28 декабря 2011 г.

2012 год: пожелания


Уважаемые читатели блога, партнеры, клиенты, заказчики и просто хорошие люди, с которыми мы работаем и надеемся поработать!
С Новым 2012 годом всех Вас!
Удачи, новых свершений и новых успехов в Новом году!
Надежных партнеров, добросовестных поставщиков, компетентных и опытных консультантов, грамотных и интересных преподавателей!
Доброжелательных и объективных проверяющих, понимающих и вникающих контролирующих, мудрых помогающих!
Здоровья для реализации всех планов и задумок!
И отличного настроения!
Искренне Ваши «Емельянников, Попова и партнеры»

22 декабря 2011 г.

Блуждая между Трудовым кодексом и ФЗ-152: сведения о состоянии здоровья работника

Наши думцы вот уже шесть лет не могут привести законодательство о персональных данных к единому знаменателю. Приняв в первом чтении 25 ноября далекого уже 2005 года проект федерального закона № 217355-4 «О внесении изменений в некоторые законодательные акты РФ в связи с принятием ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и ФЗ «О персональных данных», дальше парламентарии сдвинуться так и не смогли. 24 февраля 2009 года проект был в очередной раз направлен Президенту РФ, в комитеты и комиссию Госдумы, Правительство РФ, Верховный Суд РФ с просьбой представить новую порцию поправок к 30 апреля 2009 года. Давно прошел и этот срок, а воз и ныне…
Между тем, по оценке Роскомнадзора, вопросы обработки персональных данных так или иначе затрагивают 75 международных договоров, подписанных Россией, 13 кодексов, более 100 законов и 250 актов Правительства. И далеко не все вопросы в них трактуются одинаково.
И пока все эти документы не гармонизированы, плутать в их лабиринте приходится самим, анализируя, сопоставляя и пытаясь и закон не нарушить, и жизнь не остановить.
В последнее время я писал о противоречиях законодательства о персональных данных и особенностях его применения, связанных с отнесением сведений к биометрическим данным, созданием общедоступных справочников и размещением баз данных на интернет-сайтах, специфике реализации требований в сбытовых компаниях, интернет-магазинах и образовательных учреждениях.
В сегодняшнем посте – одна из двух проблем, с которой сталкиваются все без исключения операторы персональных данных (читай – предприятия и организации) страны: обработка сведений о состоянии здоровья работника. Вторая, о возможности получения и использования персональных данных близких родственников работника, будет рассмотрена в следующий раз.
Обрабатывать сведения о состоянии здоровья своих работников любой работодатель просто вынужден – без листков нетрудоспособности ни в одном кадровом органе и бухгалтерии не обойтись, а многие еще и вынуждены проводить медицинское освидетельствование персонала перед допуском их к выполнению работы – водителей, пилотов и много кого еще. Есть еще вопросы, связанные с ограничением трудоспособности, инвалидностью и т.п.
Как известно, сведения о состоянии здоровья относятся к специальной категории персональных данных, и их обработка возможна или с согласия субъекта в письменной форме, или в случаях, прямо предусмотренных ФЗ-152. Таких случаев совсем немного, и применительно к деятельности кадрового органа и бухгалтерии предприятия, они сводятся всего к двум:
·      обработка персональных данных в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
·      обработка персональных данных в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
А что по этому поводу гласит трудовое законодательство? Трудовой кодекс запрещает запрашивать информацию о состоянии здоровья работника, за исключением сведений, относящихся к вопросу о возможности выполнения работником трудовой функции. Т.е., если стоит вопрос о выполнении трудовых обязанностей или возможности невыхода на работу, – запрашивать сведения можно.
Что ж, уже что-то.
Из сопоставления норм ФЗ-152 и ТК РФ делаем вывод: сведения о состоянии здоровья, относящиеся к возможности выполнения трудовой функции (инвалидность, временная нетрудоспособность, беременность, соответствие параметров здоровья допустимым при решении вопроса о допуске к работе) работодатель обрабатывает законно, и никаких специальных, тем более письменных, согласий работников на это не нужно.
А вот если работодатель организует, например, диспансеризацию, и хочет познакомиться с ее результатами, сделать это без согласия работников никак нельзя. Исключения могут быть допущены только для работников, обязанных иметь санитарные книжки, – персонала медицинских и детских учреждений, продавцов и т.п. или требующих обязательного медицинского освидетельствования или осмотра – водителей, летного и судового состава, работников железнодорожного транспорта и т.д.
В остальных случаях ответственность за незаконную обработку специальных категорий персональных данных будет нести как работодатель, так и медицинское учреждение, предоставившее эти сведения. Пример – привлечение по представлению прокуратуры к ответственности по ст.13.14 КоАП Горно-Алтайским городским судом главврача районной больницы, который передал на предприятие сведения о диагнозах его работниц после прохождения ими медосмотра.

12 декабря 2011 г.

Биометрические персональные данные: что это?

После выхода информационного письма № 5 Ассоциации российских банков, в подготовке которого принимал участие и я, в ИБ-блогах Рунета активно обсуждаются отдельные его положения, в частности, у Игоря Бурцева, у Алексея Волкова, у Алексея Лукацкого, у BSAT devteam, наверное, где-то еще.
Не имея возможности участвовать в обсуждении проблем в каждом из этих мест, хотел бы высказать свою точку зрения только по одному из рассматриваемых в письме вопросов – относительно отнесения фотографических изображений к биометрическим персональным данным.
В письме АРБ разъясняется, что «фотография или видеозапись, на которой запечатлен человек, могут считаться биометрическими данными (является носителем биометрических ПДн) только в том случае, если они представлены в электронном виде и получены с применением специальных технологий и технических средств, позволяющих выполнять определенные требования, предъявляемые к форматам записи изображения (например, в случае фотографии установленные ГОСТ Р ИСО\ МЭК 19794-5-2006)».
При глубочайшем уважении к экспертам, подготовившим это разъяснение, и чиновникам, создавшим почву для него, категорически не могу с ним согласиться. И вот почему.
Основанием для такого критерия отнесения к биометрии, как соответствие ГОСТу, в письме № 5 называется ответ Роскомнадзора на запрос ЗАО «Коммерцбанк» от 05.04.2010 № ПК-05728.
Обратите внимание на дату письма. Направлено оно до принятия ФЗ-261 25.07.2011, который в новой редакции ФЗ-152 уточнил понятие биометрических персональных данных, регулируемых данным законом. Последние слова – ключевые. Мы сейчас говорим именно о тех данных, обработка которых регулируется ФЗ-152. А на самом деле их может быть гораздо больше, и признаки отнесения к ним надо искать совсем в других законах – о геномной и дактилоскопической регистрации, об основах здравоохранения, о въезде-выезде и т.д. В законе о персональных данных установлено три важнейших критерия, при соответствии которым обработку этой категории данных надо строить именно по ФЗ-152.
Биометрические персональные данные, обработка которых регулируется ФЗ-152, это данные:
·         которые характеризуют физиологические и биологические особенности человека;
·         на основе которых можно установить его личность;
·         которые используются оператором для установления личности субъекта персональных данных.
Все. Точка. Ни про какие ГОСТы в законе нет и не может быть ни слова. По одной простой причине. В соответствии с ФЗ «О техническом регулировании», стандарт – это документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов эксплуатации, хранения,  выполнения работ или оказания услуг. Стандарт также может содержать правила отбора образцов, требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.
И здесь ключевое слово – добровольного. Это подтверждено и в ст.12 данного закона: «Стандартизация осуществляется в соответствии с принципами добровольного применения документов в области стандартизации». Поэтому относить или не относить те или иные вопросы к регулируемым федеральным законом на основании положений ГОСТа никак нельзя.
Далее. Национальные стандарты могут использоваться полностью или частично в качестве основы для разработки проектов технических регламентов. Вот будет техрегламент по биометрическим данным – все станет просто.
Поэтому нет никаких оснований не считать биометрическими персданными фото в системе контроля управления доступом (СКУД), которые так модно стало ставить в офисах и на предприятиях. И СКУД, где есть фамилии работников, – это ИСПДн со всеми вытекающими. И если ФИО нет – тоже, но класса К4, поскольку произведено обезличивание персональных данных, и в системе невозможно определить принадлежность персональных данных конкретному субъекту без использования дополнительной информации.
Скан паспорта – тоже носитель биометрических персональных данных, обрабатываемых вне ИСПДН, но находящийся в систематизированном собрании банка, например, и поскольку существует четкий алгоритм поиска этих данных, их хранение или любая другая обработка подпадают под действие ФЗ-152. И фото в личном деле тоже, даже если его сделал фотограф, никогда не слышавший про ГОСТ, ИСО и МЭК. По той же причине – характеризует физиологические особенности, используется для идентификации и находится в систематизированном собрании.
Собственно, если посмотреть акты и предписания надзорных органов, именно это в них и пишется.
Можно затеять длинный спор про пропуска с фото (используются для идентификации, но находятся вне систематизированных хранилищ/картотек, непосредственно у работника), но это отдельная песня.
Так что я не стал бы обольщаться и откладывать проблему с фото в долгий ящик, надеясь на то, что все проверяющие согласны с позицией уважаемого профессионального сообщества. Особенно если это происходит не в банке, а на заводе или в турфирме, где заступиться за оператора, кроме суда, некому.
Мне кажется, в данном случае проще выполнить закон.

8 декабря 2011 г.

Как уберечь персональные данные: рецепты для энергосбыта

Все по классику, по графу Льву Николаевичу. Все семьи счастливы одинаково, каждая несчастная семья несчастлива по-своему. Как только начинаешь углубляться в проблемы реализации законодательства о персональных данных (ПДн) в конкретной области деятельности, всплывает масса нюансов  и противоречий. Есть свои особенности и в области энергосбыта.
О том, какие проблемы возникают на пути реализации законодательства о персональных данных у энергосбытовых компаний и как их можно решить, о последовательных шагах на пути достижения соответствия требованиям законодательства, об особенностях, связанных с наличием оснований на обработку ПДн определенных категорий субъектов, об обеспечении конфиденциальности персданных в компаниях отрасли, о проектировании и построении системы их защиты, решении проблемы "зоопарка" применяемых средств защиты и их совместимости и пр. – в новой статье на портале CNews.
Полностью статья «Защита персональных данных в организациях ТЭК» опубликована компанией «Код безопасности» здесь.

1 декабря 2011 г.

Коммерческая тайна: кругом-МАРШ!

Складывается впечатление, что область использования института коммерческой тайны в последнее время неуклонно сокращается, причем происходит это на государственном уровне. При этом нельзя сказать, что государство стремится к тайнам частного бизнеса, ограничивая права владельцев информации на отнесение сведений к категории коммерческих секретов. Никакой очевидной логики увидеть не удается, а факт остается фактом.
Началось это еще 1 января 2008 г., когда вступили в силу Четвертая часть Гражданского кодекса и новая редакция ФЗ «О коммерческой тайне».
Одним росчерком пера законодателей были введены три тождества:
  • Информация, составляющая коммерческую тайну = ноу-хау
  • Информация, составляющая коммерческую тайну = секрет производства (оба равенства – в ФЗ «О коммерческой тайне)
  • Секрет производства = ноу-хау (в 4-й части Гражданского кодекса).
Сделано это было с присущей нашим законодателям элегантностью и, одновременно, иезуитством.
В ФЗ «О коммерческой тайне» (98-ФЗ) используются две конструкции: в ст.1 - «в отношении информации, составляющей секрет производства (ноу-хау)» и в ст.3 «информация, составляющая коммерческую тайну (секрет производства)».
В 4-й части ГК РФ два равенства сокращены до одного в ст.ст.1225 и 1465: «секрет производства (ноу-хау)».
Из этих пассажей всякому, изучавшему арифметику Магницкого, формальную или математическую логику (что-нибудь одно на выбор), ясно, что:
Информация, составляющая коммерческую тайну (ИКТ) = секрет производства = ноу-хау.
Причем всем трем понятиям (зачем три?) и в ГК РФ, и в 98-ФЗ дается одно и тоже определение: «сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны».
А теперь вопрос: может ли иметь коммерческую тайну организация, не ведущая производственную деятельность? С одной стороны, очевидно, что да: информация-то любая, в том числе организационного и экономического характера.
А с другой стороны секрет производства все-таки.
На всякий случай, дабы в суде не закопали, обладатели исключительных прав на секреты свои перечни ИКТ почистили.
Дальше – больше. Раньше вопросы о допуске аукционеров к ИКТ решались просто.
Например, из Постановления Федерального арбитражного суда Уральского округа от 07.09.2000 г. по делу № Ф09-1246/2000-ГК (иск ОАО «СаСКо-стокс» к ОАО «Уралсвязьинформ» о предоставлении копий документов бухгалтерского учета): «В предоставлении информации, составляющей коммерческую тайну, есть ограничения. Следовательно, АО вправе не допускать своих акционеров к документам, которые составляют коммерческую тайну». Просто и ясно.
Но уже в 2006 г. сразу два арбитражных суда обязали раскрыть данные бухгалтерского учета владельцам пакетов, состоящих более чем из 25% акций, исходя из неограниченности права акционеров на доступ к информации, предусмотренной п.1 ст.91 и п.1 ст.89 закона «Об акционерных обществах».
Дело с бухгалтерской отчетностью законодатели довели до логического конца.
22 ноября этого года Дума приняла, а 29 ноября Совет Федерации одобрил и направил на подпись Президенту новую редакцию ФЗ «О бухгалтерском учете». В новой редакции из ст.10 бесследно исчезла часть 4, гласившая, что «содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности является коммерческой тайной. Лица, получившие доступ к информации, содержащейся в регистрах бухгалтерского учета и во внутренней бухгалтерской отчетности, обязаны хранить коммерческую тайну». Более, в ч.11 ст.13 появился новый императив, перечеркивающий всю предшествующую практику: «В отношении бухгалтерской (финансовой) отчетности не может быть установлен режим коммерческой тайны». Опять – просто и ясно.
Я обещал рецепты.
Их по поводу изложенного два.
Первый. Тем, у кого установлен режим коммерческой тайны – пересматривайте перечни ИКТ. Наличие в перечне неохраноспособной информации может явиться основанием для оспаривания его в суде, а в случае принятия такого решения – основанием для признания неправомерности установленного режима КТ в целом со всеми вытекающими последствиями.
А второй – после продолжения темы.

25 ноября 2011 г.

Про DLP, компьютерные расследования и не «бумажную» безопасность

Довольно интересная дискуссия про то, что делать, когда вы заботитесь о сохранности данных, а они все равно уходят. Чем поможет и поможет ли полиция, можно ли решать проблему сбора доказательств своими силами, и чем могут помочь технические средства, DLP - средства предотвращения утечек данных,,в частности.
Участники интересны каждый сам по себе, а вместе – особенно. В том числе и уникальностью события, когда они вместе.
Даже тем, кто считает все это блажью.
Если вы действительно заботитесь о безопасности, а не только о достижении соответствия чему-нибудь и проверках надзорных органов, задуматься о том, что и как делать с инсайдерами, все равно придется. Назначение и контроль прав на электронные документы (IRM/RMS), выявление фактов, вызывающих подозрение на утечку и блокирование действий «на лету» (DLP), полный запрет на использование неконтролируемых устройств вывода или что-то еще? Каждый решает сам. Но почему бы не послушать тех, кто уже имеет сложившееся мнение и представление о возможном решении проблемы…


21 ноября 2011 г.

Секреты самой технологичной отрасли

Жизнь часто ломает сложившиеся по той или иной причине стереотипы. Так и со мной. Занимаясь много лет вопросами коммерческой тайны, я сталкивался в основном с проблемами крупных и очень крупных компаний, в основном – холдингов, которые разворачивали долгую, сложную и многоуровневую работу по защите своих секретов.
Постоянным было ощущение, что защита исключительных прав на секреты производства, технологии (ноу-хау) должна интересовать и совсем другой сегмент бизнеса - малый и средний, но высокотехнологичный. Часто нематериальные объекты интеллектуальной собственности являются главным активом этих компаний, не обладающих нефтяными месторождениями, зданиями и территориями, развитой инфраструктурой.
А какая отрасль у нас одна из самых технологичных? Пищевая и общественного питания! Не обеспечил выполнение тончайших нюансов процесса приготовления блюда – и оно безнадежно испорчено. Не знаешь секретов – и по одинаковому вроде бы рецепту у одного получается «Пепси-кола», а у другого – «Байкал». Недаром самый длительный известный мне период хранения коммерческих секретов – у компании «Кока-Кола», запершей рецепт (сироп Пембертона, Х7) в сейфе с двумя ключами еще в 1886 году и с тех пор успешно ограждающей его от чужого внимания.
Оказывается, современная Россия тоже идет этим путем.
Несколько лет назад мое внимание привлекла история борьбы за свои права на секреты производства анжеро-судженского кондитерского предприятия "Дарница", обнаружившего на прилавках города печенье и пирожные, очень похожие на их продукцию. Секрет разрешался просто. Рецептура ушла к конкурентам вместе с перешедшим к ним на работу технологом. По заявлению пищевиков в дело вступил местный ОБЭП, который присущими ему методами сумел убедить конкурентов отказаться от выпуска продукции по ворованным технологиям.
История показалась забавной, но не более того.
Недавно на одном из порталов по поддержке бизнеса увидел «Положение о неразглашении коммерческой тайны предприятия общепита» и типовой договор с работником о неразглашении этой самой тайны. Заинтересовался. Дальше – больше.
На Блоге Михайловича обнаружилась «Должностная аннотация повара 5 разряда». Учитывая столь высокий разряд, от повара требуется не только уметь готовить рыбное и мясное заливное, супы на прозрачных бульонах из рыбы и мяса, сельскохозяйственной птицы, пернатой дичи, знать органолептические способы оценки свойства кулинарной продукции, признаки недоброкачественности блюд и кулинарных изделий, методы устранения пороков в готовой кулинарной продукции, но и не давать интервью, не проводить встреч и переговоров, касающихся деятельности Работодателя без подготовительного разрешения Управления организации и не разглашать сведения, составляющие коммерческую ее тайну.
Оно и правильно. Зная такие тонкости, как способы приготовления волованов, крутонов и тарталеток, легко в ходе несанкционированного интервью увлечься и разгласить самые главные тайны работодателя - базы оптимального питания и методы сокращения утрат и сохранения питательной ценности пищевых товаров при их термической обработке.
Иногда на предприятиях пищепрома разыгрываются нешуточные битвы за контроль, и тогда в дело вновь вступает институт коммерческой тайны. Вот попытался один уз участников ООО «Трусовский хлебозавод» взять его «под себя», выкупив доли у других владельцев, ан нет. Другие его участники ее из состава-то и вывели, обосновав свое решение тем, что он распространял третьим лицам конфиденциальную информацию о деятельности Общества, а это предусмотрено как основание для исключения в ст. 9 ФЗ-14 «Об обществах с ограниченной ответственностью». Только проблема-то в том, что конфиденциальными общество посчитало сведения о составе его участников, размере их долей в уставном капитале и о местожительстве участников. А это сведения, содержащиеся в учредительных документах юридического лица и ЕГРЮЛе, и относить их к коммерческой тайне нельзя. Вот и пришлось по решению суда вернуть возмутителя спокойствия назад, в состав участников.
Пытаются пищевики, отнеся сведения к коммерческой тайне, оградить себя от излишнего внимания органов власти, интересующихся интимными подробностями организации производства. В целом, конечно, правильно, поскольку в соответствии с ФЗ-8 «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления», к информации о деятельности органов власти относятся в том числе и сведения, поступившие к ним от иных организаций и предприятий, а любое лицо, физическое или юридическое, может запросить, не обосновывая необходимость получения информации, любые сведения о деятельности государственных органов и органов местного самоуправления, доступ к которой не ограничен, в том числе, и поступившие извне. Поэтому фактически единственный способ оградить себя от разведки через органы власти - это отнести информацию к коммерческой тайне и ограничить к ней доступ.
Вот только избежать ее представления, пусть и с грифом, в соответствующие органы не удастся, если запрашиваемые ими сведения необходимы для осуществления возложенных на них функций.
Именно к такому выводу пришли арбитражные суды, обязавшие поделиться информацией двух производителей алкогольной продукции: «Псковпищепром» - с территориальным управлением Федеральной антимонопольной службы, заинтересовавшейся хозяйствующими субъектами, чья доля составляет более 10% от общего объема продаж, и «Баренц-Алко», попытавшемуся под предлогом коммерческой тайны не показывать налоговикам результаты маркетингового исследования, затраты на которое, по мнению производителей, снижали их налогооблагаемую базу. Не получилось. Раскрывать информацию никто не собирался, а вот представить ее в органы власти пришлось. Закон обязывает.
В продолжение темы предыдущего поста. Институт коммерческой тайны полезен не только enterprise-сегменту бизнеса, но и предприятиям SMB. Только применять его надо аккуратно и корректно, все время оглядываясь на закон.

13 ноября 2011 г.

Коммерческая тайна и персданные: парадоксы правосудия

По мере накопления практики применения российскими судами законодательства о коммерческой тайне можно уже делать кое-какие выводы о том, что и как реально нужно предпринять обладателю коммерческих секретов, если он планирует обращаться в суд для отстаивания своих прав в случае их нарушения.
В первую очередь надо отметить, что появляется практика защиты интересов бизнеса, для которого главным охраняемым ресурсом является клиентская база. Обилие объявлений типа «Примем на работу менеджера со своей клиентской базой» заставляет задуматься, откуда сейлз возьмет эту самую «свою» базу, и на каком основании он ее понесет новому работодателю. И что делать тому, у кого эту базу унесли.
Разберемся, например, с соотнесением категорий коммерческой тайны и персональных данных. После появления двух соответствующих законов и отнесения в 188-м Указе Президента этих сведений «конфиденциального характера» к разным категориям постоянно приходится слышать споры о том, в каком режиме охранять персональные данные, если уже введен режим коммерческой тайны, и можно ли вообще относить сведения о клиентах-физических лицах к секретам производства. Представляется, если персданные связаны с объемом и составом оказываемых им услуг, однозначно можно. Подтверждение тому можно почерпнуть в правоохранительной и судебной практике.
Так, в феврале 2008 г. мировой судья судебного участка № 4 Красногорского района Каменска-Уральского признал, что ведущий специалист страховой компании «Гамма», ранее работавшая в «Росгосстрахе», использовала сведения, составляющие коммерческую тайну ОАО «Росгосстрах» (клиентскую базу) без согласия владельца (ч. 2 ст. 183 УК), и, учитывая возраст (57 лет) и отсутствие судимостей, приговорил ее к 6 месяцам лишения свободы условно. Суд нисколько не сомневался в охраноспособности этих сведений, безусловно, являющихся одновременно и персональными данными, и встал на сторону пострадавшей от нарушения своих исключительных прав страховой компании.
Вообще, в секторах экономики, работающих с физическими лицами, где конкуренция весьма высока, практика привлечения к ответственности бывших работников, прихвативших с собой клиентскую базу, или «засланных казачков», сливающих сведения о клиентах конкурентам, становится все более и более обыденной.  Так, в мае того же 2008 года Пресненский суд г. Москвы отклонил иск о замене основания увольнения со ст. 81 п.6 (разглашение коммерческой и иной охраняемой законом тайны) на ст. 77 п. 3 (по собственному желанию) бывшей сотрудницы турфирмы «Интерсити сервис» (холдинг KPM Group) , которая в течение года отправляла конфиденциальную информацию в другую туристическую компанию со своего компьютера и с компьютеров других сотрудниц и была уличена службой безопасности.
В аналогичной ситуации главный экономист кредитного отдела саратовского филиала банка "Петрокоммерц" был уволен по ст. 81 Трудового кодекса РФ за «разглашение охраняемой законом коммерческой тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей», которое выразилось в передаче клиентской базы в конкурирующий банк, где ему была обещан оклад на 40% больше. Иск о незаконности увольнения судом Октябрьского района г.Саратова был отклонен. Причем на аргумент уволенного менеджера о возможности использования его компьютера другими лицами для его компрометации, суд сделал неожиданное предложение ему самому найти того человека, кто это сделал.
А вот арбитражные суды в такой же ситуации порой занимают прямо противоположную позицию. Интересно в этом отношении постановление Тринадцатого арбитражного суда по иску Управления ФАС и ЗАО «А.Д.Д.» к ООО «АЕГЭ», основанному бывшими менеджерами «А.Д.Д.». Суть дела совершенно аналогична – работники, уйдя из «А.Д.Д.», создали свою компанию, занимающуюся ровно тем же, что и бывший работодатель, предлагаю ту же продукцию клиентам «А.Д.Д.». В доказательство хищения коммерческих секретов были представлены логи, свидетельствующие об отправке работником с электронного адреса, расположенного на сервере ЗАО «А.Д.Д.», сообщений с прикрепленными файлами на иной внешний адрес, принадлежащий ему же. А суд решил, что истцы не представили доказательств того, что была передана именно информация, составляющая коммерческую тайну (ИКТ), а также и то, что отправку сообщений осуществил названный бывший работник, так как доступ к электронному адресу, названному судом «спорным» и расположенному на сервере ЗАО «А.Д.Д.», имели и иные лица, в частности, системный администратор и сотрудники службы безопасности ЗАО «А.Д.Д.». Более того, суд посчитал, что поскольку в иске речь шла о поставщиках и потребителях продукции ЗАО «А.Д.Д.», сведения о которых включены в ЕГРЮЛ, ООО «АЕГЭ» вполне могло и самостоятельно получить эту информацию из отрытых источников, и, в соответствии с ФЗ «О коммерческой тайне», она  считается полученной законным способом, несмотря на то, что ее содержание может совпадать с содержанием сведений, составляющих коммерческую тайну, обладателем которой является другое лицо.
В совершенно аналогичной ситуации Октябрьский районный суд Новосибирска в 2011 г. осудил бывших менеджеров ООО «Сибпластком-1» за незаконное использование сведений, составляющих коммерческую тайну (ч. 3 ст. 183 УК РФ), которые при увольнении скопировали клиентскую базу ритейлера (состоящую из юридических лиц) и открыли фирму подобного профиля, переманив часть деловых партнеров конкурента. Возможность создания такой базы подозреваемыми самостоятельно судом вовсе не рассматривалась.
Кстати, в упоминавшемся постановлении Тринадцатого арбитражного суда было еще и отменено предписание Управления ФАС о прекращении ООО «АЕГЭ» нарушения антимонопольного законодательства (в форме недобросовестной конкуренции). Суд отметил, что при вынесении решения Управлением ФАС, не исследовался вопрос о соблюдении третьими лицами режима коммерческой тайны, а именно, обеспечение сохранности конфиденциальности коммерческой тайны, а в оспоренном решении антимонопольного органа не нашло отражение то обстоятельство, что третьими лицами в целях охраны коммерческой тайны были соблюдены все требования законодательства РФ.
Арбитражные суды крайне строго подходят к полноте реализации предписанных законом режимных мер. Так, рассматривая иск ОАО «Уралвагонзавод» к конкурентам, воспользовавшимся его технологической документацией, арбитражный суд Волго-Вятского округа согласился с выводами предыдущих судов о непринятии истцом, пострадавшим от хищения чертежей своей продукции, всех необходимых мер для охраны конфиденциальности информации. В ходе слушаний было установлено, что «Уралвагонзавод» не смог представить доказательств нанесения грифа «Коммерческая тайна» на документы, содержащие ИКТ, что свидетельствует о неполноте принятия предусмотренных законом охранных мер. А ведь режим коммерческой тайны считается установленным после выполнения ее обладателем всех требований, прописанных в ч.1 ст.10 федерального закона. И нанесение ограничительного  грифа с указанием обладателя ИКТ и его места нахождения является таким же обязательным, как наличие перечня ИКТ или трудовых договоров с работниками, допущенными к секретам.
Из всего этого можно сделать вполне очевидные выводы, что при установлении и поддержании режима коммерческой тайны нет мелочей, а к расследованию фактов ее разглашения надо подходить крайне аккуратно, не допуская отклонений от предписанной законом процедуры и привлекая к этому правоохранительные органы.

9 ноября 2011 г.

Infosecurity: картинки с голландской выставки

2-3 ноября в игрушечно-сказочном средневековом Утрехте, четвертом по величине городе Нидерландов, прошла очередная выставка Infosecurity-2011. Утрехт – один из четырех городов  мира, где в этом году проходила Infosecurity, еще совсем недавно проводившаяся аж в 11 странах.
До этого неоднократно приходилось бывать на Infosecurity и в Лондоне, и в Москве, так что есть с чем сравнивать.
Конечно, это не Лондон. Но и совсем не Москва последних лет.
Огромный зал. Порядка 120 стендов (не считая участников традиционно примыкающих выставок Storage Expo и Tooling Event, с ними – больше 200). Огромные стенды у абсолютного большинства участников. Шестиметровые «скворечники», так распространенные на московских выставках, – скорее исключение, как и положено, оттеснены на окраины экспозиции. Народу – прорва. Это при том, что выставка – локальная, основной рабочий язык – голландский, а народ пришел именно на выставку, а не на деловую программу, – хотя и там залы полные и свободного места не найти, если не пришел заранее.
Много мест для переговоров, большие зоны для питания. Т.е. арендован огромный выставочный комплекс, и вся его площадь используется по полной.
Что еще не как у нас. И даже не как в Лондоне. Нашли единственный стенд с местами для проведения презентаций. На всех остальных (подчеркиваю – огромных) стендах, в лучшем случае – полноценные бары с недетскими напитками. Этот, например, функционировал на стенде Лаборатории Касперского. В худшем – кофе-машины (но это уже обязательно).
А бары и кофе вместо презентационных площадок – это не просто так. Это другая философия выставки. Не максимально широкое распространение сведений о своих продуктах и услугах, а серьезные, долгие переговоры в довольно неформальной обстановке. Продажи на выставке! Мы об этом даже не мечтаем.
Единственный участник из России – естественно, Лаборатория Касперского. Вновь, который раз, порадовался и погордился за Евгения и его международную команду. Огромный стенд в центре зала, с симулятором Феррари Формулы 1 в натуральную величину. Тем, кто «проехался» быстрее всех – в подарок бутылка Moёt&Chandon.
Ну, а теперь – по существу. Что волнует умы европейских специалистов по ИБ? Судя по экспозиции и деловой программе, приоритеты надо расставить следующим образом:
1.       Безопасность виртуализированных и облачных инфраструктур (чаще всего – именно вместе).
2.       Непрерывность бизнеса.
3.       Безопасность мобильного доступа к ресурсам, особенно в разрезе BYOD – «Принеси свой собственный дивайс в ИТ-инфраструктуру работодателя».
Интересен сам состав участников: гиганты (Microsoft, IBM, Cisco, HP, все – на огромных стендах), практически все серьезные антивирусники, несколько нишевых вендоров, все остальные – интеграторы, консалтеры, дистрибуторы. В целом производителей софта и железа, кроме гигантов и антивирусников, очень мало. Juniper, Zyxel, пара производителей межсетевых экранов «нового поколения», систем контентной фильтрации и, пожалуй, все.
Зато предлагаются практически законченные решения на продвигаемой продуктовой линейке. Распространенный слоган (встречали на нескольких стендах) – “Security by design”.
Что удивило – активно участвуют в выставке и двигают услуги по обучению ИБ местные университеты, а их в Голландии-Бельгии очень много, и они очень хорошие. Да и Утрехт – город-университет, студентов больше, чем в Амстердаме.
Еще непривычное и недостижимое пока для нас – масса решений, заточенных под SMB-сегмент.
Чуть подробнее – про одну неожиданную для такой выставки тему: управление ИТ сервисами и управляемые сервисы. Как не покажется кому-нибудь странным, это и есть безопасность, и присутсвие зоны Tooling Events, которая как раз была посвящена управлению, было очень уместным. Решений предлагалось много, и они составляли внушительную часть выставки.
Исходная посылка проста и очевидна – ИТ-инфрастуктура становится все сложнее и сложнее, все больше бизнес-процессов обеспечиваются исключительно ею. Значит, она должна быть легко управляемой, обеспечивающей быстрое восстановление и простое изменение под изменившийся бизнес-процесс. Отсюда – сервисный подход к ИТ и масса предложений, как это сделать. Практически все серьезные решения обязательно включают каталог сервисов, Help Desk, управление событиями и инцидентами, управление обновлениями и изменениями. А дальше – в зависимости от ваших потребностей и возможностей: управление данными, знаниями, проблемами, уровнем сервиса, активами, конфигурацией, запросами пользователей (с контролем выполнения), и вообще всем, чем пожелаете. Все это – в полном соответствии с ITIL и сертификацией на соответствие ей (десяти базовым процессам библиотеки). А безопасность – потому что это в первую очередь доступность и целостность, а уж потом конфиденциальность. А не наоборот, как часто у нас.
Разочаровала деловая программа. Два формата – Семинары и Анализ конкретных проектов (уж не знаю, как лучше обозвать по-русски, Case Study, короче). Один выступающий, до 45 мин. на семинар, до 30 – на проекты. Никаких вам панельных дискуссий, круглых столов, шума, крика, веселья и бурного обсуждения. Скучно. Хотя темы и презентации попадались интересные. Пугающая презентация «Социальные сети: добро пожаловать на темную сторону» (Social Media: Welcome to the Dark Side) про ужасы халявного общения запомнилась картинкой.
В общем, не клиенты мы уже. А товар. Потому как бесплатный сыр, ну и далее...
Много говорили про облака, примерно тоже, что у нас – прогрессивно, но опасно. Но не смотря на это, на стендах предлагалась масса решений именно для обеспечения безопасности облачных сервисов.
Ну, и конечно, активно обсуждалась удаленная работа, смартфоны как главный источник опасности и BYOD. Технологических семинаров было немного, про всякие там IPv.6 и SOC v.2. В чем вторая версия, не уловил: в центре SOC теперь SIEM-система. Кто бы сомневался?
В целом было очень интересно. Мне всегда казалось, что мы отстаем от Европы в трендах ИБ на пару лет. Интересно, станет ли управление сервисами и ITIL главной темой информационной безопасности в Москве через пару лет? Что-то я сомневаюсь…

31 октября 2011 г.

Конференцией по DLP навеянное

С удовольствием провел пятницу на 4-й международной конференции по DLP. То же «Инфопространство», что и на конференции по персданным, но как-будто другой мир. В ИБ стали появляться нестандартные, отлично организованные мероприятия. И люди вроде бы все те же, знакомых – больше половины зала. И тема понятная, и не новая (хотя бы потому, что конференция четвертая). Но ведь интересно!
Четыре белых кресла на сцене, внятный ведущий-модератор, первое же перпендикулярное выступление от IDC (а про DLP вообще не говорим, у нас – другое), затем – совсем неожиданная, редкой честности и глубины, с раскладываем ситуации по полочкам презентация Натальи Касперской, следом – Владимира Денежкина из «Трафики», совсем молодого вендора подобных решений, в котором вся почтительность к маститому конкуренту (а как еще иначе назвать?) сводились к обращению «Наталья Ивановна». И понеслось.
Какая-то совсем неформальная атмосфера, полное отсутствие традиционных для такого мероприятия оргпроблем. Шампанское и саксофон на десерт.
Не буду пересказывать, кто и чего сказал. После обеда было пять или шесть параллельных потоков, а побывал только на одном. Было бы несправедливо только об услышанном говорить.
А вот поделиться выводами из того, что услышал, готов. Наиболее концентрировано проблемы, сдерживающие внедрение DLP обозначила Н.Касперская, и сводятся они к достаточно очевидному: заказчик хочет быстро и дешево, да еще так, чтобы поставил и забыл. А получается исключительно дорого и долго, и системами надо постоянно заниматься. Из-за этого они плохо развиваются, медленно наращивается функциональность. Кроме этой глобальной проблемы по-прежнему нет переводчика между бизнесом, которому вроде бы такие решения нужны, и ИБ, которая их вдвигает. Объяснить, зачем, чаще всего не получается. Да еще по-прежнему вызывает сомнение сама законность применения средств контроля за действиями работников. Россию можно считать еще более-менее нейтральной страной между не слишком боящимися нарушения privacy азиатскими государствами и европейцами, категорически не готовыми спорить с профсоюзами, защищающими права работников.
Вся эта гремучая смесь сдерживает внедрение полезной, а иногда – и крайне необходимой системы.
Что по этому поводу думается. Научиться разговаривать с бизнесом все-таки придется. Именно из-за дороговизны, сложности и специфичности используемых методов защиты. Детскую болезнь ИБ лечить все равно надо.
Почему плохо продается? Потому что пытаются продавать софт, решение, продукт. Не получится. Продавать надо технологию, заточенную под конкретную проблему (или проблемы), и не с мануалом, а с дорожной картой. А для этого с бизнес-проблемами придется разбираться разработчикам или нанимать того, кто разбирается. И не просто нанимать, а еще и учитывать их мнение при разработке,
Внедренцы должны прийти, понять, для чего систему собираются использовать, и рассказать, как этой цели достичь. Например, защищать коммерческую тайну. Как конкретно? Какие конкретно процедуры запустить? Как организовать контроль? Можно ли срастить DLP с IAMS, IRM/RMS и СЭДО? Объяснят – купят. Нет – соответственно.
Надо определять роли и права, инвентаризовать ресурсы и выделить в них защищаемые сведения. Причем рассказать, как это сделать и при чем здесь DLP, должны внедренцы, не надеясь, что заказчик все сделает сам, а их дело - только поставить и запустить собственно систему.
Пока это не осилят, продаваться будет плохо. Потому что дорого, сложно и долго. Очень хочется надеяться, что осилят. У решения обозначилась очевидная ниша, причем, что очень важно – именно для бизнеса, а не для ИБ. Не для межсетевого экранирования или предотвращения вторжений, объяснить суть которых бизнесу практически невозможно. А для предотвращения ухода к конкуренту коммерчески ценной информации. Или поимки крота конкурента. Или уменьшения стоимости эксплуатации покупаемых ИТ-сервисов. Это все – про деньги И бизнесу понятно. Если объяснить.

28 октября 2011 г.

Кадровикам и юристам - ликбез по информационной безопасности

8 ноября в Учебном центре «Информзащита» – однодневный учебный курс «Информационная безопасность для специалиста кадровой службы».

Если Вы хотите разговаривать с кадровиками и юристами своего предприятия на одном языке – присылайте их учиться.

Если Вы кадровик или юрист и на Вас взвалили проблемы персональных данных, договоров с работниками в части коммерческой тайны, приходите учиться сами.

Если Вы ждете проверку Роскомнадзора и не знаете, как она проходит – найдите того, кто будет встречать гостей и пришлите его (ее) учиться.

Ну, и все кому интересна практика правоприменения ст.83 ТК в части увольнений работников за разглашение секретов – для Вас тоже будет много интересного.

Места в группе есть. Пока. Телефоны для записи: +7 (495) 980-23-45 доб.04.

27 октября 2011 г.

2-я Международная конференция «Защита персональных данных»

Сегодня открылась, состоялась и закрылась 2-я Международная конференция «Защита персональных данных». Полный рабочий день. Один зал, один поток.
16 стран-участниц. Более 250 заявившихся участников (начинали, похоже, чуть меньше, но примерно так). 22 выступления (из них 4 – от зарубежных стран, Украина, Польша, Эстония, Германия). Часовой «круглый стол» вопросов и ответов с участием представителей всех трех регуляторов на весьма высоком уровне (ВРИО и зам. начальника управления Роскомнадзора, начальники управлений ФСБ и ФСТЭК).
Порадовало: почти без пафоса (несколько приветствий из рабочего графика не вывели, и даже в них была информация), без отчетов о проделанной работе, расшаркивания делегаций. Интересная информация в выступлениях представителей госорганов. Особо порадовало: блестящее выступление Каи Пуссеп, заместителя генерального директора Инспекции по защите данных Республики Эстония. О нем подробнее – в конце.
Огорчило. Выступления спонсоров. Без изюминок, правда, почти без рекламы. Отсутствие выступлений не-госов, не-объединений и не-спонсоров, за исключением двух от ИГП РАН. Иллария Лаврентьевна говорила, как всегда интересно, но слабо верится, что ее услышат законодатели, к которым это обращалось. «Научный» доклад от того же ИГП про персданные и СОРМ навел жуткую тоску. Два выступления от представителей объединений операторов (Всероссийский союз страховщиков и Российская ассоциация маркетинговых услуг) были похожи на импровизации неофитов, узнавших про что-то новое и интересное. Особо огорчило: неспособность Роскомнадзора разъяснить не только положения закона, но и свою позицию.
Самое интересное.
Замминистра связи И.И.Массух сказал про две главные проблемы: (1) ослабление давления на операторов класса «школа-больница», необходимость защиты информации и у них, поиска баланса; (2) необходимость решения до конца года(!) проблемы обработки персональных данных с использованием облачных технологий. Здорово. Не будем запрещать, будем искать пути решения. Очень хочется надеяться, что так и будет.
Замначальника управления Минкомсвязи А.П.Гермогенов. Про сложности доработки закона, межведомственную группу с представителями 80 организаций и обсуждением 400 предложений. Проанализировал (системно, с анализом интересов оператора и субъекта) изменения закона. Похоже, Россия убедила Евросоюз в независимости Роскомнадзора и ратификационные грамоты у нас примут. Рассказал про перспективы. Будет четыре постановления Правительства: (1) про перечень мер для госов и муниципалов, (2) про уровни защищенности в зависимости от угроз, (3) про требования к защите, обеспечивающие заданные уровни защищенности и (4) про порядок согласования с ФСБ и ФСТЭК предложений объединений операторов по дополнительным угрозам.
ФСБ и ФСТЭК определят состав и содержание защитных мер, а Роскомнадзор – перечень адекватных стран.
Также сказал про облачные сервисы и необходимость регулирования отношений при их предоставлении (кто оператор, как соотносится ответственность поставщика и потребителя облачных услуг, кто несет ответственность за неправомерную обработку персданных, в том числе – за передачу их за рубеж).
Подчеркнул важность исследований по рискам и разработки механизмов оценки ущерба при инцидентах с персданными.
Сказал про необходимость международного сотрудничества по предотвращению распространения незаконно полученных персданых (про пресечение всяких там RusLeaks и  Zhiltsy, мигрирующих из ru в com, net и далее много и правильно говорил и Р.В.Шередин), про критерии оценки защищенности за рубежом при трансграничной передаче.
Начальник Управления ФСБ О.А.Залунин подчеркнул, что ФСБ будет проверять только госы до делегирования полномочий Правительством. Все новые документы должны появиться к середине 2012 года. Главный принцип их разработки – максимальная преемственность по отношению к существующим (ПП-781 и П-58, в частности). Все, что сделано операторами, надо сохранить. До выхода новых действуют все ранее принятые НПА (ПП-781, П-78, два документа ФСБ).
Три главных недостатка, выявляемых при проверках ФСБ:
1.       Несоответствие используемых классов СКЗИ определенным в модели нарушителя (в сторону снижения, естественно).
2.       Истечение сроков действия сертификатов ФСБ.
3.       Отличие используемых версий СКЗИ от тех, которые проходили сертификацию.
Особо остановился на низкой квалификации персонала из-за высокой текучести кадров (видимо, в госах).
В целом, по мнению ФСБ, ситуация с использованием СКЗИ стала лучше, а через год будет совсем хорошей.
Интересные особенности украинского законодательства про ПДн отметил В.Ф.Козак, замглавы Госслужбы по вопросам защиты ПДн Украины, но нам это как-то фиолетово, поэтому опущу. Может быть, как-нибудь позже.
А.П.Курило из ГУБЗИ Банка России, как всегда, системно, разобрал ситуацию по косточкам. Отметил мировой тренд – операторы все делают по защите сознательно и сами, а главное в обеспечении безопасности – правильная организация аудита. В России все отраслевые требования и методики контроля должны удовлетворять регуляторов. Похоже, меняется позиция ЦБ относительно лицензий по ТЗКИ, аттестации и сертификации. Появился новый подход: движение в сторону комфортных требований. Про СТО БР – мнение регуляторов запрошено, ЦБ ждет ответов, пока все, о чем договаривались раньше (письмо шестерых) в силе.
Интересно. Будем наблюдать за развитием событий.
Борис Рейбах, адвокат из Германии, назвал Россию неадекватной и обидел Роскомнадзор. Потом быстро стушевался и ответил «Абсолютно!» на филиппику Ю.С.Забудько.
Из спонсоров. Самый интересный доклад был у С.В.Вихорева из ЭЛВИС-Плюс про аутсорсинг обработки, но в конце Сергей Викторович озадачил фантастическим выводом об отсутствии необходимости согласия субъекта на передачу. Комментируя его выступление, Ю.С.Забудько сделала не менее интересное заявление о том, что обработчиков в ФЗ-152 нет, все, кто обрабатывает – операторы. Обсуждать этот тезис отказалась резко и категорично, подчеркнув, что не будет обсуждать его и на круглом столе. Остался в полном недоумении.
На круглом столе было грустно. Вопросы, практически все, вызывали у представителей Роскомнадзора затруднения, точка зрения по мере поступления допворосов из зала менялась на противоположную. Спросил про согласие субъекта на доступ к ПДн юрлица, назначенного ответственным за организацию обаработки, про статус персданных ответственного физлица при размещении их в общедоступном Реестре, про исключительно автоматизированную обработку персданных в ЖКХ (Мосэнергосбыт, Мосгортепло, Мосводоканал) не только без письменного согласия, но и без договора с субъектом-жильцом. Ответы не привожу. Бесполезно. Попытка уточнить встретила жесткий отпор: «Все, закончили». Как-то стало не по себе. Вроде не на ковер ходил, а на оплаченное мероприятие. За ответами.
В заключении – о хорошем. Об отличном. Позавидовал белой завистью жителям Эстонии, имеющим такого регулятора и уполномоченного. Кая Пуссеп: «Мы работаем с горящими глазами, и вдруг узнаем, что о нас знает всего 18% жителей страны. Позор. Нам было очень стыдно, мы пали духом и решили радикально поменять подход. В офисе инспекции запретили использовать термин «субъект». Это же люди, наши граждане! Они должны нам верить, идти к нам. Теперь мы не возбуждаем дела по жалобам. Мы защищаем конституционные права граждан. Нас мало, а дел много. Надо сосредоточиться и вмешиваться только там, где риски инцидентов выше. Оценка – по британской модели: тяжесть нарушения, уязвимость потерпевшего, степень и продолжительность вмешательства. В системе мер воздействия – наказания на последнем, пятом месте. Выше них: (1) разъяснение и информирование, (2) формирование правовых обычаев, (3) политические консультации [операторов], (4) досудебное разбирательство (омбудсмен). Публикация информации о долгах, в том числе – в подъездах домов о не внесших квартплату. При максимальном наказании 32 тысячи Евро за 2010 г. выписано два (!) штрафа. Остальное – профилактика. Между прочим, Билл Гейтс и его Excel Эстонии для персданных не годятся, т.к. нельзя сказать, кто, когда и как их обрабатывал. А для персданных нужны специальные решения. С логированием. Главное – добиться изменения отношения граждан и операторов к Инспекции (не враг, а компетентный помощник в решении проблем)».
Я слушал, конспектировал и млел. Давненько я не получал такого удовольствия от выступления про персданные. Разительный пример того, как ратификация одной и той же конвенции в разных странах может привести к радикально разным законам и практике их правоприменения.

10 октября 2011 г.

Зачем министру знать Трудовой кодекс и ФЗ-152?

По сообщению радиостанции «Голос России», «министр транспорта РФ Игорь Левитин поручил Росавиации сделать доступной для всех авиакомпаний базу данных командиров воздушных судов, в которой содержится информация об их обучении, переподготовке, количестве часов налета и так далее. Об этом глава Минтранса сообщил в понедельник на совещании, посвященном повышению безопасности полетов. При этом отдельно в базе будет выделен раздел о нарушениях, допущенных летчиками. «И если пилот провинился в одной авиакомпании, это будет сигналом руководителям других авиакомпаний очень серьезно подумать, прежде чем его взять», - сказал Левитин».
Правовой нигилизм наших чиновников, даже самых высокопоставленных, и презрение к законам своей же страны поразительны. Приказал - и пусть делают. А что там написано в законах – дело десятое.
Наверное, озвученное предложение министру кто-то подготовил. Проработал. А те, кто это делал, законов тоже не читали. А зачем? Это пусть коммерсанты заморачиваются. К ним там Роскомнадзор ходит. А не в госорганы. Правда, коммерческий Сбербанк в прошлом году вывесил список уволенных их банка за утрату доверия, а главный уполномоченный по защите прав субъектов скромно сделал вид, что ничего не было. Список повисел, выполнил, как заявили в Сбербанке, воспитательную функцию – и все тип-топ.
Я тоже считаю, что пьяный летчик, допущенный к управлению – преступление. Но, уж если мы хотим, чтобы законы выполняли, надо начинать их выполнять в государственных органах.
Для справки, тем, кто в Минтрансе готовил предложение про командиров судов.
Трудовой кодекс РФ. Статья 88. Передача персональных данных работника: «При передаче персональных данных работника работодатель должен соблюдать следующие требования … не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами».
Федеральный закон «О персональных данных». Статья 7. Конфиденциальность персональных данных: «Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».
Так что алгоритм действий законы предлагают совсем другой. СНАЧАЛА внесите изменение в закон (а право законодательной инициативы у министерства есть), а уж ПОТОМ поручайте Росавиации раскрыть базу командиров судов другим компаниям. А никак не наоборот.
Господа чиновники, читайте законы. Они не только для налогоплательщиков писаны.