Закончились два позитивных дня Positive Hack Days . Пишут и напишут об это очень-очень много. И поделом. То, что придумали и сделали ребята и девушки всего одной компании-игрока рынка, аналогов в России не имеет. Ни по количеству участников, ни по разнообразию тематики, ни по формам проведения. Спикеры со всего мира с великим Брюсом Шнайером во главе. Доклады, панели, круглые столы, мастер-классы и практические демонстрации. Конкурсы и соревнования. Площадка для молодых ученых, битвы взломщиков-защитников и, рядом, поиск ценной информации в горах бумажного мусора и поиск человека в толпе участников по неким идентифицирующим признаком. Только перечисление того, что было, требует места, отводимого на стандартный пост. А как работалисотрудники PositiveTechnologies , обеспечивая проведение всего этого! Здорово и спасибо!
Ну, и наш скромный вклад – «Когда и почему невозможно не нарушить 152-ФЗ…».
Не останавливаясь на негативе, который каждый сам может посмотреть в презентации (см. ниже), предлагаю только позитивное (перечень не исчерпывающий). Закон надо менять. Обязательно.
В первую очередь, надо отказаться от:
· технического и технологического регулирования;
· обязательности выполнения формальных требований, не учитывающих особенности деятельности оператора;
· привлечения к ответственности за невыполнение требований в случае отсутствия инцидента;
· института уведомления, так как любое юрлицо-оператор персональных данных;
· обязательного лицензирования деятельности, вмененной законом в обязанность;
· правового обоснования возможности обработки в случаях, когда без персональных данных деятельность юрлица невозможна (данные работников, обучаемых, пациентов, пассажиров и т.п.);
· недопустимых барьеров на пути электронной коммерции.
Чтонадо оставить из действующей редакции закона:
· обязанность использовать персональные данные не во вред субъекту;
· обязанность компенсировать субъекту ущерб в случае инцидента с его персональными данными (но не в случае несоблюдения формальных правил);
· обязанность соотносить состав и объем обрабатываемых персональных данных с целями их обработки;
· право субъекта на доступ к своим персональным данным;
· возможность государства регулировать обработку персональных данных в государственных и муниципальных системах.
Что надо изменитьв подходе к защите персональных данных, устанавливаемом законом:
· обеспечить баланс интересов субъекта, оператора и государства;
· исходить из соотнесения вреда и стоимости защитных мер;
· перейти к инцидентно-ориентированному подходу (нет инцидента – нет предмета разбирательства);
· дать право субъекту оспаривать допустимость действий с персональными данными;
· перенести решение вопроса возможности обработки в негосударственный орган или суд;
· дать право оператору самому определять состав и содержание мер по защите персональных данных;
· перейти от формальных требований к стандартизации;
· следовать принципу свободы договора, закрепленному в Гражданском кодексе;
· закрепить возможность оценки конклюдентных действий субъекта персональных данных.
И, может быть, закон все-таки заработает в том направлении, ради которого он принимался.
А теперь - презентация доклада.
