ЗОПД
Закон о персональных данных.
Наверное, людям не в теме покажется, что это очень хороший закон, но на самом деле это не так. Поэтому попытаюсь объяснить действия ЗОПД более доступно, на примере конкретного человека, что с ним было бы, если бы наше уголовное право было сделано, как ЗОПД:
Вы рано утром собираетесь на работу. Как обычно, не выспались, уже опаздываете, ну и допустим, тут вам еще шеф звонить с каким-нибудь срочным поручением. Естественно, что вы торопитесь, волнуетесь ну и так случается, что вы забываете закрыть входную дверь. Наверное, хоть раз в жизни, но такое бывало с каждым. То есть вы на работе, а дверь в квартиру у вас не заперта. Ну и, как назло, в ваш подъезд проник наркоман, хоть на входе установлен домофон. Всегда ведь в подъезде найдется очень добрый человек, который всех подряд запускает. А наркоше деньги очень нужны на дозу, вот он просто обошел весь подъезд, дергая за ручки дверей. Ну и в этом раз, конечно, ему несказанно повезло, он зашел в вашу квартиру и спер ваше имущество.
Ситуация для вас не очень радостная, но вы еще не знает, как печально все будет в конце. Придя с работы домой, вы сразу обнаружили пропажу, вызвали милицию, и, о чудо, они прям в этот же день поймали этого наркомана, который вас обворовал, он дал признательные показания. Но он сказал, что дверь была не заперта, экспертиза подтвердила отсутствие взлома. И суд вынес приговор: 2 года вам, потому что вы дверь забыли запереть. Но так вы весь из себя положительный, то на первый раз условно. То есть фактически вором стали вы.
Вот так наши законодатели в очередной раз, не вникнув в суть проблемы, подставили много людей и организаций, создав дурацкие подзаконные акты к ЗОПД.
Идея его создания закона в принципе вполне прозрачна и взята нашим любимым государством у европейцев.
Суть в том, что при обработке персональных данных с использованием современных информационных технологий возможна утечка личной информации. В общем-то, ущерб не так уж и велик, но помноженный на количество людей, хранящихся в базе данных, может привести к недовольству большого количества граждан. Естественно, что власть желает прикрыть свою задницу от массового недовольства. И пока чисто теоретически все чудесно. До тех пор, пока за дело не берутся наши чиновники, которые любое благое начинание превращают в какашку.
В общем сам закон никак и никого не ограничивает в правах, ограничивают подзаконные акты, которые, похоже, придумывали наши доблестные гбэшники. Какие отрицательные последствия мы имеем:
1. Например, больницы по закону не имеют права сообщать сведения о больных без их письменного согласия или решения суда никому, даже близким родственникам. Вроде бы все нормально, но представим такую ситуация, что, не дай бог, ваш близкий родственник попал в аварию и находится в коме. Соответственно, он и согласия на о передаче сведений вам дать не может. И врачи, если будут следовать букве закона (хорошо, что они это не делают), не имеют права вам о вашем родственнике ничего сказать, в том числи и сам факт того, что он находится у них, например, в реанимации.
2. Опять же, по правилам, обработка персональных данных не может вестись в места с общим доступом. Т. е., например, в кабинете у врача, ведущего прием, не должно быть компьютера. Так как если врач забудет закрыть эл. карточку больного, то сведения о нем может увидеть другой пациент. Т. е. практически все преимущества компьютерной обработки данных теряются. Врач должен осмотреть пациента, уйти в другую комнату, там посмотреть карточку, внести изменения. В общем, на обслуживания одного человека час наверное будет уходить. И так в принципе везде, например работа со студентами в деканате и т. д.
В общем, нюансов там еще много, которые усложняют жизнь не только организациям, но и тем людям, которых они обслуживают. Да, точное соблюдения требований закона выльется для каждой крупной организации в огромные расходы, в несколько десятком миллионов рублей.
А почему у нас так получилось? А потому что за реализацию закона принялись не те люди.
Как с этим законом дело обстоит в Европе? А примерно так: выполнение требований закона не должно мешать задачам обработки данных. А у нас наоборот: вы можете обрабатывать данные только после того, как выполните все требования по их защите. А они у нас такие, как будто защищаем мы не персональные данные, а государственную тайну. В общем, подзаконные акты чересчур строги.
В Европе говорят: оператор должен защищать персональные данные. В случае обнаружения утечки обеспечить доработку системы, что бы в дальнейшем ее избежать. У нас же говорят: если утечка произошла, то все, предприятие будет парализовано, его обложат штрафами и проверками и работать оно, наверное, полгода не сможет.
В общем, мне кажется, что надо перенести тяжесть ответственности с операторов на тех, кто ворует и незаконно используется персональные данные. Например так:
1. За воровство, незаконную продажу или распространение персональных данных по каждой категории начиная от К3 до К1 давать 5 лет, 10 и 20 лет ограничения свободы соответственно.
2. За незаконное использование персональных данных, обрабатываемых другими организациями - 3, 5 и 10 лет в соответствии с категорией ПД.
3. Операторы должны обеспечивать разумную защиту ПД с использованием необходимых технологий, в том числе и зарубежных, а не только сертифицированных ФСБ и/или ФСТЭК.
Единственное утешение, которое есть для всех операторов персональных данных: суровость российских законов компенсируется необязательностью их исполнения. У нас скоро грядет плановая проверка соблюдения ЗОПД, и, похоже, как всегда, можно будет обойтись весьма малой кровью. Потому как у надзорного органа не хватает грамотных специалистов, которые потенциально могли бы найти дыры в защите, так же они понимают существенную чрезмерность подзаконных актов, поэтому в общем-то люди там нормальные работают и специально гнобить никого не будут. А вот что плохо: придет команда сверху положить какое-нибудь предприятие, и вот пожалуйста, ЗОПД обеспечивает такую возможность практически в 99.9% случаев. Потому как полностью выполнить требования весьма сложно.
Наверное, людям не в теме покажется, что это очень хороший закон, но на самом деле это не так. Поэтому попытаюсь объяснить действия ЗОПД более доступно, на примере конкретного человека, что с ним было бы, если бы наше уголовное право было сделано, как ЗОПД:
Вы рано утром собираетесь на работу. Как обычно, не выспались, уже опаздываете, ну и допустим, тут вам еще шеф звонить с каким-нибудь срочным поручением. Естественно, что вы торопитесь, волнуетесь ну и так случается, что вы забываете закрыть входную дверь. Наверное, хоть раз в жизни, но такое бывало с каждым. То есть вы на работе, а дверь в квартиру у вас не заперта. Ну и, как назло, в ваш подъезд проник наркоман, хоть на входе установлен домофон. Всегда ведь в подъезде найдется очень добрый человек, который всех подряд запускает. А наркоше деньги очень нужны на дозу, вот он просто обошел весь подъезд, дергая за ручки дверей. Ну и в этом раз, конечно, ему несказанно повезло, он зашел в вашу квартиру и спер ваше имущество.
Ситуация для вас не очень радостная, но вы еще не знает, как печально все будет в конце. Придя с работы домой, вы сразу обнаружили пропажу, вызвали милицию, и, о чудо, они прям в этот же день поймали этого наркомана, который вас обворовал, он дал признательные показания. Но он сказал, что дверь была не заперта, экспертиза подтвердила отсутствие взлома. И суд вынес приговор: 2 года вам, потому что вы дверь забыли запереть. Но так вы весь из себя положительный, то на первый раз условно. То есть фактически вором стали вы.
Вот так наши законодатели в очередной раз, не вникнув в суть проблемы, подставили много людей и организаций, создав дурацкие подзаконные акты к ЗОПД.
Идея его создания закона в принципе вполне прозрачна и взята нашим любимым государством у европейцев.
Суть в том, что при обработке персональных данных с использованием современных информационных технологий возможна утечка личной информации. В общем-то, ущерб не так уж и велик, но помноженный на количество людей, хранящихся в базе данных, может привести к недовольству большого количества граждан. Естественно, что власть желает прикрыть свою задницу от массового недовольства. И пока чисто теоретически все чудесно. До тех пор, пока за дело не берутся наши чиновники, которые любое благое начинание превращают в какашку.
В общем сам закон никак и никого не ограничивает в правах, ограничивают подзаконные акты, которые, похоже, придумывали наши доблестные гбэшники. Какие отрицательные последствия мы имеем:
1. Например, больницы по закону не имеют права сообщать сведения о больных без их письменного согласия или решения суда никому, даже близким родственникам. Вроде бы все нормально, но представим такую ситуация, что, не дай бог, ваш близкий родственник попал в аварию и находится в коме. Соответственно, он и согласия на о передаче сведений вам дать не может. И врачи, если будут следовать букве закона (хорошо, что они это не делают), не имеют права вам о вашем родственнике ничего сказать, в том числи и сам факт того, что он находится у них, например, в реанимации.
2. Опять же, по правилам, обработка персональных данных не может вестись в места с общим доступом. Т. е., например, в кабинете у врача, ведущего прием, не должно быть компьютера. Так как если врач забудет закрыть эл. карточку больного, то сведения о нем может увидеть другой пациент. Т. е. практически все преимущества компьютерной обработки данных теряются. Врач должен осмотреть пациента, уйти в другую комнату, там посмотреть карточку, внести изменения. В общем, на обслуживания одного человека час наверное будет уходить. И так в принципе везде, например работа со студентами в деканате и т. д.
В общем, нюансов там еще много, которые усложняют жизнь не только организациям, но и тем людям, которых они обслуживают. Да, точное соблюдения требований закона выльется для каждой крупной организации в огромные расходы, в несколько десятком миллионов рублей.
А почему у нас так получилось? А потому что за реализацию закона принялись не те люди.
Как с этим законом дело обстоит в Европе? А примерно так: выполнение требований закона не должно мешать задачам обработки данных. А у нас наоборот: вы можете обрабатывать данные только после того, как выполните все требования по их защите. А они у нас такие, как будто защищаем мы не персональные данные, а государственную тайну. В общем, подзаконные акты чересчур строги.
В Европе говорят: оператор должен защищать персональные данные. В случае обнаружения утечки обеспечить доработку системы, что бы в дальнейшем ее избежать. У нас же говорят: если утечка произошла, то все, предприятие будет парализовано, его обложат штрафами и проверками и работать оно, наверное, полгода не сможет.
В общем, мне кажется, что надо перенести тяжесть ответственности с операторов на тех, кто ворует и незаконно используется персональные данные. Например так:
1. За воровство, незаконную продажу или распространение персональных данных по каждой категории начиная от К3 до К1 давать 5 лет, 10 и 20 лет ограничения свободы соответственно.
2. За незаконное использование персональных данных, обрабатываемых другими организациями - 3, 5 и 10 лет в соответствии с категорией ПД.
3. Операторы должны обеспечивать разумную защиту ПД с использованием необходимых технологий, в том числе и зарубежных, а не только сертифицированных ФСБ и/или ФСТЭК.
Единственное утешение, которое есть для всех операторов персональных данных: суровость российских законов компенсируется необязательностью их исполнения. У нас скоро грядет плановая проверка соблюдения ЗОПД, и, похоже, как всегда, можно будет обойтись весьма малой кровью. Потому как у надзорного органа не хватает грамотных специалистов, которые потенциально могли бы найти дыры в защите, так же они понимают существенную чрезмерность подзаконных актов, поэтому в общем-то люди там нормальные работают и специально гнобить никого не будут. А вот что плохо: придет команда сверху положить какое-нибудь предприятие, и вот пожалуйста, ЗОПД обеспечивает такую возможность практически в 99.9% случаев. Потому как полностью выполнить требования весьма сложно.