По следам высказываний коллег на тему значительного повышения штрафов за нарушения в области персональных данных: Лукацкий, Волков, Царев.
В целом разделяя мнение коллег, что увеличение штрафов за не соблюдение требований закона «О персональных данных» не улучшит защищенность этих самых персональных данных. Среди неразрешенных проблем препятствующих оздоровлению ситуации называется, в основном:
- практически полное отсутствие разъяснений регуляторов по сотням спорных вопросов и как следствие непрозрачность требований к защите ИСДПН
- отсутствие взаимосвязи вреда нанесенному субъекту ПД и наказания.
Здесь надо отметить, что регулирование проблемы персональных данных в России отстает от мировой практики, как минимум на поколение. Причина кроется в судебной системе. Если законодатель установит ответственность оператора исключительно перед субъектом и предоставит оператору выбор между компенсацией ущерба субъекта и инвестициями в систему защиты информации, то выбор оператора, с учетом судебной практики по компенсации морального вреда, для меня лично очевиден. Вообще, с моей точки зрения и пусть юристы меня поправят, данный подход ставит перед субъектом несколько задач:
- доказать в суде, что оператор обрабатывал его ПД;
- доказать в суде, что был ущерб и оценен правильно;
- доказать в суде что моральный ущерб понесен и оценен правильно;
- добиться, что бы суд постановил возместить ущерб в полном объеме;
- добиться, что бы оператор исполнил постановление суда.
Внимание вопрос: Зная судебную практику в России в разделе компенсации морального вреда, а так же как ведется бизнес и работают наши приставы какова вероятность получения субъектом хоть каких-то денег?
При этом уже есть практика использования простого набора паспортных данных в преступных целях. Если учесть обостряющуюся войну с фирмами-однодневками и уголовную ответственность за открытие таких фирм, то паспорт становится весьма интересным документом… Так что взаимосвязь ответственности с вредом у нас не просматривается не только на уровне нормативных актов по ПД, а вообще, в целом. И устанавливать ее на уровне 152-ФЗ или частных статей КОАП без коренного изменения ситуации с оценкой судами нематериального ущерба в целом бессмысленно. А эти изменения видимо в ближайшие планы не входят.
И всё-таки штрафы сработали, если бы не расплывчатые требования к СЗИ от регуляторов… Отсутствие требований объясняется довольно просто: Попробуйте описать в виде конкретных требований к защите информации для всех возможных информационных систем в стране начиная от трех компьютеров с 1С и заканчивая ИСПДн кадрового учета в Газпроме.
При этом классификация К1-К4 не удачная, по целому ряду причин. Например, подавляющее большинство систем попадает под К2, следовательно классификационный признак выбран не удачно, т.к. не дает понимания особенностей исследуемых объектов.
Да и сам объект классификации не определен, т.к. нет четкого определения персональных данных, о чем говорили эксперты не один раз.
Так же проблемой является не соблюдения требования непрерывности защиты персональных данных, т.к. Закон рассматривает отношения, возникающие только при обработке ПД. Простой пример: Поликлиника, с фанерными дверями и ИСПДн у врача-терапевта. В случае если его компьютер оснащен колонками, микрофоном и аудиокартой и сама ИСПДн обрабатывает звукозапись, то нам необходимы мероприятия по блокированию аудиального канала, а если нет, то пусть хоть весь район слушает жалобы бабушки на здоровье…
К сожалению, все это не позволяет мне надеяться на появление нормальных НПА по ПД.
Ну, чтож. Все верно, надеяться на государство с точки зрения нормативных актов и нормального регулирования не приходится. Печально(((
ОтветитьУдалить