Персональные данные: оператор, субъект и регулятор, а может интегратор, как понять всех?

Персональные данные: оператор, субъект и регулятор, а может интегратор, как понять всех?

Добрый день, коллеги! Сегодня я хотела бы поднять давно мучающую меня тему: насколько специалисты по ИБ предвзяты во взгляде на защиту персональных данных? В основном мы представляем интересы оператора, реже - организации, оказывающей услуги по информационной безопасности. Достаточно ли этого? Давайте рассуждать вместе.

С какой стороны на персональные данные смотрю я? С 2009 года приходилось быть работником на разных предприятиях, даже в организации, оказывающей услуги. Но большую часть моего опыта составляет работа в интересах операторов. Книги написаны также с целью помочь работникам операторов, им же посвящены выступления и посты. Точка регулятора известна мне из небольшого личного опыта общения, а также из обширного опыта коллег (спасибо всем, кто делится личным, дальше моей головы информация не уходит). 

А что с субъектом? Так как каждый из нас им является, то полагаю, что точку зрения субъекта интуитивно мы все понимаем. Когда-то я даже писала статьи для проекта Росконтроль , посты в Инстаграм на тему "просто о ваших персональных данных"

И все равно каждый раз, когда ко мне обращаются с вопросами, то мысленно ответы я подбираю из 4 отдельных архивов: "Ответы для субъектов", "Ответы для специалистов", "Ответы по проверкам" и "Как заработать на услугах по защите ПДн". Со временем стало ощущаться некое расчетверение моей личности. Приведу пример.

На подъезде висит список должников ЖКХ. Что с этим делать?

Позиция для субъекта. Это незаконно, ссылаясь на положения ФЗ 152 "О персональных данных" обратитесь с требованием убрать данные о вас, можно даже судиться.

Позиция для оператора. Если вы хотите легализовать такие списки, то вам нужно обезличить информацию в них (например, указать общий долг по подъезду), либо собрать согласия со всех жильцов, либо обращаться к каждому должнику напрямую.

Позиция по проверкам. Надо смотреть судебную практику, но я вам сразу скажу, она однозначна: список вешать нельзя.

Позиция для оказывающих услуги. Предложите альтернативу: разработать форму согласия на распространение и другие документы.

И вот стала меня мысль беспокоить: а на чьей стороне я?

Конечно, как субъект, я не могу быть за вопиющие нарушения и необоснованный сбор информации. Как специалист и блогер я на стороне оператора и против раздувания бюджета на информационную безопасность. Как человек, ценящий порядок и "контроль фрик", я рада, что есть регуляторы, которые за всем присматривают. Как человеку "давно и бескорыстно любящему деньги" мне понятны мысли о желании заработать. 

Должно быть что-то общее, четыре части паззла под названием "Защити персональные данные" должны сложиться. 

Я искала, что бы это могло быть? Все, что нашла - это инициатива от Роскомнадзора "Кодекс добросовестных практик. На 25.06.21 в ней состоит 9621 организация, а в реестре операторов находится 425 816 организаций. Чуть больше 2%. 

Мне захотелось заняться вопросом объединения интересов субъекта и бизнеса. Сейчас, когда мы видим, как тут и там возникают все новые базы данных с информацией о нас (в том числе с данными о состояния здоровья), эта задача стала очень актуальной. Мы больше не можем рассуждать лишь с позиции "самого быстрого и дешевого способа защиты", "бумажек достаточно". Нужен системный подход. Защита персональных данных становится чем-то вроде экологии, больше нельзя осуществлять ее "для галочки".

Это такая большая и сложная мысль, что я думала ее несколько месяцев и ни к чему конкретно не пришла. Но некоторые идеи появились. 

1. В блоге и группе ВК постараюсь отвечать на вопросы также с точки зрения субъекта, для баланса, так сказать.

2. Ранее мы с Сергеем Борисовым говорили об идее пригласить Дениса Лукаша . Денис предложил рассмотреть интересные вопросы по защите персональных данных с точки зрения бизнеса. Думаю, такой подход будет шире, чем погружение лишь в профессиональные нюансы для специалистов по информационной безопасности. Узнаем о юридической стороне вопроса. (Дата и время межблогерского вебинара уточняется)

3. ... Укажите ваш вариант. Я серьезно, думаю, что это как раз тот случай, когда вы можете смело писать мне. Давайте вместе создадим "новый мир", в котором будут уживаться все точки зрения на защиту персональных данных.

Вконтакте: https://vk.com/shudrova

Facebook: https://www.facebook.com/profile.php?id=100001253566519

telegram: @KseniaShudrova

instagram: @boyarinya_marshmelova


Гималаи. Рассвет в горах. Н.К. Рерих. Источник



Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Ксения Шудрова

эксперт по информационной безопасности, аспирант Сибирского государственного аэрокосмического университета