13 июля 2015 г.

Предлагаю простой выход из проблемы переноса баз персональных данных

На информационном портале Retail & Loyalty выложен мой комментарий относительно очередного запроса Ассоциации европейского бизнеса (АЕБ) российскому Президенту о переносе баз персональных данных россиян в Россию.
Привожу текст полностью.
Решение «проблемы 1 сентября» существует и не требует изменений в законе о персональных данных
Такое мнение относительно просьб бизнеса к президенту «отложить» применение норм закона о персональных данных редакции R&L высказал эксперт по информационной безопасности Михаил Емельянников. 
Как ранее уже сообщал информационный портал Retail & Loyalty, со ссылкой на «Ъ», руководитель Ассоциации европейского бизнеса (АЕБ) Филипп Пегорье в ходе Петербургского международного экономического форума обратился к В.Путину с просьбой отсрочить наказание за нарушение закона «О персональных данных», связанное с обязанностью иностранных компаний хранить персональные данные россиян на российской территории. 
Редакция нашего портала попросила прокомментировать данную просьбу АЕБ управляющего партнера Консалтингового агентства «Емельянников, Попова и партнеры» Михаила Емельянникова. Эксперт полагает, что сам закон изменить уже нельзя (т.к. Государственная Дума находится на каникулах), а президент дать команду «не выполнять» закон попросту не может – т.к. это противоречит Конституции, и предлагает иной путь решения проблемы без нарушения закона, даже формального. 
"На сегодняшний день российское законодательство предусматривает два вида наказания за невыполнение требования о нахождении на территории России баз данных с персональными данными российских граждан, в которых они должны размещаться в период их сбора. 
В соответствии со статьей 13.11 КоАП, нарушение юридическим лицом установленного законом порядка сбора, хранения, использования или распространения персональных данных, под которое как раз и подпадает невыполнение требований о территориальности баз персональных данных, влечет штраф от 5 до10 тысяч рублей. В случае, если персональные данные непосредственно размещаются на зарубежном сайте и не фиксируются предварительно в базе данных на территории России, доступ к такому сайту может быть заблокирован по решению суда, вступившему в законную силу. 
Такая санкция гораздо более серьезная, чем административная ответственность в виде штрафа – потенциальными нарушителями, сайты которых для россиян могут оказаться недоступными, являются системы бронирования всего, чего угодно – билетов, отелей, машин и т.д., зарубежные интернет-магазины, включая гигантов типа Amazon или Alibaba, социальные сети, например, Facebook и Twitter и т.п. Периодически возникают слухи, что кто-то из гигантов решил базы перенести в Россию, но реальных подтверждений этому пока нет. 
У проблемы обеспечения соответствия закону несколько составляющих. Иногда это сделать сложно технически, как для систем бронирования, где заказ идет из единой базы в реальном масштабе времени, и буфер в России меняет всю топологию системы. Иногда это требует перестройки всех бизнес-процессов, связанных с обработкой персональных данных работников международных и зарубежных компаний, их клиентов и т.д., поскольку учетные системы, такие как кадровые или CRM, находятся за рубежом, и в них стекаются данные со всего мира. В таких случаях за пару оставшихся месяцев ничего сделать не удастся. 
Есть ли выход? На мой взгляд есть, и очень простой. В подготавливаемом в настоящее время постановлении Правительства РФ «О Реестре нарушителей прав субъектов персональных данных» достаточно просто указать, что именно оно (а не закон, или отдельные положения ФЗ) вступит в силу с 1 сентября 2016 года. И закон менять не надо, и отсрочка появится, и время, чтобы правоприменителям разобраться, кто подпадает под исключения, имеющиеся в законе, и может в Россию ничего не переносить, а кто нет, даже выдать им предписания об устранении, но в предписаниях указать срок исполнения опять-таки не ранее 1 сентября 2016 года. 
Иначе в очередной раз мы увидим избирательность правоприменения, «чистых» и «нечистых», повод для коррупции и еще большее падение доверия зарубежного бизнеса к России. А кто-то уйдет из России совсем, первые факты такого решения проблемы соответствия закону уже появились".
Источник:  Retail&Loyalty

3 июля 2015 г.

Красть и продавать секреты становится экономически невыгодным

29 июня Президент России подписал Федеральный закон № 193-ФЗ «О внесении изменений в статью 183 Уголовного кодекса Российской Федерации». Поправки существенно, в разы, увеличивают размер штрафов за незаконное получение, разглашение или использование сведений, составляющих коммерческую, налоговую или банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе.
За экономический шпионаж (собирание сведений, отнесенных к этим трем видам тайн, путем похищения документов, подкупа, угроз или иным незаконным способом) максимальный размер штрафа увеличивается с 80 тысяч до 500 тысяч рублей, а размер зарплаты, устанавливаемой в качестве штрафа, – с полугодовой до годовой. За разглашение доверенных секретов при отсутствии доказательств наличия корыстных побуждений штраф увеличивается со 120 тысяч до 1 миллиона рублей, размер зарплаты – с годовой до двухлетней. Если же такие действия причинили крупный ущерб или были совершены из корыстной заинтересованности, максимальный размер штрафа увеличивается с 200 тысяч до полутора миллионов рублей, или, при исчислении, исходя из размеров заработной платы – с полуторагодовой до трехлетней.
Такие изменения представляются весьма обоснованными. Штрафы в 10 или 40 тысяч рублей при реальной цене коммерческих секретов в миллионы, минимум – в сотни тысяч рублей (примеров судебных решений именно с такими штрафами и такими суммами, полученными за секреты, достаточно) не могут отвратить от искушения их украсть и продать. А вот миллион рублей штрафа за объявление в интернете «продам базу ста тысяч застрахованных лиц за 50 тысяч рублей» могут некоторым мозги прочистить хорошо. Отнесение баз данных клиентов, в том числе физических лиц, к коммерческой тайне при таких штрафах заставит подумать их потенциального продавца о возможных последствиях такого «бизнеса» для него лично, а если в организации постоянно напоминать о мерах ответственности, да еще иллюстрировать такие напоминания судебной практикой (а ее много, суды с отнесением баз данных к коммерческой тайне с удовольствием соглашаются), профилактика возможных нарушений обязательно даст свои плоды.
Учитывая, что недавно максимальный срок лишения свободы за разглашение тайн был снижен с 10 до 7 лет, значительное увеличение штрафов все же позволяет обладателю секретов более эффективно защищать свои интересы. Но не будем забывать, что в отношении коммерческой тайны все это возможно только при полном выполнении требований по установлению режима коммерческой тайны, определенных частью 1 статьи 10 Федерального закона от 29.07.2004 N 98-ФЗ «О коммерческой тайне».
А вот с банковской тайной сложнее, так как законодательство не регулирует состав и содержание мер по ее охране. Представляется целесообразным в кредитно-финансовых учреждениях формировать перечень сведений, отнесенных к банковской тайне, хотя такого требования в законе и нет. Но формулировка статьи 26 закона «О банках и банковской деятельности» «Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону» однозначно говорит о том, что состав таких сведений надо как-то зафиксировать. Иначе мы будем постоянно читать в судебных решениях, что обвиняемый не знал и не имел оснований знать, что разглашенные или используемые им сведения охраняются законом.
Вот такие рецепты по поводу нового закона.