1 Июня, 2012

2 позитивных дня

Михаил Емельянников

Закончились два позитивных дня Positive Hack Days . Пишут и напишут об это очень-очень много. И поделом. То, что придумали и сделали ребята и девушки всего одной компании-игрока рынка, аналогов в России не имеет. Ни по количеству участников, ни по разнообразию тематики, ни по формам проведения. Спикеры со всего мира с великим Брюсом Шнайером во главе. Доклады, панели, круглые столы, мастер-классы и практические демонстрации. Конкурсы и соревнования. Площадка для молодых ученых, битвы взломщиков-защитников и, рядом, поиск ценной информации в горах бумажного мусора и поиск человека в толпе участников по неким идентифицирующим признаком.  Только перечисление того, что было, требует места, отводимого на стандартный пост. А как работалисотрудники PositiveTechnologies , обеспечивая проведение всего этого! Здорово и спасибо!
Ну, и наш скромный вклад – «Когда и почему невозможно не нарушить 152-ФЗ…».
Не останавливаясь на негативе, который каждый сам может посмотреть в презентации (см. ниже), предлагаю только позитивное (перечень не исчерпывающий). Закон надо менять. Обязательно.
В первую очередь, надо отказаться от:
·         технического и технологического регулирования;
·         обязательности выполнения формальных требований, не учитывающих особенности деятельности оператора;
·         привлечения к ответственности за невыполнение требований в случае отсутствия инцидента;
·         института уведомления, так как любое юрлицо-оператор персональных данных;
·         обязательного лицензирования деятельности, вмененной законом в обязанность;
·         правового обоснования возможности обработки в случаях, когда без персональных данных деятельность юрлица невозможна (данные работников, обучаемых, пациентов, пассажиров и т.п.);
·         недопустимых барьеров на пути электронной коммерции.
Чтонадо оставить из действующей редакции закона:
·         обязанность использовать персональные данные не во вред субъекту;
·         обязанность компенсировать субъекту ущерб в случае инцидента с его персональными данными (но не в случае несоблюдения формальных правил);
·         обязанность соотносить состав и объем обрабатываемых персональных данных с целями их обработки;
·         право субъекта на доступ к своим персональным данным;
·         возможность государства регулировать обработку персональных данных в государственных и муниципальных системах.
Что надо изменитьв подходе к защите персональных данных, устанавливаемом законом:
·         обеспечить баланс интересов субъекта, оператора и государства;
·         исходить из соотнесения вреда и стоимости защитных мер;
·         перейти к инцидентно-ориентированному подходу (нет инцидента – нет предмета разбирательства);
·         дать право субъекту оспаривать допустимость действий с персональными данными;
·         перенести решение вопроса возможности обработки в негосударственный орган или суд;
·         дать право оператору самому определять состав и содержание мер по защите персональных данных;
·         перейти от формальных требований к стандартизации;
·         следовать принципу свободы договора, закрепленному в Гражданском кодексе;
·         закрепить возможность оценки конклюдентных действий субъекта персональных данных.
И, может быть, закон все-таки заработает в том направлении, ради которого он принимался.
А теперь - презентация доклада.