PDP2012: Впечатления

Наконец дошли руки написать впечатления о прошедшей в Киеве конференции «Защита персональных данных: право, практика, надзор».
Организаторы мероприятия достаточно вяло рекламировали мероприятие, что в конечном чуть было не закончилось плохо для мероприятия. К счастью, все закончилось хорошо, но об этом - чуть позже. Сначала ложка дегтя.
До последнего момента не хватало докладчиков, спонсоров и, самое главное, зрителей. Откровенное недоумение у меня  вызвал тот факт, что некоторые участники видели информацию о мероприятии только на моем блоге. При такой "рекламной компании" чудо, что все-таки пришло столько людей.
Появившиеся в последний день мелкие спонсоры готовили свои спонсорские выступления  тоже в последний день. Программа мероприятия кроилась просто на колене.
Очень неприятное впечатление произвел первый доклад. Он оказался спонсорским и был посвящен ...  антивирусным продуктам ESET. Доклад начался с истории о том, в каком году была создана компания и как придумывалось название антивирусу NOD32. После этой поучительной истории, выступающий плавно перешел к не менее важной информации о том, сколько сейчас офисов у компании и в каких городах они расположены. Кульминацией выступления стало подробное зачитывание с экрана всех имеющихся технических характеристик всех антивирусных продуктов. При этом взаимосвязь тематики доклада с тематикой конференции была скрыта в скромной фразе в начале выступления: "если Вы озабочены вопросом защиты персональных данных, Вам наверняка нужны антивирусные продукты". Больше о персональных данных не было сказано ни слова. В какой-то момент выступления (где-то в районе обсуждения городов, в которых расположены офисы) меня начало терзать подозрение, что я сделал две ошибки:

1. пришел на мероприятие
2. порекомендовал его людям, которые ценят мое мнение

Присутствующие в зале юристы (а их было не мало) чувствовали себя еще хуже: до вышеупомянутого момента выступления они не понимали  зачем им эта информация, а после перехода к технической части - что говорит докладчик.
Понятно, что основная цель участия - продвижение своих продуктов. Но неужели это нельзя сделать чуть-чуть изящнее? Рассказать о последних трендах вирусостроения, пару душещипательных историй как с помощью зловредов похищались персональные данные и что из этого вышло. Вот уже и связка с тематикой конференции. А все, что читалось с экрана, раздать в виде буклетов. Или они реально ожидали, что слушатели будут запоминать или конспектировать технические подробности отличий различных версий продуктов?!?
Не менее увлекательным было выступление другого консультанта, посвященное продукту DeviceLock. В проверенном временем духе "здравствуйте, я - представитель канадской оптовой компании...". К счастью обошлось без подробностей детства компании и ее создателей, но доклад был достаточно занудным типичным для продажной презентации. В конце концов, у них (выступающих было двое) закончилось время и модератор сделал две полезные вещи. Во-первых, прекратил рассказ по кругу истории "обычно наши клиенты хотят у нас вот это...". Во-вторых, прокомментировал нюансы использования DLP с точки зрения закона. А именно, тот момент, что действия DLP системы тоже нужно трактовать как сбор персональных. Со всеми вытекающими: получением согласия субъектов на сбор для целей безопасности, защита этой базы, ее регистрация и т.д. Это был очень положительный момент, поскольку заземлил продавцов решений всемирного счастья из коробки и заставил (я надеюсь) покупателей таких решений смотреть на суть проблемы под более правильным углом. На Data Protection Group Ukraine до сих пор не утихает дискуссия по следам. Немного удивляет тот факт, что в дискуссии консультанты задают вопросы о практическом решении проблемы, а представители бизнеса уже имеют ответы... Что тут сказать? Бывает и такое.
Отдельно хотелось бы отметить выступление  Войцеха Вевйоровского - генерального инспектора по вопросам защиты персональных данных Польши. Выступление было посвящено тенденциям в вопросах защиты персональных данных при использовании облачных вычислений. Сама тема, безусловно, не нова. О ней говорят уже несколько лет. Тем не менее, я считаю доклад очень полезным, поскольку проблемы, озвученные несколько лет назад, уже никто не помнит, а вот в облака сейчас все стремятся. Прекрасный материал, понятный как юристам, так и техническим специалистам. Вводная по понятиям, детальный обзор проблем и подборка рекомендаций от ENISA, NIST и других производителей лучших мировых практик. Единственный минус был в том, что докладчик постеснялся выступать на русском (хотя говорит на нем вполне прилично) и воспользовался услугами переводчика. В результате, за отведенное время успел сказать в два раза меньше, а переводчик немного искажал суть. Если удастся разыскать материалы презентации - обязательно дам ссылку.
Ваш покорный слуга рассказывал о кодексе практики по работе с персональными данными, принятом в Киевстар. Данный кодекс является основополагающим документом для формирования правильной корпоративной культуры по обработке персональных данных. Материалы выступления не выкладываю, поскольку они предоставляют собой скорее опорный конспект для докладчика, нежели самодостаточный материал. В скором времени данный кодекс должен стать публичным документом, тогда и дам на него ссылку.
Подводя итог, скажу, что конференция, не смотря на ряд недостатков, скорее удалась.
Понимание зачем нудно защищать персональные данные находится еще на достаточно низком уровне и такие мероприятия по-тихоньку исправляют ситуацию. Хотел пару слов написать и об этом, но вижу, что коллега по перу успел меня опередить. Так что просто ссылка Защита персональных данных в Гондурасе.

Персональные данные: Все животные равны, но некоторые животные равнее других

В ближайшей перспективе закон "О защите персональных данных" и подзаконные документы могут претерпеть ряд изменений. В четверг на заседании правительства  был утвержден разработанный Минюстом соответствующий проект.
В данном законопроекте Кабмин предлагает Верховной Раде отменить обязательную государственную регистрацию баз персональных данных представителями малого и среднего бизнеса, ведение которых связано с обеспечением и реализацией трудовых отношений.

Предпосылкой к изменениям послужило якобы большое количество жалоб предпринимателей по поводу того, что процедура регистрации "оказалась административно очень сложной процедурой, отнимающей у предпринимателя немало времени как на подготовку таких документов, так и на многочасовое стояние в очередях". Т.е. людьми, которые так и не удосужились почитать существующий почти год "Порядок подачи и заполнения заявления о регистрации базы персональных данных". Ибо люди, которые читали данный порядок, знают, что заявку о регистрации достаточно отправить по почте. Логично предположить, что о сложности подготовки "таких документов" данные предприниматели также имеют достаточно поверхностное представление.
Выходит для крупного бизнеса процедура простая и в очереди стоять не нужно? Вопрос риторический.
Вернемся к малому и среднему бизнесу. Насколько реально данное изменение облегчит им жизнь? Данное изменение избавляет такие компании от необходимости выполнения процедуры регистрации баз, освобождает от ответственности за уклонение от регистрации и ... все. Ответственности за соблюдение требований по защите персональных данных с них никто не снимает. А в случае нарушения компании грозит не копеечный штраф, как за регистрацию, а ответственность посерьезнее - вплоть до уголовной. А заполнение форм для регистрации могло бы стать основой для оценки какие же данные есть у компании, для чего они и какие риски с ними связаны.
Законопроект также  предлагает освободить от обязанности регистрации баз персональных данных общественные, религиозные организации, а также политические партии. Ну, тут понятна подоплека. Комментировать не буду.
И напоследок, еще одно планируемое изменение, самое логичное на мой взгляд. Законопроект предполагает право субъектов персональных данных отзывать согласие на обработку своих данных. Безусловно, это откроет новый этап ломания копий юристами в бесконечных спорах о добре и зле данного изменения. Ибо злоупотребление  злонамеренными субъектами  персональных данных отзывать может создать много неприятных моментов для компании. Так что к гадалке не ходи -  в перспективе нас ждут разъяснения и уточнения ситуаций, когда таким правом можно пользоваться, а когда нельзя.