Очень немногие «облачные провайдеры» готовы брать на себя ответственность за обеспечение защиты персональных данных

Первое, на что я хотела бы обратить внимание - это всем известный закон, который называют «закон о забвении». Появилась дополнительная нагрузка на поисковые системы: Google, Яндекс и другие. Теперь они больше вынуждены работать с гражданами, поскольку должны реагировать на абсолютно любой запрос, поступающий в целях удаления контента, а также ссылок на ту информацию, которую граждане в отношении себя видеть не хотят. 

На самом деле закон более регламентированный. Это не любая информация, она должна быть либо устаревшей, либо неактуальной, либо потерявшей свою ценность, либо не соответствующей действительности. Поскольку действие этого закона началось с 2016 года, и уже прошло пять месяцев, можно говорить о первых результатах, а также увидеть пробелы, которые этот закон имеет. Некоторые критерии при его принятии действительно не были учтены, и об этом свидетельствует практика поисковых систем. 

Например, нет критерия общественной значимости информации, но существует понятие «информации, которая давно была размещена», и здесь должен оцениваться критерий, насколько она потеряла актуальность. А если эта информация о тренерах, учителях, врачах, то есть, о тех людях, которые могут оказывать влияние на здоровье и жизнь человека? Это первый момент, который не был учтен. 

Второй момент – форма, в которой должна представляться информация, заявления граждан. Конечно, удобно все обрабатывать в электронном виде, но поисковые системы столкнулись с проблемой, когда многие заявления приходится переводить в электронный формат и оценивать, насколько они достоверны. 

Выяснились трудности с определением критериев. Что считать достоверной или недостоверной информацией? Как компаниям Google или Яндекс проверить этот критерий? У них нет механизмов и ресурсов, как у Органов внутренних дел, Федеральной службы безопасности или других ведомств, имеющих доступ к такой информации. Очень сложно отследить, что есть правда, что - нет. Какие документы нужно представлять гражданам, если они хотят, чтобы эта информация была убрана? Естественно, все те заявления, которые получает поисковая система, она вынуждена обработать. Но не факт, что она скажет «да» этим запросам. Закон интересен, он направлен на защиту граждан и имеет хорошие результаты, потому что часть обращений действительно удовлетворяется, но те проблемы, которые возникают, еще подлежат доработке и устранению. 

Ваш второй вопрос по локализации персональных данных. Этот закон действует всего лишь с 1 сентября 2015 года. Вы наверняка помните, какая паника была, когда о нем заговорили и собирались принимать: мы боялись, что российский Рунет закроют от мира. Все думали, что это единственная цель принятия закона. 

Может быть, я оптимист по натуре или слишком патриотична, но мне кажется, что правильнее было бы думать о нашей российской безопасности. Мы знаем, что российскую экономику во многом делают наши российские компании, но с иностранным участием. В больших международных холдингах информация о закупках, поставках, согласовании договоров, клиентах, абонентах и пр. консолидируется и собирается за рубежом и может оказаться не у нас. 

А что случится, если опустится железный занавес? Как мы будем выживать в этой ситуации? Мы не сможем никому ничего продать, поставить, увидеть адрес, контактные данные и так далее. Будем надеяться, что такая угрожающая ситуация не наступит. Но, тем не менее, сейчас этот закон все равно наложил дополнительные обязательства и забирает у операторского рынка и компаний других сегментов бизнеса достаточно большой финансовый и административный ресурс, чтобы удовлетворять требования этого закона. 

Приведу для наглядности пару примеров. Сейчас широко обсуждается тема аутсорсинга, и все предлагают взять на аутсорс управленческие и финансовые услуги, консалтинг. Идея хорошая, а учитывая развитие облачных технологий и сервисов, существует множество компаний, которые предлагают действительно уникальные продукты на рынке. Чаще это зарубежные компании, которые предлагают доступ в облако и любую систему, позволяющую легко согласовывать договоры (например, внутри компании), вести клиентские базы и так далее. У них есть много функций, которые востребованы бизнесом. Между тем, готовы ли они по договору принимать на себя ответственность, как провайдера услуг, за то, чтобы обеспечивать защиту персональных данных, предпринять все меры, которые эту защиту будут обеспечивать в соответствии с российским законодательством? Здесь начинаются сложности, потому что мало кто готов это делать. Компания стоит перед выбором: то ли экономить и отдавать на аутсорсинг то, что можно отдать, то ли сталкиваться с проблемой защиты персональных данных. 

Мы знаем, что любое согласие можно попросить, если есть согласие – живем спокойно. Но вопрос, на что мы спросили согласие и что мы дальше делаем. Мы знаем, что в бизнесе сбор персональных данных происходит, а клиентская рассылка осуществляется не самой компанией, а привлеченным провайдером – то есть, отдали на аутсорсинг. Нужно заглянуть в договоры и посмотреть, что мы прописали. Попросили согласие на то, что мы осуществляем рассылку, или на то, что мы имеем право передать кому-то персональные данные для того, чтобы эту рассылку осуществить. 

Кроме того, есть вопросы, связанные с актуальностью баз данных. Закон «О персональных данных» действует уже около 10 лет, но до сих пор компании не сделали качественную инвентаризацию, которая нужна для выполнения требований закона. Закон о локализации сподвигнул компании эту инвентаризацию провести. О чем идет речь? Например, есть интернет-магазин, который собирает данные: ему нужны Фамилия Имя Отчество, телефон. Возникает вопрос, связанный с заказом товара, работы, услуги. Так вот, если приаттачена фотография, база данных ее собирает, но нужна ли она реально? Она может быть не нужна, но компания по привычке собирает информацию обо всем: о хобби, увлечениях, интересах, родственниках. В каком-то бизнесе она нужна, в каком-то - нет, и сейчас это подтолкнуло компанию к тому, чтобы не описывать все базы данных, не разбирать их по функционалу, думать что копировать, а что не копировать, отдавать ли на аутсорсинг эту услугу. Они столкнулись с тем, что нужно от части баз отказаться, а какие-то базы оставить.

Из положительного могу сказать, что это хорошо для ЦОДов, потому что у них появился дополнительный пул клиентов. Но ЦОДам, если они используют программное обеспечение, направленное на работу с конфиденциальной информацией, тоже нужно соблюдать иные требования, связанные не только с законом «о защите персональных данных», но и с получением разрешительной документации от ФСБ. Закон показал, что есть свои плюсы и минусы, посмотрим, каким образом бизнес будет отстаивать свои интересы и защищать персональные данные. 

В Вашем вопросе уже содержится ответ: мы видим, что небыстро. Законодательная процедура у нас длительная. Сначала нужна инициатива, чтобы рынок показал, что есть какая-то потребность, а дальше инициатива, которая должна зародиться в недрах министерств или ведомств, на уровне Правительства внесена в Государственную Думу, потом три чтения, Совет Федерации, президент. Это достаточно длительный процесс, и он касается регулирования в абсолютно любой отрасли, поэтому регулятор не успевает. Законодательная база несколько отстает от развития, тем более в такой высокотехнологичной отрасли, как TMT, и это способствует появлению большего количества совместных проектов. Все мы знаем, что Вотсапп дружил с ВымпелКомом. Они думали, какой запустить сервис, какой предложить тарифный план абоненту, как поделить кусок пирога, и, соответственно, те деньги, которые можно получить от абонентов. Здесь есть минус: действительно, мне, как абоненту, неинтересно получать спам на Viber или Вотсапп, а хочется быть огражденной от этого. С другой стороны, возможно, это какая-то перспектива для операторов и я, как абонент, буду готова заплатить больше денег за то, чтобы мне дали дополнительный бесплатный сервис, объем трафика и так далее. В этом есть определенный плюс для развития совместных проектов, ну а для регулятора и законодателя – это задача, которую предстоит решить в ближайшем будущем.

Спасибо большое.

Источник - JSON.TV