16 ноября 2018 г.

IX международная конференция Роскомнадзора: самое интересное. Часть 1


8 ноября прошла IX международная конференция «Защита персональных данных», которую часто и справедливо называют коротко – конференция Роскомнадзора. Попытаюсь коротко рассказать о самом интересном, естественно, с моей точки зрения.
Несколько раз на конференции представители Роскомнадзора (Ю. Контемиров и А. Гафурова) упоминали новую редакцию Конвенции Совета Европы ETS-108, в числе первых стран, ее подписавших была Россия, которая также участвовала в подготовке текста новой редакции. Было заявлено, что модернизация директивы не повлечет серьезных изменений в организации защиты персональных данных в России, а подписание позволит России попасть в перечень стран, соответствующих GDPR. Стоит учесть, что предстоит еще ратификация новой редакции, сдача ратификационной грамоты и ее прием Советом Европы, на что в прошлый раз ушло 8 лет.
Из значимых последствий подписания Конвенции – в России должна появиться обязанность операторов уведомлять об утечках и ответственность за попытки уклониться от ее выполнения. О новой редакции Конвенции надо писать отдельно (при случае постараюсь написать пост), главное – она стала максимально близка к GDPR, однако механизм ее вступления в силу будет довольно сложным и длительным.
Из других новаций, о которых сообщил надзорный орган – скорое появление ресурса, на котором можно будет отзывать согласие на обработку персональных данных (как я понимаю, любое и у любого оператора). Это совсем не радует, поскольку означает, что появится ресурс, где будет собираться информация о том, кому и на что каждый субъект давал согласие. Меня такие ресурсы, если честно, очень пугают.
Как всегда, смелым, интересным и довольно вольнодумским было выступление замминистра Минкомсвязи Алексея Волина. Он говорил о том, что регулирования у нас в стране слишком много, и это не содействует развитию, лучше что-то недорегулировать, чем перерегулировать, и надо развивать, а не запрещать. О том, что гражданам надо самостоятельно делать выбор между комфортом, для чего передать свои персональные данные оператору, и приватностью, отказываясь от комфортных сервисов, граждан надо готовит к жизни в цифровом мире. Нынешнее определение персональных данных архаично, слишком широко, это понятие надо сужать. Законы должны быть не для сумасшедших, которые ими пользуются, а для нормальных людей, привел в пример запрет на объявление фамилий опаздывающих пассажиров в Шереметьеве. И наконец, что защита персональных данных требует, в первую очередь, саморегулирования, а не госрегулирования. Его бы слова в уши и законодателям и регуляторам.
К нему позже примкнул Дмитрий Тер-Степанов из АНО «Цифровая экономика», призывавший регуляторов не мешать развитию технологий.
О проблемах рынка технической защиты конфиденциальной информации говорил Максим Фатеев, вице-президент Торгово-промышленной палаты России. Рынок растет, но для малых и микропредприятий соблюдение лицензионных требований неподъемно, в регионах очень не хватает специалистов.
Неожиданно выступил Илия Димитров из «Опоры России», заявивший, что GDPR – документ о мире, который был 15 лет назад, а регулирование надо строить на прогнозе развития на 10-15 лет вперед и при реализации таких программ как «Цифровая экономика», управлять таким прогнозом. Именно Евразийский экономический союз должен создать информационный кодекс для нового мира, и тогда весь мир ринется размещать свои данные у нас в стране. Этот кодекс должен быть цифровым и сам проверять, выполняется он ли или нет. Тут я окончательно перестал понимать предложения оратора, особенно учитывая текущую практику принятия законов по лоскутному принципу (где порвалось, там и залатаем).
Владислав Онищенко из Аналитического центра при Правительстве РФ сообщил, что наличие многочисленных тайн в российском законодательстве (их действительно очень много, с этим трудно не согласиться) мешает свободному обмену информацией и ее использованию в экономической деятельности. Надо упростить и алгоритмизировать обмен данными в госорганах, а пока они только собираются за счет налогоплательщиков, однако используются из-за ограничений неэффективно. Он выразил сомнение в реальности отзыва согласия на обработку ранее использованных персональных данных. Что произойдет после отзыва? Данные надо «вырезать», пересчитать без учета данных отозвавших согласие субъектов? Если они существуют только в электронном виде, как проверить, что удалены? Новые проблемы создаст переход на полностью электронные документы. В качестве примера была приведена электронная трудовая книжка. Человек проработал на предприятии 15 лет, а в реестре запись только о 10 годах. Как восстанавливать правду, доказывать, что допущена ошибка?
В целом представители органов власти и находящихся рядом с ним организаций порадовали смелостью и новаторством, но вот результаты деятельности в жизни выглядят пока очень отличающимися от декларируемых принципов.
После достаточно официальной, но живой пленарной части, почему-то названной дискуссией (дискутировали выступающие с отсутствующими оппонентами, но не друг с другом) была двухчасовая секция по GDPR, которую я модерировал. Организация такого обсуждения – это знаменательное и достаточно неожиданное событие, поскольку ровно год назад в этом же зале с высокой трибуны было сообщено, что GDPR России не касается совсем.
А. Гафурова из центрального аппарата РКН немного рассказала о новой редакции ETS-108 и последствиях присоединения к ней России, остановилась на применимости GDPR к деятельности российских операторов. К сожалению, регламент приходилось выдерживать очень жесткий (10-15 минут на выступление), и позадавать вопросы выступающим не могли ни модератор, ни слушатели из зала. А их было очень много и у меня, и у тех, с кем успел обменяться мнениями после сессии. В частности, А. Гафурова постоянно говорила о гражданах ЕС, рассматривая Регламент, а в нем все-таки речь идет о лицах на территории Евросоюза, что совсем не одно и тоже. Было три выступления от надзорных органов (DPA) – из Венгрии, Италии и Болгарии. Как показалось, для них сейчас реализация Регламента – крайне серьезная проблема, и на многие вопросы ответов нет, некоторые даже приостановили консультации, не имея готовых рецептов.   
Порадовали выступления российских участников, они достаточно глубоко влезали в тонкости Регламента и давали весьма полезные рекомендации.
Вадим Перевалов из Baker McKenzie рассмотрел регулирование вопросов передачи персональных данных в договорах, как содержащих, так и не содержащих поручение на обработку, в страны, обеспечивающие и не обеспечивающие адекватную защиту, по обязательности и необязательности отдельных положений таких договоров.
Об общем и различном в регулировании 152-ФЗ- и GDPR вопросов использования персональных данных для директ-маркетинга рассказала Анастасия Петрова из «Алруд». Она обратила внимание на наличие иного, чем в российском законе, основания для рекламных рассылок – законного интереса контролера и проанализировала, когда им можно руководствоваться.
Евгений Ким из EY остановился на участниках процесса приведения обработки в соответствие Регламенту и некоторых наиболее сложных проблемах – трансграничной передачи за пределы ЕС, получения согласия на такую передачу, необходимости назначения сотрудника по защите данных (DPO).
Артем Дмитриев (PwC) провел сравнительный анализ оснований для обработки персональных данных в GDPR и российском законе, подробно остановившись на таком основании как законный интерес оператора, плохо работающем у нас, но более предпочтительном, чем согласие субъекта в Евросоюзе.
Наконец, Евгений Калинин с использованием очень эффектной презентации рассказал о проделанной Сбербанком работе по оценке применимости GDPR к деятельности крупнейшего российского банка.
Секция получилась, на мой взгляд, очень интересной – никакой джинсы и рекламы, коротко, но глубоко, все по делу. Вот дискуссии только не хватало и вопросов-ответов. Жаль. Было бы еще интереснее.
Об «Открытом микрофоне с регулятором» – в следующий раз. И так слишком много букв.
Продолжение следует. Часть 2.

Комментариев нет:

Отправить комментарий