Последовал ответ "подписантам"
Как всем известно, было широко опубликовано "письмо пяти", к которому присоединились многие, в том числе и ваш покорный слуга.
Последовал ответ, который, на мой взгляд, как и многое, что связано с новой редакцией ФЗ, достойно осмысления.
Прежде всего, в ответе, кроме упреков авторам в некорректных ссылках на Конвенцию, содержатся мысли, которые можно прочесть "между строк". И мысли эти следующие:
Свое отношение к будущим событиям (документам) я сформулировал по просьбе сетевого журнала "Персональные данные" (полная версии рассмотрения "новаций" в ФЗ планируется журналом к публикации в июльском номере):
"В результате непростых и подчас драматичных обсуждений того, что должно войти в эту статью, принята редакция, согласно которой Правительство Российской Федерации должно «с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных» установить, в частности, «уровни защищенности персональных» и «требования к защите персональных данных».
Первое, на что нужно обратить внимание, это то, что впервые в Законе перечисляются некие критерии (факторы), исходя из которых будут определены «уровни защищенности» и «требования к защите». Правда, перечень эти критериев (факторов) не содержит таких важных факторов, как характер обрабатываемых персональных данных (степень их «чувствительности» для субъекта данных), условия (контекст) их обработки, а также возможность технической реализации и стоимость мер. Будем надеяться на то, что в будущих подзаконных документах эти критерии (факторы) будут учтены.
Будем надеяться также на то, что содержанием этих документов будут рекомендации для операторов, а не «императив» в виде «коробочных решений» на все случае жизни. В противном случае, такой подход не будет соответствовать ни здравому смыслу, ни бесконечному многообразию «систем обработки». Достичь «единообразия» невозможно, хотя бы потому, что разнообразие сочетания «факторов» порождает огромное многообразие конкретных решений.
Нужно также обратить особое внимание на принципиальный и тяжелый порок такого подхода. Принимая (покупая) «коробочное решение» оператор де-факто «перекладывает» ответственность на «продавца» (в конечном итоге - государство), принимая, в частности, и такой сомнительный продукт, как «сертифицированные средства». Такой подход мог бы считаться допустимым во всех иных сферах, но не в той, где «на весах» права и свободы граждан. По сути это антиконституционный подход, поскольку на практике лишает «субъекта персональных данных» возможности добиться восстановления нарушенных прав и свобод «в случае чего». В свою очередь, устранить это «в случае чего» невозможно. Даже в теории не существует решений, гарантирующих амбициозный «комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных».
В заключение, хотел бы отметить очень важное, принципиальное свойство большинства положений закона о персональных данных - свойство «оценочности». Иными словами, этот закон не является, не может являться и не должен рассматриваться в качестве «инструкции по эксплуатации» персональных данных. На практике это означает, что в каждом конкретном случае перед оператором стоит (должен стоять) выбор в отношении решения, принимаемого им исходя из конкретной ситуации и, разумеется, из собственных знаний. Тех знаний, которые от него требует статья 18.1 новой редакции. Такой «оценочный» поход должен применяться также и к «мерам по обеспечению безопасности персональных данных при их обработке». Надеюсь, что столь очевидные соображения будут учтены при разработке подзаконных документов."
Принимая в целом идею "скандала заранее" и имея ввиду тяжелый опыт существующих "подзаконных актов", я, тем не менее, не считаю этот путь полностью конструктивным.
Если сообщество настроено на созидательную ноту, если целью совместных действий является не "скандал", как таковой, и не пиар конкретных лиц, а результат, то следует, на мой взгляд, выступать с конкретными предложениями.
Уверен, что "интеллектуальный потенциал" у сообщества для этого имеется. Как и уверен в том, что исполнительная власть способна благожелательно встретить это движение... По крайней мере, я на это надеюсь. А другого выхода нет...
Последовал ответ, который, на мой взгляд, как и многое, что связано с новой редакцией ФЗ, достойно осмысления.
Прежде всего, в ответе, кроме упреков авторам в некорректных ссылках на Конвенцию, содержатся мысли, которые можно прочесть "между строк". И мысли эти следующие:
- В законопроекте (законе), который будет представлен Президенту для подписания, содержатся все необходимые "критерии", которым должны пользоваться операторы, принимая то или иное решение в отношении принимаемых мер (в частности, статья 18.1)
- "Регуляторы", в соответствии с ФЗ (статьей 19), выберут те решения, которые"правильны" и устроят "операторов".
Свое отношение к будущим событиям (документам) я сформулировал по просьбе сетевого журнала "Персональные данные" (полная версии рассмотрения "новаций" в ФЗ планируется журналом к публикации в июльском номере):
"В результате непростых и подчас драматичных обсуждений того, что должно войти в эту статью, принята редакция, согласно которой Правительство Российской Федерации должно «с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных» установить, в частности, «уровни защищенности персональных» и «требования к защите персональных данных».
Первое, на что нужно обратить внимание, это то, что впервые в Законе перечисляются некие критерии (факторы), исходя из которых будут определены «уровни защищенности» и «требования к защите». Правда, перечень эти критериев (факторов) не содержит таких важных факторов, как характер обрабатываемых персональных данных (степень их «чувствительности» для субъекта данных), условия (контекст) их обработки, а также возможность технической реализации и стоимость мер. Будем надеяться на то, что в будущих подзаконных документах эти критерии (факторы) будут учтены.
Будем надеяться также на то, что содержанием этих документов будут рекомендации для операторов, а не «императив» в виде «коробочных решений» на все случае жизни. В противном случае, такой подход не будет соответствовать ни здравому смыслу, ни бесконечному многообразию «систем обработки». Достичь «единообразия» невозможно, хотя бы потому, что разнообразие сочетания «факторов» порождает огромное многообразие конкретных решений.
Нужно также обратить особое внимание на принципиальный и тяжелый порок такого подхода. Принимая (покупая) «коробочное решение» оператор де-факто «перекладывает» ответственность на «продавца» (в конечном итоге - государство), принимая, в частности, и такой сомнительный продукт, как «сертифицированные средства». Такой подход мог бы считаться допустимым во всех иных сферах, но не в той, где «на весах» права и свободы граждан. По сути это антиконституционный подход, поскольку на практике лишает «субъекта персональных данных» возможности добиться восстановления нарушенных прав и свобод «в случае чего». В свою очередь, устранить это «в случае чего» невозможно. Даже в теории не существует решений, гарантирующих амбициозный «комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных».
В заключение, хотел бы отметить очень важное, принципиальное свойство большинства положений закона о персональных данных - свойство «оценочности». Иными словами, этот закон не является, не может являться и не должен рассматриваться в качестве «инструкции по эксплуатации» персональных данных. На практике это означает, что в каждом конкретном случае перед оператором стоит (должен стоять) выбор в отношении решения, принимаемого им исходя из конкретной ситуации и, разумеется, из собственных знаний. Тех знаний, которые от него требует статья 18.1 новой редакции. Такой «оценочный» поход должен применяться также и к «мерам по обеспечению безопасности персональных данных при их обработке». Надеюсь, что столь очевидные соображения будут учтены при разработке подзаконных документов."
Принимая в целом идею "скандала заранее" и имея ввиду тяжелый опыт существующих "подзаконных актов", я, тем не менее, не считаю этот путь полностью конструктивным.
Если сообщество настроено на созидательную ноту, если целью совместных действий является не "скандал", как таковой, и не пиар конкретных лиц, а результат, то следует, на мой взгляд, выступать с конкретными предложениями.
Уверен, что "интеллектуальный потенциал" у сообщества для этого имеется. Как и уверен в том, что исполнительная власть способна благожелательно встретить это движение... По крайней мере, я на это надеюсь. А другого выхода нет...