Закончились два позитивных дня Positive Hack Days. Пишут и напишут об это очень-очень много. И поделом. То, что придумали и сделали ребята и девушки всего одной компании-игрока рынка, аналогов в России не имеет. Ни по количеству участников, ни по разнообразию тематики, ни по формам проведения. Спикеры со всего мира с великим Брюсом Шнайером во главе. Доклады, панели, круглые столы, мастер-классы и практические демонстрации. Конкурсы и соревнования. Площадка для молодых ученых, битвы взломщиков-защитников и, рядом, поиск ценной информации в горах бумажного мусора и поиск человека в толпе участников по неким идентифицирующим признаком. Только перечисление того, что было, требует места, отводимого на стандартный пост. А как работали сотрудники Positive Technologies, обеспечивая проведение всего этого! Здорово и спасибо!
Ну, и наш скромный вклад – «Когда и почему невозможно не нарушить 152-ФЗ…».
Не останавливаясь на негативе, который каждый сам может посмотреть в презентации (см. ниже), предлагаю только позитивное (перечень не исчерпывающий). Закон надо менять. Обязательно.
В первую очередь, надо отказаться от:
· технического и технологического регулирования;
· обязательности выполнения формальных требований, не учитывающих особенности деятельности оператора;
· привлечения к ответственности за невыполнение требований в случае отсутствия инцидента;
· института уведомления, так как любое юрлицо-оператор персональных данных;
· обязательного лицензирования деятельности, вмененной законом в обязанность;
· правового обоснования возможности обработки в случаях, когда без персональных данных деятельность юрлица невозможна (данные работников, обучаемых, пациентов, пассажиров и т.п.);
· недопустимых барьеров на пути электронной коммерции.
Что надо оставить из действующей редакции закона:
· обязанность использовать персональные данные не во вред субъекту;
· обязанность компенсировать субъекту ущерб в случае инцидента с его персональными данными (но не в случае несоблюдения формальных правил);
· обязанность соотносить состав и объем обрабатываемых персональных данных с целями их обработки;
· право субъекта на доступ к своим персональным данным;
· возможность государства регулировать обработку персональных данных в государственных и муниципальных системах.
Что надо изменить в подходе к защите персональных данных, устанавливаемом законом:
· обеспечить баланс интересов субъекта, оператора и государства;
· исходить из соотнесения вреда и стоимости защитных мер;
· перейти к инцидентно-ориентированному подходу (нет инцидента – нет предмета разбирательства);
· дать право субъекту оспаривать допустимость действий с персональными данными;
· перенести решение вопроса возможности обработки в негосударственный орган или суд;
· дать право оператору самому определять состав и содержание мер по защите персональных данных;
· перейти от формальных требований к стандартизации;
· следовать принципу свободы договора, закрепленному в Гражданском кодексе;
· закрепить возможность оценки конклюдентных действий субъекта персональных данных.
И, может быть, закон все-таки заработает в том направлении, ради которого он принимался.
А теперь - презентация доклада.
Подписываюсь под каждым словом, особенно под "Закон надо менять. Обязательно".
ОтветитьУдалитьПрезентация хорошая. А вы ФЗ о нац.платёжной системе не анализировали?
Михаил, то о чем Вы пишите – очевидно, но два вопроса, на которые хотелось бы получить ответы в рамках Ваших предложений:
ОтветитьУдалить1. Как зафиксировать инцидент, если оператор его скрывает и кто защитит субъекта, если по определению у оператора денег на адвокатов больше, а вся практика по компенсации ущерба сводится к смехотворным суммам, которых даже на час адвокату не хватит?
2. Как в рамках Вашей концепции бороться с этим http://professionali.ru/Soobschestva/informacionnaya_bezopasnost/a-kak-tam-u-nas-s-vypolneniem-152-fz/ ?
Я думаю для того что бы заработал Европейский опыт у нас необходимо менять не 152-ФЗ, а что-то другое. Например, что мешает сейчас вместо поднятия штрафов, не внося изменения в сам 152-ой разработать механизм компенсаций, так что бы банк из примера выплачивал миллионные компенсации?
Коллеги, извините за отсутствие реакции. Не со зла. Два дня, включая субботу,работал без продыха.
ОтветитьУдалить2Алексей. НПС смотрел, конечно, анализировал. До поста руки просто не дошли. Но будет. Обязательно.
2Ruslan Permyakov.
1. Если инцидент не затронул права субъекта, субъекту до него дела нет. Поэтому с латентными событиями, не приведшими к негативным последствиям,ИМХО, заморачиваться вообще не стоит. По компенсациям - тема бесконечная,как атом, поскольку у нас такая судебная система и другой не видно. Но отсутствие хорошего хирурга в селе - не повод лечить порез пальца обязательным отрубанием руки.
2. Во всей истории, описанной Олегом, не понял главного - а где ущемлены права клиента банка? Чем? Тем, что не уничтожены данные? И что? Почему конкретно субъекту от этого плохо? Наконец, есть такое основание для обработки: "для осуществления законных интересов оператора при условии, что при этом не нарушаются права и свободы субъекта персональных данных".
У нас с права субъекта в законе явный перебор. Принцип "Знай своего клиента" - фундамент банковской деятельности с момента ее появления. Ну, и последнее по этому поводу. Никто банку не может помешать перенести все сведения о клиенте в архив и хранить там. И никакой ФЗ-152 в этом не помеха. Уже сегодня