#Эксперт по информационной безопасности, #судебная экспертиза

+7 (495) 309-31-25 | tsarev@tsarev.biz

Иногда начинает казаться, что по теме персональных данных сказать больше нечего. Как вдруг появляются идеи вроде «Может быть нам разделить операторов на государственные и коммерческие?» и целый ряд экспертов начинает рассуждать про высокие материи в режиме «перед законом все равны» и т.п. Но что-то в этом есть…

Никто не спорит, что закон для всех един и его нужно исполнять, просто нужно посмотреть на кухню этих самых «государственных» и «коммерческих».

Какая мотивация у бизнеса? Бизнес работает на сохранение и увеличение капитала, вся расходная часть должна (как минимум) сохранять стоимость бизнеса. И тут приходят регуляторы в лице ФСТЭК, Роскомнадзора и ФСБ и говорят:

«А ты в курсе, милый друг, что тебе нужно защищать персональные данные наших дорогих граждан? Для этого тебе нужно сделать все что написано вот в этих документах. Мы понимаем что это очень дорого и кое-что сами не знаем как делать, но ты должен все это выполнить. А если не выполнишь, то отвечать тебе придется не перед нашими гражданами, а перед нами – Альфа и Омега великой России — чиновниками».

Бизнес в недоумении:

«Господа, но ведь во всем мире операторы персональных данных отвечают перед гражданами, а не чиновниками. А вы гарантируете, что если я сделаю все как вы сказали, то ответственности перед гражданами у меня не будет?»

и в ответ получает очень интересную фразу:

«Ну пока проблем наверное не будет, а в скором мы подумаем, может быть и введем жесткую ответственность операторов ПДн перед гражданами, но ты пока не думай, делай как мы сказали!»

Вот бизнес и оказывается в раздумьях. Вроде заплати несколько миллионов рублей, напиши бумажки, купи бестолковые железяки и эти товарищи отвяжутся. Но кто будет ответственен за результат перед субъектами ПДн? Где гарантия, что в законе 152-ФЗ не появится ма-а-аленькой фразы «В случае нарушения конфиденциальности персональных данных оператор обязан уведомить субъектов персональных данных в _ дней», а в КоАПе не появится ответственность для первых лиц организации за сокрытие факта утечки. Всего 2 маленькие строчки и я буду обязан заплатить еще такую же сумму за обеспечение НОРМАЛЬНОЙ защиты, а если еще в переходный период произойдет инцидент, то заплачу еще больше…. Уууу!

После чего бизнес спрашивает какого-нибудь стороннего эксперта:

«Дружище, подскажи, а какая вероятность, что регуляторы ко мне придут и что-нибудь накопают?»

Эксперт, будучи человеком адекватным, говорит:

«Вероятность что придут небольшая. Даже если придут и накопают, решишь как-нибудь вопрос малой кровью».

В результате, подавляющее число операторов не делает ничего и их можно понять,.

Как поменять эту ситуацию?

Требований для бизнеса должно быть мало, и они должны носить разумный характер, при этом оператор должен нести полную ответственность перед субъектами ПДн в случае нарушения конфиденциальности (сообщить об утечке и взять на себя все финансовые последствия перед субъектами после нарушения конфиденциальности). Только в этом случае бизнес будет работать в правильном направлении.

А что же на счет госсектора? Напомню госсектор – это 70% российской экономики! Какая у него мотивация?

Здесь все очень просто чиновник хочет сохранить свое место. Хочет нормально жить и чтобы всякие… вроде малого бизнеса, регуляторов, граждан его не тревожили. А если и тревожили, то у него должны быть деньги чтобы решить эту проблему. Если вы возложите на чиновника ответственность за утечку не предъявляя четкие требования, то он и требования не выполнит и ответственности нести не будет. Можете себе представить вариант, что после утечки ПДн, чиновник будет уведомлять всех субъектов, переживать все судебные процессы с субъектами, а в случае повторения инцидента его накажут, уволят и запретят занимать руководящие должности? Мы все здравые люди и понимаем, что этого не будет. У нас даже за доказанные факты коррупции в худшем случае увольняют, и через неделю этот человек работает на аналогичной позиции в другом ведомстве. Вот почему риск-ориентированный подход в «госке» по факту НЕ РАБОТАЕТ, а если и будет работать, то далеко не везде, а значит, нужны четкие требования. При этом требования должны быть отличными от сегодняшних, иначе вся работа по защите ПДн превратиться в «старый-недобрый» распил.

В итоге. Требования для бизнеса и госки должны быть разные. Подходы к работам, контролю и т.п. должны быть также различны. Инициатива АРОС в части разделения операторов концептуально верна, но вот предлагаемая модель реализации этого разделения (через сам закон) просто НЕПРИЕМЛЕМА.

Автор статьи: Царев Евгений

5 комментариев

    Turkish:

    Утопия… бизнес в России ответственность окромя любимого государства вообще ни перед кем не несет и нести не собирается…
    В случае утечек ПДн лично мне картинка вырисовывается следующая: случилась утечка. Граждан обращается к юр.лицу. Юр.лицо шлет граждана в сад… э-ээ… в суд.
    Суд: граждан, покажи ущерб!
    Граждан: мене ограбили!
    суд: есть взаимосвязь между утечкой и ограблением? Нету! Свободен, следующий!
    Иной расклад:
    Граждан: у мене моральный ущерб!
    Суд: считаю доводы граждана надуманными. Свободен, следующий!
    Ситуация конечно что суд встанет на сторону граждана возможна. Вот только: 1. некаждый пойдет в суд 2. вероятность реализации угрозы может быть невелика (реализации может вообще никогда не случится) 3. причиненный ущерб в сумме для всех граждан будет копеечный для юр.лица.

    Имхо, при таких условиях бизнес еще быстрее забъет на 152-ФЗ, чем сейчас…

    «бизнес в России ответственность окромя любимого государства вообще ни перед кем не несет и нести не собирается»
    Правильно, а государство перед кем отвечает? Уж явно не перед гражданами. Это учитывайте.

    Turkish:

    Самый правильный на мой взгляд сейчас путь изменения 152-ФЗ и подзаконных актов:
    1. убрать наиболее одиозные пункты (типа согласия только определенной формы и в бумажном виде, уведомления субъектов по поводу и без, уничтожения ПДн в 3-х дневный срок, использования сертифицированных СЗИ и получения лицензии на ТЗКИ)
    2. и продолжать давить на его исполнение.
    Каток то на самом деле двинулся… лет через 5 большинство так или иначе будет соответствовать.
    А все эти бесконечные перетурбрации (точнее обсуждения на эту тему) на пользу закону не идут.

    Казусы журналистики. Читаем:

    Для требования по защите ПДн должны устанавливаться государством.

    С этим я полностью согласен. Далее:

    «Но когда потребитель вступает в отношения с коммерческими организациями, действующими в условиях рынка, он самостоятельно делает выбор и принимает решение о достаточной или недостаточной степени защиты ими его персональных данных, о соответствии цены услуги желаемой им самим и предлагаемой степени защиты, — говорится в сообщении АРОС. — Соответственно, полная регламентация действий оператора персональных данных по их защите здесь избыточна».

    Здесь я, увы, согласен только с последним предложением. Однако сейчас все накинулись на товарищей из АРОСа, и поднали бучу: как так? И на этой волне регуляторы пролоббируют свои интересы, и государство по прежнему будет регламентировать, регулировать и контролировать бизнес и в этой сфере.

    Сергей:

    Посмотрел КоАП — если не буду защищать ПДн, штраф, максимум 10 т.р., если буду защищать, но не так как хотят регуляторы, без лицензии или несертифицированными СЗИ — штраф до 20 т.р.+ конфискация СЗИ, а это все, закрывай лавочку, даже приостановление деятельности не нужно.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

*

Этот сайт защищен reCAPTCHA и применяются Политика конфиденциальности и Условия обслуживания Google.