С 4 по 6 октября проходила выставка INFOBEZ-EXPO. Актуальным для меня мероприятием на выставке было проведение круглого стола "Практика правоприменения закона о персональных данных". В данный момент этот вопрос стоит очень остро у многих специалистов в сфере ИБ, в том числе и у меня. Собственно это и было целью посещения выставки. Самым заманчивым в программе круглого стола был пункт "Проверка Роскомнадзора глазами проверяемых и проверяющих". Но ожидание крупной дискуссии было омрачено пустующими местами с табличками "ФСБ", "ФСТЭК", "Роскомнадзор" - никто из регуляторов не появился. Тем не менее, обсуждение оказалось довольно интересным, а времени, отведенного на мероприятие, хватило с трудом. Если бы присутствовали представители регуляторов, то круглый стол по времени пришлось бы как минимум удваивать.
name='more'>- В Россельхозбанке не делали отдельного положения о персональных данных. Политика защиты строилась по принципу обеспечения безопасности персональных данных в рамках защиты коммерческой тайны. Вы можете возразить, но факт на лицо – после проверки замечаний от Роскомнадзора не было.
Обсуждение в течение двух часов было довольно активным, отмечу те моменты, которые мне показались особенно интересными:
name='more'>- В Россельхозбанке не делали отдельного положения о персональных данных. Политика защиты строилась по принципу обеспечения безопасности персональных данных в рамках защиты коммерческой тайны. Вы можете возразить, но факт на лицо – после проверки замечаний от Роскомнадзора не было.
- Рассказ директора УЦ "Информзащита" о прохождении проверки Роскомнадзора. Сложилось впечатление, что целью проверки было повышение квалификации проверяющих. Ведь оппозицию они себе выбрали очень квалифицированную и мощную. Проверка проходила до вступления последних изменений в 152-ФЗ. Основной фишкой при защите персональных данных было определение большого объема хранимых данных как общедоступных.
- Проблемные и очень спорные ситуации в судебной практике. Иногда решения судей спорно соотносятся с законами.
- Кризисная ситуация в государственных медучреждениях в части невозможности выполнения требований 152-ФЗ из-за отсутствия финансирования.
- Констатация "бардака" в части защиты персональных данных в России многими уважаемыми экспертами.
- Ни одно из изменений в 152-ФЗ, предложенных АРБ, не было внесено в закон.
- Вопрос законности участия сотрудников ФСБ или ФСТЭК в проверках Роскомнадзора на основании Федерального закона от 26.12.2008 г. № 294-ФЗ "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля". Закон предусматривает возможность привлечения органами контроля экспертов и экспертных организаций, аккредитованных в установленном порядке. Если при проверке привлекался неаккредитованный эксперт, то по 294-ФЗ такая проверка признается недействительной. Так что, в случае "совместной" проверки, не будет лишним поинтересоваться у регуляторов в части соблюдения 294-ФЗ.
Подытожили дискуссию необходимостью ждать новых подзаконных актов к 152-ФЗ. Будем надеяться, что подзаконники будут актуальны и, главное, исполнимы.
Саму выставку я прошел довольно бегло: посмотрел ряд стендов, встретил несколько знакомых, узнал о новых курсах УЦ "Информзащита". Формат "выставка" для меня лично не очень удобен, самое интересное – это круглые столы, конференции и общение с определенными специалистами и представителями регуляторов.
