8 ноября прошла IX международная конференция «Защита персональных
данных», которую часто и справедливо называют коротко – конференция
Роскомнадзора. Попытаюсь коротко рассказать о самом интересном, естественно, с
моей точки зрения.
Несколько раз на
конференции представители Роскомнадзора (Ю. Контемиров и А. Гафурова) упоминали
новую редакцию Конвенции Совета Европы
ETS-108, в числе первых стран, ее подписавших была Россия, которая также участвовала
в подготовке текста новой редакции. Было заявлено, что модернизация директивы
не повлечет серьезных изменений в организации защиты персональных данных в
России, а подписание позволит России попасть в перечень стран, соответствующих GDPR.
Стоит учесть, что предстоит еще ратификация новой редакции, сдача
ратификационной грамоты и ее прием Советом Европы, на что в прошлый раз ушло 8
лет.
Из значимых последствий
подписания Конвенции – в России должна появиться обязанность операторов уведомлять
об утечках и ответственность за попытки уклониться от ее выполнения. О новой
редакции Конвенции надо писать отдельно (при случае постараюсь написать пост),
главное – она стала максимально близка к GDPR, однако механизм ее
вступления в силу будет довольно сложным и длительным.
Из других новаций, о
которых сообщил надзорный орган – скорое
появление ресурса, на котором можно будет отзывать согласие на обработку
персональных данных (как я понимаю, любое и у любого оператора). Это совсем
не радует, поскольку означает, что появится ресурс, где будет собираться
информация о том, кому и на что каждый субъект давал согласие. Меня такие
ресурсы, если честно, очень пугают.
Как всегда, смелым,
интересным и довольно вольнодумским было выступление
замминистра Минкомсвязи Алексея Волина. Он говорил о том, что регулирования
у нас в стране слишком много, и это не содействует развитию, лучше что-то недорегулировать,
чем перерегулировать, и надо развивать, а не запрещать. О том, что гражданам
надо самостоятельно делать выбор между комфортом, для чего передать свои
персональные данные оператору, и приватностью, отказываясь от комфортных
сервисов, граждан надо готовит к жизни в цифровом мире. Нынешнее определение
персональных данных архаично, слишком широко, это понятие надо сужать. Законы
должны быть не для сумасшедших, которые ими пользуются, а для нормальных людей,
привел в пример запрет на объявление фамилий опаздывающих пассажиров в
Шереметьеве. И наконец, что защита персональных данных требует, в первую
очередь, саморегулирования, а не госрегулирования. Его бы слова в уши и
законодателям и регуляторам.
К нему позже примкнул Дмитрий
Тер-Степанов из АНО «Цифровая экономика», призывавший регуляторов не мешать
развитию технологий.
О проблемах рынка технической защиты конфиденциальной
информации
говорил Максим Фатеев, вице-президент Торгово-промышленной палаты России. Рынок
растет, но для малых и микропредприятий соблюдение лицензионных требований
неподъемно, в регионах очень не хватает специалистов.
Неожиданно выступил
Илия Димитров из
«Опоры России», заявивший, что GDPR – документ о мире,
который был 15 лет назад, а регулирование надо строить на прогнозе развития на
10-15 лет вперед и при реализации таких программ как «Цифровая экономика»,
управлять таким прогнозом. Именно Евразийский экономический союз должен создать
информационный кодекс для нового мира, и тогда весь мир ринется размещать свои
данные у нас в стране. Этот кодекс должен быть цифровым и сам проверять,
выполняется он ли или нет. Тут я окончательно перестал понимать предложения
оратора, особенно учитывая текущую практику принятия законов по лоскутному
принципу (где порвалось, там и залатаем).
Владислав Онищенко из
Аналитического центра при Правительстве РФ сообщил, что наличие многочисленных
тайн в российском законодательстве (их действительно очень много, с этим трудно
не согласиться) мешает свободному обмену информацией и ее использованию в
экономической деятельности. Надо упростить и алгоритмизировать обмен данными в
госорганах, а пока они только собираются за счет налогоплательщиков, однако
используются из-за ограничений неэффективно. Он выразил сомнение в реальности
отзыва согласия на обработку ранее использованных персональных данных. Что
произойдет после отзыва? Данные надо «вырезать», пересчитать без учета данных
отозвавших согласие субъектов? Если они существуют только в электронном виде,
как проверить, что удалены? Новые проблемы создаст переход на полностью
электронные документы. В качестве примера была приведена электронная трудовая
книжка. Человек проработал на предприятии 15 лет, а в реестре запись только о
10 годах. Как восстанавливать правду, доказывать, что допущена ошибка?
В целом представители органов власти и находящихся
рядом с ним организаций порадовали смелостью и новаторством, но вот
результаты деятельности в жизни выглядят пока очень отличающимися от
декларируемых принципов.
После достаточно
официальной, но живой пленарной части, почему-то названной дискуссией (дискутировали
выступающие с отсутствующими оппонентами, но не друг с другом) была двухчасовая секция по GDPR, которую я
модерировал. Организация такого обсуждения – это знаменательное и достаточно
неожиданное событие, поскольку ровно год назад в этом же зале с высокой трибуны
было сообщено, что GDPR России не касается
совсем.
А. Гафурова из
центрального аппарата РКН немного рассказала о новой редакции ETS-108 и последствиях
присоединения к ней России, остановилась на применимости GDPR
к деятельности российских операторов. К сожалению, регламент приходилось
выдерживать очень жесткий (10-15 минут на выступление), и позадавать вопросы
выступающим не могли ни модератор, ни слушатели из зала. А их было очень много
и у меня, и у тех, с кем успел обменяться мнениями после сессии. В частности,
А. Гафурова постоянно говорила о гражданах ЕС, рассматривая Регламент, а в нем
все-таки речь идет о лицах на территории Евросоюза, что совсем не одно и тоже.
Было три выступления от надзорных органов (DPA) – из Венгрии, Италии
и Болгарии. Как показалось, для них сейчас реализация Регламента – крайне
серьезная проблема, и на многие вопросы ответов нет, некоторые даже
приостановили консультации, не имея готовых рецептов.
Порадовали выступления
российских участников, они достаточно глубоко влезали в тонкости Регламента и
давали весьма полезные рекомендации.
Вадим Перевалов
из Baker McKenzie рассмотрел регулирование
вопросов передачи персональных данных в договорах, как содержащих, так и не
содержащих поручение на обработку, в страны, обеспечивающие и не обеспечивающие
адекватную защиту, по обязательности и необязательности отдельных положений
таких договоров.
Об общем и различном в регулировании
152-ФЗ- и GDPR вопросов использования персональных данных для
директ-маркетинга рассказала Анастасия Петрова из «Алруд». Она обратила
внимание на наличие иного, чем в российском законе, основания для рекламных
рассылок – законного интереса контролера и проанализировала, когда им можно
руководствоваться.
Евгений Ким из EY
остановился на участниках процесса приведения обработки в соответствие
Регламенту и некоторых наиболее сложных проблемах – трансграничной передачи за
пределы ЕС, получения согласия на такую передачу, необходимости назначения
сотрудника по защите данных (DPO).
Артем Дмитриев (PwC)
провел сравнительный анализ оснований для обработки персональных данных в GDPR
и российском законе, подробно остановившись на таком основании как законный интерес оператора, плохо
работающем у нас, но более предпочтительном, чем согласие субъекта в Евросоюзе.
Наконец, Евгений
Калинин с использованием очень эффектной презентации рассказал о проделанной
Сбербанком работе по оценке применимости
GDPR к
деятельности крупнейшего российского банка.
Секция получилась, на
мой взгляд, очень интересной – никакой джинсы и рекламы, коротко, но глубоко,
все по делу. Вот дискуссии только не хватало и вопросов-ответов. Жаль. Было бы
еще интереснее.
Об «Открытом микрофоне
с регулятором» – в следующий раз. И так слишком много букв.
Продолжение следует. Часть 2.
Комментариев нет:
Отправить комментарий