации в сети «Интернет», обрабатываемой с нарушением законодательства в области персданных, создается АИС «Реестр нарушителей прав субъектов персданных».2. В реестр нарушителей включаются:1) доменные имена и (или) указатели страниц сайтов, содержащих информацию, обрабатываемую с нарушением законодательства;2) сетевые адреса, позволяющие идентифицировать сайты в сети "Интернет";3) указание на вступивший в законную силу судебный акт;4) информация об устранении нарушения законодательства;5) дата направления операторам связи данных об информационном ресурсе для ограничения доступа к этому ресурсу.
16
Реестр нарушителей прав субъектов персональных данных
5. Основанием для включения в реестр нарушителей информации, указанной в части 2 настоящей статьи, является вступивший в законную силу судебный акт.6. Субъект персональных данных вправе обратиться в [Роскомнадзор] с заявлением о принятии мер по ограничению доступа к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, на основании вступившего в законную силу судебного акта. Форма указанного заявления утверждается [Роскомнадзором].
17
Исключение из реестра нарушителей
11. [Роскомнадзор] или привлеченный им оператор реестра нарушителей исключает из такого реестра доменное имя, указатель страницы сайта в сети «Интернет» или сетевой адрес, позволяющие идентифицировать сайт в сети «Интернет», на основании обращения владельца сайта в сети «Интернет», провайдера хостинга или оператора связи не позднее чем в течение 3 дней со дня такого обращения после принятия мер по устранению нарушения законодательства РФ в области персданных или на основании вступившего в законную силу решения суда об отмене ранее принятого судебного акта.
18
Закон о блогерах
Федеральный закон от 05.05.2014 № 97-ФЗ«О внесении изменений в Федеральный закон
«Об информации, информационных технологиях и о защите информации» и отдельные
законодательные акты РФ по вопросам упорядочения обмена информацией с
использованием информационно-телекоммуникационных сетей»»
Помимо «трехглавого закона, изменения внесены в КоАП (в том числе в виде новых составов административных правонарушений) и закон «О связи».
19
Я считал, что блогер - это
Физическое лицо, по своей воле и желанию периодически публикующее на специально созданном сайте или странице сайта в сети интернет (блоге) свое личное мнение по каким-либо вопросам и проблемам, предоставившее неограниченный доступ к блогу неопределенному кругу пользователей сети и возможность комментировать публикации.
20
Разберемся по понятиям
Блогер – владелец сайта и (или) страницы сайта в сети «Интернет», на которых размещается общедоступная информация и доступ к которым в течение суток составляет более 3000 пользователей сети.Владелец сайта в сети «Интернет» – лицо, самостоятельно и по своему усмотрению определяющее порядок использования сайта в сети «Интернет», в том числе порядок размещения информации на таком сайте.Сайт в сети «Интернет» – совокупность программ для ЭВМ и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством ИТКС «Интернет» по доменным именам и (или) по сетевым адресам, позволяющим идентифицировать сайты.
21
Итак
Блогер – владелец совокупности программ для ЭВМ и иной информации, содержащейся в информационной системе, доступ к которой обеспечивается посредством ИТКС «Интернет» по доменным именам и (или) по сетевым адресам –сайта и/или страницы сайта в сети «Интернет», на которых размещается общедоступная информация и доступ к которым в течение суток составляет более 3000 пользователей сети, самостоятельно и по своему усмотрению определяющий порядок использования сайта, в том числе порядок размещения информации на таком сайте.
Это не обязательно человек, написавший текст в блоге!
22
Владелец сайта моего блога, он же блогер по закону
Условия использованияДата последнего изменения: 14 апреля 2014 г. Добро пожаловать в Google!Благодарим за использование наших продуктов и служб (далее «Службы»). Они предоставляются компанией Google, зарегистрированной по следующему адресу: 1600 Amphitheatre Parkway, Mountain View, CA 94043, United States.Если вы будете нарушать данные условия и правила или если мы заподозрим вас в этом, мы можем приостановить или полностью закрыть вам доступ к Службам.Некоторые наши Службы позволяют вам загружать, добавлять, хранить, отправлять или получать содержание. При этом все права на интеллектуальную собственность в отношении этих материалов остаются у их владельца. Проще говоря, все, что было вашим, таковым и останется.Компания Google предоставляет вам личную, действующую во всем мире, безвозмездную, неисключительную и не подлежащую переуступке лицензию на использование ее программного обеспечения
23
А я – не блогер
Заявление автора1. Целью ведения этого блога является исключительно удовлетворение личных образовательных потребностей и интересов его читателей: приобретение знаний, умений, опыта деятельности и компетенции для профессионального развития в сфере информационной безопасности.
24
Разберемся по понятиям
Организатор распространения информации в сети «Интернет» – лицо, осуществляющее деятельность по обеспечению функционирования информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети «Интернет».
25
Организатор распространения информации
26
Организатор распространения информации
27
Закон не про Wi-Fi
Статья 44. Оказание услуг связи2. Правилами оказания услуг связи регламентируются взаимоотношения пользователей услугами связи и операторов связи при заключении и исполнении договора об оказании услуг связи, порядок идентификации пользователей услугами связи по передаче данных и предоставлению доступа к ИТКС «Интернет» и используемого ими оконечного оборудования, …
28
Постановление Правительства РФ от 10.09.2007 № 575«Об утверждении правил оказания телематических услуг»
17(1). В случае заключения срочного договора об оказании разовых телематических услуг связи в пунктах коллективного доступа оператор связи осуществляет идентификацию пользователей и используемого ими оконечного оборудования.Идентификация пользователя осуществляется оператором связи путем установления фамилии, имени, отчества (при наличии) пользователя, подтверждаемых документом, удостоверяющим личность, либо иным способом, обеспечивающим достоверное установление указанных сведений, в том числе с использованием федеральной государственной информационной системы ЕСИД, или достоверного установления абонентского номера, назначенного пользователю в соответствии с договором об оказании услуг подвижной радиотелефонной связи, заключенным с оператором связи.
29
Постановление Правительства РФ от 10.09.2007 № 575«Об утверждении правил оказания телематических услуг»
22(1). В договоре с абонентом-юридическим лицом либо индивидуальным предпринимателем, помимо сведений, указанных в пункте 22 настоящих Правил, предусматривается обязанность предоставления оператору связи юридическим лицом либо индивидуальным предпринимателем списка лиц, использующих его пользовательское (оконечное) оборудование, и устанавливается срок предоставления указанного списка, а также устанавливается, что указанный список должен быть заверен уполномоченным представителем юридического лица либо индивидуальным предпринимателем, содержать сведения о лицах, использующих его пользовательское (оконечное) оборудование (фамилия, имя, отчество (при наличии), место жительства, реквизиты основного документа, удостоверяющего личность), и обновляться не реже одного раза в квартал.
30
Изменения законодательства о коммерческой тайне
Федеральный закон от 12.03.2014 № 35-ФЗ «О внесении изменений в части первую, вторую и четвертую Гражданского кодекса Российской Федерации и отдельные законодательные акты
Российской Федерации»Статья 3Внести в часть четвертую Гражданского кодекса Российской Федерации следующие изменения: …Статья 4 Внести в Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне» следующие изменения: …Статья 71. Настоящий Федеральный закон вступает в силу с 1 октября 2014 года …
31
Информация, составляющая коммерческую тайну
ФЗ «О коммерческой тайне»Статья 3. Основные понятия, используемые в настоящем Федеральном законеИнформация, составляющая коммерческую тайну (секрет производства)Гражданский кодекс. Часть четвертаяСтатья 1465. Секрет производства (ноу-хау)
Информация, составляющая коммерческую тайну ≠
= секрет производства = = ноу-хау
32
Последствия пока непредсказуемы
Московский городской суд 22.12.2011 рассмотрел надзорную жалобу Г.А.Н. на решение Гагаринского районного суда города Москвы от 16.06.2011 и определение судебной коллегии по гражданским делам Московского городского суда от 26.09.2011 по гражданскому делу по иску Г.А.Н. к ООО «Независимая Транспортная Компания» о признании увольнения незаконным, восстановлении на работе, оплате времени вынужденного прогула. Перечень информации, составляющей коммерческую тайну, а также порядок обращения с такой информацией и ответственность за ее разглашение определены в ООО «Независимая Транспортная Компания» Положением «О коммерческой тайне», утвержденным генеральным директором.В материалах дела имеется лист ознакомления с инструкцией о порядке использования ресурсов сети Интернет, почтовой системы и Положения о коммерческой тайне, согласно которому Г.А.Н. был ознакомлен с Положением «О коммерческой тайне».
33
13.04.2011 Октябрьским районным судом г.Ижевска принято решение о восстановлении на работе, взыскании заработка за время вынужденного прогула и компенсации морального вреда Ф.С.А., ранее уволенного из ОАО «Удмуртнефть» на основании пп.«в» п.6 ч.1 ст.81 ТК РФ за однократное грубое нарушение трудовых обязанностей – разглашение коммерческой тайны, ставшей известной в связи с исполнением трудовых обязанностей.
Основание для принятого решения – выполнение работодателем требований о мерах по установлению режима коммерческой тайны не в полном объеме:
1. Отсутствие учета лиц, допущенных к ИКТ.2. Отсутствие грифа «Коммерческая тайна» на электронных
документах.Вывод: в отношении документов, разглашение содержания которых инкриминировано работодателем истцу, режим коммерческой тайны не установлен, разглашения не было.
Анализ полноты режимных мер
34
Постановление Арбитражного суда Волго-Вятского округа от 04.07.2008 по делу № А79-2693/2007 Окружной суд посчитал правомерным вывод предыдущих судов о непринятии ОАО «Уралвагонзавод» всех необходимых мер для охраны конфиденциальной информации. Установлено, что нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации является одной из таких мер. Доказательств нанесения соответствующей информации на чертежи своей продукции истец не представил.
Анализ полноты режимных мер
35
Анализ полноты режимных мер
Постановление Тринадцатого арбитражного суда от 27.02.2007 по делу № А56-39537/2006Отказано в защите исключительных прав ООО «А.Д.Д. Дистрибуция» на секреты производства при нарушении их ООО «АЕГЭ»:При вынесении обжалованных ненормативных актов Управлением ФАС не исследовался вопрос о соблюдении третьими лицами режима КТ, а именно, обеспечение сохранности конфиденциальности ИКТ, которое умышленно было преодолено Обществом. В оспоренном решении антимонопольного органа не нашло отражение то обстоятельство, что третьими лицами в целях охраны коммерческой тайны были соблюдены требования законодательства РФ. Такие документы отсутствуют и в материалах дела.
36
Принципиально новое в ФЗ «О коммерческой тайне»Статья 6.1. Права обладателя информации, составляющей коммерческую тайну (ИКТ)1. Права обладателя ИКТ возникают с момента установления им в отношении этой информации режима КТ.2. Обладатель ИКТ имеет право:1) устанавливать, изменять, отменять в письменной форме режим КТ в соответствии с настоящим ФЗ и гражданско-правовым договором;2) использовать ИКТ для собственных нужд в порядке, не противоречащем законодательству Российской Федерации;3) разрешать или запрещать доступ к ИКТ, определять порядок и условия доступа к этой информации;4) требовать от юридических лиц, физических лиц, получивших доступ к ИКТ, органов государственной власти, иных государственных органов, органов местного самоуправления, которым предоставлена ИКТ, соблюдения обязанностей по охране ее конфиденциальности;5) требовать от лиц, получивших доступ к ИКТ в результате действий, совершенных случайно или по ошибке, охраны конфиденциальности этой информации;6) защищать в установленном законом порядке свои права в случае разглашения, незаконного получения или незаконного использования третьими лицами ИКТ, в том числе требовать возмещения убытков, причиненных в связи с нарушением его прав.
37
Новые обязанности работника
Статья 11. Охрана конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений3. В целях охраны конфиденциальности информации, составляющей коммерческую тайну, работник обязан:2) не разглашать эту информацию, обладателями которой являются работодатель и его контрагенты, и без их согласия не использовать эту информацию в личных целях в течение всего срока действия режима коммерческой тайны, в том числе после прекращения действия трудового договора;3) возместить причиненные работодателю убытки, если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей;4) передать работодателю при прекращении или расторжении трудового договора материальные носители информации, имеющиеся в пользовании работника и содержащие информацию, составляющую коммерческую тайну, либо уничтожить такую информацию или удалить ее с этих материальных носителей под контролем работодателя.
38
Еще об убытках
Статья 11. Охрана конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений4. Работодатель вправе потребовать возмещения убытков, причиненных ему разглашением информации, составляющей коммерческую тайну, от лица, получившего доступ к этой информации в связи с исполнением трудовых обязанностей, но прекратившего трудовые отношения с работодателем, если эта информация разглашена в течение срока действия режима коммерческой тайны.5. Причиненные работником или прекратившим трудовые отношения с работодателем лицом убытки не возмещаются, если разглашение информации, составляющей коммерческую тайну, произошло вследствие несоблюдения работодателем мер по обеспечению режима коммерческой тайны, действий третьих лиц или непреодолимой силы.
39
Остановимся и задумаемся. Убытки?!
Гражданский кодекс, часть 1Статья 15. Возмещение убытков1. Лицо, право которого нарушено, может требовать полного возмещения причиненных ему убытков, если законом или договором не предусмотрено возмещение убытков в меньшем размере.2. Под убытками понимаются расходы, которые лицо, чье право нарушено, произвело или должно будет произвести для восстановления нарушенного права, утрата или повреждение его имущества (реальный ущерб), а также неполученные доходы, которые это лицо получило бы при обычных условиях гражданского оборота, если бы его право не было нарушено (упущенная выгода).Если лицо, нарушившее право, получило вследствие этого доходы, лицо, право которого нарушено, вправе требовать возмещения наряду с другими убытками упущенной выгоды в размере не меньшем, чем такие доходы.
40
А как же Трудовой кодекс?
Статья 238. Материальная ответственность работника за ущерб, причиненный работодателюРаботник обязан возместить работодателю причиненный ему прямой действительный ущерб. Неполученные доходы (упущенная выгода) взысканию с работника не подлежат.
41
Ответственность руководителя
Статья 11. Охрана конфиденциальности информации, составляющей коммерческую тайну, в рамках трудовых отношений7. Руководитель организации возмещает организации убытки, причиненные его виновными действиями в связи с нарушением законодательст-ва Российской Федерации о коммерческой тайне. При этом убытки определяются в соответствии с гражданским законодательством.
