17 декабря 2012 г.

Согласие как продукт при полном непротивлении сторон. Роскомнадзор: разъяснения, которые ждали

В пятницу произошло не очень заметное, но, как мне кажется, очень важное событие. На сайте Роскомнадзора опубликована позиция уполномоченного и одновременно надзорного органа по вопросам обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве. Важное, потому что регулятор фактически впервые предложил создать документ по весьма модной, но на практике редко используемой схеме частно-государственного партнерства. В роли участников, представляющих негосударственную сторону, выступили специалисты, много и активно занимающиеся проблематикой персональных данных и, что здесь главное, делящиеся своими мыслями в своих блогах – Алексей Лукацкий, Алексей Волков, Александр Токаренко и ваш покорный слуга (Михаил Емельянников). Схема работы серьезно отличается от краудсорсинга, который при подготовке последних документов активно используется ФСБ и особенно ФСТЭК. Не запрос мнения по заранее подготовленному проекту, отзывы на который куда-то падают и потом неведомым образом трансформируются или не трансформируются в редакцию документа (я вовсе не отрицаю возможную продуктивность использования такой схемы, просто констатирую факт), а попытка совместного поиска решения с конкретными людьми вплоть до достижения некоего компромисса, фиксируемого документально. Компромисса, поскольку взгляды двух и более людей совпадать не могут, и они должны договориться, отстаивая принципиальное и соглашаясь с тем, что таковым не является, для достижения делаемого результата.
Надо признать, что позиция Романа Валерьевича Шередина, инициатора этого проекта, была абсолютно беспроигрышной. Критикуете, предлагаете, да еще публично? Отлично! Давайте вместе найдем решение и застолбим его, как позицию регулятора. Отказаться от такого предложения – признаться в собственном неконструктивизме. Впряглись. Появившаяся публикация должна быть первой ласточкой. Впереди еще очень много, требующего прояснения, для чего надо найти внятное и, главное, выполнимое на практике, решение – биометрия с фотографиями и их копиями разного качества, спецкатегории, оферты как формы договоров с субъектами персданных и т.д. и т.п. Надеюсь, идущие дорогу все-таки осилят.  
А теперь о том, что представляемся мне лично самым важным в обнародованной позиции. 
Согласия работника на обработку его персональных данных не нужно, но! Их объем должен соответствовать неким перечням, установленным нормативно-правовыми актами (Трудовым кодексом, Роскомстата) или иными документами, например, коллективным договором, правилами трудового распорядка (!), иными локальными актами работодателя, принятыми в порядке, установленном ст. 372 Трудового кодекса. Обратите внимание, ссылка дается не только на федеральные законы, но и на постановления Правительства, ведомственные акты (постановление Госкомстата Российской Федерации от 05.01.2004 № 1) и даже внутренние локальные акты, принятые в рамках компетенций, установленных законом. Надеюсь, теперь прекратятся бесконечные споры о необходимости получения доказываемого согласия родственников, чьи персданные отражаются в Форме Т-2.
Наконец-то закрыта тема правомерности обработки данных о состоянии здоровья работника без его согласия в рамках определения возможности выполнения им трудовой функции (ежедневный и профилактический медицинский осмотр), обязательного медицинского, социального и пенсионного страхования.
Прорыв! Не надо согласия на передачу персданных третьим лицам при направлении в командировку, бронировании гостиниц и покупке билетов. Опять-таки в объеме, установленном нормативно-правовыми актами, что очень правильно
Разъяснено, как и на какие запросы о работниках надо отвечать органам власти и профсоюзам.
Наконец-то однозначно разъяснены вопросы выпуска платежных карт для начисления заработной платы работникам и осуществления пропускного режима на предприятии. Предусмотрена возможность выражения согласия, требующегося в письменной форме, непосредственно в трудовом договоре, если содержание его соответствует части 4 ст.9 152-ФЗ. Я очень рад за своих клиентов, которым этот вариант решения проблемы я предлагаю давно, на курсах, семинарах и в конкретных проектах.
При определении сроков обработки персданных уволенных работников даны ссылки на бухгалтерское и налоговое законодательство, что очень правильно.
Ура! По-моему, впервые официально подтверждено, что обработка персданных, находящихся на архивном хранении, 152-ФЗ не регулируется. 
И, наконец, расписаны основания для обработки персданных соискателей вакантных должностей. Не все здесь мне кажется правильным, но после драки кулаками не машут. Как вынесено в заголовок поста, согласие есть продукт полного непротивления сторон. И спорить с монтером Мечниковым бесполезно. Поэтому я считаю, что однозначные и выполнимые рекомендации (а провести проверку предоставления резюме соискателем и получить согласие на включение его в кадровый резерв, безусловно, можно) гораздо лучше, чем полная неопределенность и произвольное толкование.
Завершающий аккорд. Проставление отметки в соответствующем поле web-формы рассматривается как выражение согласия. По аналогии применения права, электронный бизнес, требующий обработки персональных данных, становится легальным. И это – одно из самых важных для меня достижений совместной работы с регулятором.
Рецепт от автора поста, как положено. Пересмотрите свои локальные акты и приведите в соответствие с разъяснением. Жить станет легче. Для радикалов, не приемлющих компромисса. У вас тоже есть легальный путь. Спорьте в суде, если считаете иначе, чем написано в рассматриваемом документе. Или, по крайней мере, будьте готовы к этому.

9 декабря 2012 г.

Приходите к нам лечиться

Редкий случай, когда … ну, не лечиться, а подлечиться мы приглашаем работников медицинских учреждений. Окажем помощь в решении сложных проблем применения в учреждениях здравоохранения законодательства о персональных данных, повышении иммунитета к неправомерным требованиям пациентов, поможем при хронических болезнях уведомления Роскомнадзора об обработке персданных. Имеем опыт радикального лечения в запущенных случаях. Готовы помочь в профилактике возможных нарушений.
21 декабря в Учебном центре «Информзащита» пройдет учебный курс «Защита персональных данных в медицинских учреждениях». Мы проанализируем, почему во всем мире так часто крадут данные о пациентах медицинских учреждений, кому и зачем их продают. Разберемся, что такое медицинская информационная система, электронная медицинская карта и электронная регистратура, табличка на двери врачебного кабинета и доска почета лучших врачей больницы с точки зрения закона «О персональных данных». Уточним, как выглядит в терминах Постановления Правительства № 687 рецепт на лекарство и является ли биометрическими персональными данными рентгеновский снимок сломанной руки. Обсудим, как оформить результаты предварительного и периодического медицинского обследования работников и при этом не нарушить закон. Узнаем, может ли бабушка привести внучку на прием в поликлинику без нотариальной доверенности, относятся ли к специальным категориям сведения об инвалидности и какие решения по этому поводу принимают российские суды. Ну, и много-много чего другого.
Итак, 21 декабря. Курс проводится по многочисленным просьбам слушателей и повторен будет не скоро.

6 декабря 2012 г.

Добро пожаловаться. 2-я серия

Как-то я уже писал про свой опыт жалоб в надзорные органы с целью добиться выполнения требований законодательства в части директ-маркетинга и спама и обещал вторую часть – про судьбу моей жалобы в Федеральную антимонопольную службу.
Работы было много, да и вопрос не казался таким уж значимым, пост откладывался и откладывался. Сегодня руки, наконец, до него дошли. Почему именно сегодня – в конце.
Итак, напомню cуть проблемы, ставшей причиной жалобы. В электронный почтовый ящик регулярно падал спам, начинающийся словами «Уважаемый(ая) Михаил Емельянников!». Особенно доставало еженедельное предложение поделиться деньгами с Тиньковым. Обращения к спамеру ничего не дали. Написал две жалобы – в Роскомнадзор (нарушение ст.15  152-ФЗ «О персональных данных») и ФАС (нарушение ст.35.1 38-ФЗ «О рекламе»). Жалобы отправлял через web-формы на официальных сайтах надзорных органов. Что и как ответил Роскомнадзор, я рассказывал.
От ФАС к установленному сроку – 16 августа ответ на мыло не пришел. Через пару дней звоню в канцелярию ФАС, мне дают номер телефона исполнителя, но фамилию его не сообщают – это ж персональные данные! С 95-го раза дозваниваюсь и в лоб получаю конкретный вопрос «А кто Вам нужен? Нас в комнате 6 человек сидит». Очень вежливо рассказываю, что понятия не имею, про канцелярию и жалобу. Через 10 минут поисков (вишу на телефоне, в роуминге, кстати) мне сообщают, что ответ направлен почтой. Прошу сообщить суть. Ответ: не положено, ждите. Прошу продублировать мылом. Ответ: не положено, ждите. Жду.
Почта дошла. Ответ датирован 17 августа. Срок, установленный законом, не соблюден. Ладно. Проехали. Суть ответа своими словами: Ваша жалоба не рассмотрена, потому что направлена в электронном виде, а жалобы на рекламу принимаются только в письменной форме. Основание ПП-508 от 17.08.2006. Мне предлагают написать «телегу» на бумаге в Московский УФАС (нарушитель находится в Санкт-Петербурге, что я и указывал в жалобе), приложить тексты рекламных писем, указать период их поступления, наименование рекламодателя (распространителя), включая местоположение и контактную информацию (хорошо, что выписку из ЕГРЮЛ не просят), и (внимание!) дать письменное согласие на обработку моих персональных данных за личной подписью.
Чтобы родить этот шедевр канцелярской мысли, суть которого «пошел на фиг», чиновнику надзорного органа понадобился 31 день.
Итак. Федеральный закон N 59-ФЗ от 02.05.2006 «О порядке рассмотрения обращений граждан Российской Федерации».  Часть 3 ст.7 Требования к письменному обращению: «3. Обращение, поступившее в государственный орган, орган местного самоуправления или должностному лицу в форме электронного документа, подлежит рассмотрению в порядке, установленном настоящим Федеральным законом. В обращении гражданин в обязательном порядке указывает свои фамилию, имя, отчество (последнее - при наличии), адрес электронной почты, если ответ должен быть направлен в форме электронного документа, и почтовый адрес, если ответ должен быть направлен в письменной форме. Гражданин вправе приложить к такому обращению необходимые документы и материалы в электронной форме».
Сайт ФАС: «Внимание! Через эту электронную форму принимаются только обращения (предложения, заявления). Жалобы можно отправить по почте (Садовая-Кудринская, 11, Москва, Д-242, ГСП-5, 123995) или на электронный адрес delo@fas.gov.ru. Значит, в электронном виде все-таки жаловаться можно? И, кстати, закон не ограничивает возможность направления жалобы только электронной почтой.
Когда я заполнял web-форму, то уже указал ФИО, адрес и суть проблемы. Почему я еще должен давать письменное согласие на обработку моих персданных, если их уже обрабатывали при подготовке ответа. Кстати, и закон «О персональных данных» для данного случая получения моего согласия вообще и письменного, в частности, не предусматривает – их обработка ведется ФАС по основаниям п.2 части 1 ст.6 – обработка персональных данных необходима для осуществления и выполнения возложенных на оператора законодательством Российской Федерации функций, полномочий и обязанностей.
В общем, чтение законов чиновникам противопоказано.
А теперь о том, почему пост появился именно сегодня. УФАС Санкт-Петербурга разместило на своем сайте «Порядок подачи заявления на несанкционированную СМС рекламу».
Порядок предусматривает, что необходимо письменно отказаться от услуг рассылки рекламы связи, обратившись к своему оператору, для чего лучше приехать (угадали!) с двумя экземплярами письменного заявления в офис оператора, добиться получения входящего номера и проставить его на своей копии и заставить расписаться лицо, которое заявление принимает. Т.е. письменно отказаться от услуг оператора, которые оказывает не он – спамит нас кто попало.
В ФАС можно обратиться только через месяц, если спам будет валиться и дальше.  Для этого к заявлению (заметьте, не жалобе, а заявлению) надо приложить:
1.     Копию обращения к оператору мобильной связи.
2.     Фотографические снимки рекламных сообщений с экрана мобильного телефона.
3.     Распечатку сообщений, полученную от оператора связи.
4.     Копию договора с оператором на оказание услуг мобильной связи.
И, внимание! «В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» в своем обращении необходимо выразить согласие на передачу Ваших персональных данных оператору мобильной связи или 3-им лицам – сторонам по отправке СМС рекламного характера, а также правоохранительным органам для проведения оперативно-розыскной деятельности». У меня с оператором договор, копию которого я должен приложить – п.5 ч.1ст.16 152- ФЗ. Никакого согласия выражать не надо. Зачем я должен давать согласие на обработку моих данных спамерам (этим самым третьим лицам), история умалчивает. И, наконец, шедевр, который надо включать в учебники для будущих розыскников – ОРД требует согласия на обработку персональных данных! Приехали, но куда?
Детей экзаменуют, работников аттестуют. Так, может, и государственным служащим надо бы экзамены сдавать на знание законов? Проще будет им эти самые законы выполнять.