вторник, 14 февраля 2012 г.

Безвозмездно - то есть, даром?


Наконец-то Роскомнадзору стало стыдно за свои почти пустые "закрома" - реестры граждан и организаций, привлекаемых в качестве экспертов и экспертных организаций в ходе проверок в области персональных данных. По поводу банального отсутствующего, но привлекаемого для проведения проверок на неведомых основаниях МВД РФ я уже писал и, судя по реестрам - с тех пор дело сдвинулось с мертвой точки. Однако, явно недостаточно хорошо, и вчерашнего дня на сайте регулятора появился недвусмысленный призыв к всеобщей экспертной мобилизации.

Предполагается, что аккредитованные граждане и организации НА БЕЗВОЗМЕЗДНОЙ ОСНОВЕ будут привлекаться к участию в мероприятиях по контролю для оценки эффективности принимаемых оператором, осуществляющим обработку персональных данных, технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных на всей территории Российской Федерации. В состав комиссий эксперты и экспертные организации будут включаться ПУТЕМ СЛУЧАЙНОЙ ВЫБОРКИ.

Зачем это регулятору - понятно: в связи с недостатком знаний, умений и собственного опыта.  Привлекать знатока-волонтера куда проще и несравнимо дешевле, чем обучать собственных сотрудников, которые, чего доброго, еще и сбегут. Но какой резон работать волонтером, да еще и за бесплатно? Давайте взглянем, собственно, на реестры. Реестр граждан, в частности. Что мы видим? Список имен, фамилий и отчеств: Бурдело И.А., Конкин Н.Е., Шолохов В.А. и др. Аккредитованы они для следующих видов деятельности:
  1. Обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности.
  2. Оценка соответствия применяемых технических средств защиты информации.
  3. Оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных.
  4. Проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.
Лично у меня каждый из пунктов вызывает очень много вопросов. Ну скажите, например, как эксперт в рамках проверки оператора ПДн может провести оценку соответствия технических средств защиты информации, если есть закон "О техническом регулировании", который де-юре предусматривает определенные процедуры оценки соответствия, а де-факто этим всю жизнь занимается ФСТЭК и аккредитованные испытательные лаборатории? Или, например, определить уровень защищенности, если их по закону "О персональных данных" устанавливает правительство РФ? Про "достаточность", "эффективность", "расследования причинно-следственных связей" я вообще молчу. Но не в этом дело. Сравните список фамилий, приведенных в реестре, вот с этим, и найдите десять отличий. Бааааа, да все они - сотрудники одного и того же интегратора! А теперь глянем в реестр организаций. Что мы видим? Этот интегратор там - на первом месте в списке, вместе с остальными четырьмя, думаю, не последними.

Полагаю, теперь всем нам, дорогие читатели, понятно, с какой целью уважаемые эксперты так стремятся безвозмездно помочь Роскомнадзору и поработать на благо государства и субъектов ПДн - для того, чтобы потом, после "волчьего" предписания, сгенерированного при их непосредственном участии, вполне законно поработать на себя и свой собственный карман, "склоняя" оператора к собственным услугам. То, что было сделано у оператора до приезда "эксперта", может не иметь никакого значения - все равно все будет "очень и очень плохо". И "случайной выборки" здесь никакой не будет - не любят в нашем государстве всякие там "случайности".

Выход я вижу только один - становиться аккредитованным экспертом самому и, в случае явно "неадекватной" проверки, "бодаться" с таким же экспертом со стороны Роскомнадзора, ну а в случае разногласий - как всегда, искать правду в суде. Поэтому пойду изучать Правила аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю (утв. постановлением Правительства от 20 августа 2009 г. № 689 и приказом Роскомнадзора от 8 апреля 2011 г. № 239).

пятница, 10 февраля 2012 г.

Профсоюзный контроль


Наверное, ни для кого не секрет, что подавляющее большинство профсоюзных организаций в нашем государстве "карманные", то есть имеют весьма тесные дружеские связи с работодателями членов профсоюза, и потому не выполняют свою главную функцию - отстаивание прав и законных интересов трудящихся. Однако если бы это было не так, то профсоюз смог бы стать весьма влиятельной  организацией, тем более, что все возможности для этого имеются. И вот недавно в одну организацию поступил запрос от профсоюза с требованием ежемесячно предоставлять данные о принятых и уволенных сотрудниках с указанием ФИО, табельных номеров, должностей, должностных окладов и причин увольнения, с формулировкой "в целях осуществления профсоюзного контроля в соответствии с законодательством РФ". Возник вопрос - передавать или нет, и если да, то на каком основании? Попробуем разобраться.

среда, 1 февраля 2012 г.

И снова о деятельности


На днях Алексей Лукацкий опубликовал у себя в блоге радостный пост о том, что якобы грядет либерализация законодательства в области лицензирования деятельности по ТЗКИ и шифрованию. Прочитал я этот законопроект. Внимательно. И расстроился.

Помните пресловутое выражение из письма ФСТЭК в адрес ЦБ РФ: "предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке"? Конечно, как не помнить. Помните, наверное, и полемику о том, что считать деятельностью, и шумиху вокруг отсутствия формулировки "для собственных нужд" в пунктах 4 и 5 ч. 1 ст. 12 99-ФЗ.

К сожалению, все доводы пессимистов пока оправдываются на 100%. Смотрим действующую статью 19.20 Кодекса об административных правонарушениях, сначала - ее название: Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии). Опа! Значит, термины "деятельность" и "прибыль" способны существовать друг без друга, более того, такая постановка вопроса означает, что лицензировать "деятельность" необходимо в случае совершения хозяйствующим субъектом любых действий, подпадающих под соответствующее постановление правительства РФ. Поскольку пункты 4 и 5 ч. 1 ст. 12 99-ФЗ не предусматривают формулировки "за исключением деятельности, осуществляемой для собственных нужд...", осуществление любых действий по ТЗКИ, подпадающих под ПП-504, без лицензии является прямым нарушением ч. 1 ст. 19.20 КОАП.

Смотрим, чем грозит отсутствие лицензии:

влечет предупреждение или наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей; на должностных лиц - от тридцати тысяч до пятидесяти тысяч рублей или дисквалификацию на срок от одного года до трех лет; на лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от тридцати тысяч до сорока тысяч рублей или административное приостановление деятельности на срок до девяноста суток; на юридических лиц - от ста семидесяти тысяч до двухсот пятидесяти тысяч рублей или административное приостановление деятельности на срок до девяноста суток

И эта статья после принятия законопроекта никуда не исчезнет, более того, часть 3 ст. 19.20 станет куда суровее, чем сейчас. Так что радость, на мой взгляд, преждевременна, точнее - поводов для нее нет вообще.