Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

Один из немногих законов, требующих превентивных мер

Аватар пользователя Денис Елисеев Инфозащита
Автор: Елисеев Денис, Инфозащита
(4)
()
Опубликовано в:

Многие воспринимают ФЗ-152 как дополнительный налог государства. Соответственно его необходимо минимизировать. Некоторые считают, что соответствовать его требованиям необходимо по большей части в рамках маркетинга -  чтобы был дополнительный козырь для клиентов компании, чтобы не переживать, что кто-то из конкурентов может воспользоваться тем, что даненые работы в компании еще не проводились и написать регулятору, ну или чтобы не засветиться на сайте роскомнадзора в качестве проверенной компании с выявленными при проверке нарушениями.

Однако мне, как и каждому из нас, являющемуся хозяином личных персональных данных, в статье хотелось бы взглянуть на закон немного с других позиций. Ведь, если подумать, сейчас у нас есть возможность хоть как-то быть уверенными в том, что с персональными данными в компаниях, выполняющих требования ФЗ-152, теперь обращаются внимательнее - есть организационно-распорядительная документация, под которой подписываются определенные лица, становятся ответственными и т.д. В конце концов, есть понимание, где хранятся персональные данные, в каком объеме, в каком составе, какое время. Это действительно способствует повышению защищенности данных, размещенных в компании.

Конечно, тут есть место и для так называемого троллинга, когда владелец своих персональных данных, пользуясь буквой закона, может потребовать, к примеру, запретить автоматизированную обработку своих данных, или удалить их. Это часто никак не связано с их защитой, приченением ущерба этому человеку, да и со здравым смыслом тоже, но имеет место быть.

Еще один, как мне кажется, действительно важный момент, это то, что ФЗ-152, один из немногих законов, который направлен именно на предотвращение возможного ущерба, закон не столько направлен наказать за содеянное или несодеянное вовремя, скоклько на то, чтобы этого не случилось. Регуляторы проверяют, проведены ли необходимые меры в компаниях, начинают проверять, внедрены ли необходимые средства защиты. Доказательством этому служит то, что, например, регулятора беспокоит не столько утечка персональных данных, сколько уровень мер, предпринятых для их защиты (стоит вспомнить громкие утечки, тот же Мегафон в итоге заплатил какой-то несерьезный штраф за утечку персональных данных своих абонентов и вопросы к ним были именно по тому, как организована защита, все ли были предприняты меры).

Мне кажется, когда закон перестанет быть "молодым" (ему ведь всего то 5-6 лет), когда регуляторы из того множества компаний в России смогут окучить хотя бы 5-10%, отношение к нему изменится, и он займет место в ряду Трудового, Налогового и прочих прав. 

Оцените материал:
Total votes: 336
Тэги: 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя anvolkov

Превентивные меры эффективны от инцидентов. способных породить массовые утечки, и "от дурака". А в условиях, когда приватности больше нет, и сами субъекты с удовольствием выкладывают о себе все, что нужно мошенникам - превентивные меры теряют всякий смысл. 

up
59 users have voted.
Аватар пользователя Денис Елисеев Инфозащита

Согласен, но отчасти.

Действительно " Это часто никак не связано с их защитой, приченением ущерба этому человеку, да и со здравым смыслом тоже, но имеет место быть."

Однако часто данные так гуляют по базам компаний, что просто спам - это мелочи жизни. Личный пример - страховка по ОСАГО. Ближе к ее завершению регулярно начали звонить страховые компании, причем все кому ни поподя. Пришлось разослать письма счастья. Ответов на них я не получил, но в этом году звонили значительно меньше. Возможно это не совпадение.

up
49 users have voted.
Аватар пользователя anvolkov

Так опять же - РАЗОСЛАТЬ, самому. То есть дефолтные требования неэффективны. И потом - где уполномоченный, и если бы нашелся - был бы от него толк?

up
74 users have voted.
Аватар пользователя Денис Елисеев Инфозащита

Во-первых, не было б закона, возможно в этом году количество заинтересованных моим продлением специалистов могло быть раза в 2 больше))

Во-вторых, как я уже сказал, "Мне кажется, когда закон перестанет быть "молодым"... может и рассылать не придется. Сейчас ты просто купил базу клиентов, может придем к тому, что в будущем это будет уже как - "а ведь нужно обоснование, где я эту базу с персональными данными взял..."

Ведь  компаний с серыми ЗП и укрывающимися от налогов тоже полно, но стремимся к лучшему, легализуемся... Так и в этом случае.

 

up
51 user has voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.