(иллюстрация с презентации А. Мунтяна "Юридическая квалификация сведений в качестве персональных данных")
Были сделаны очень интересные доклады:
Самая наболевшая тема. Какие же данные относятся в законодательстве к персональным. Закономерно, что четко их определить не удалось. Более того, прозвучали утверждения о том, что это реально не сделать и жить нам предстоит с очень широкими трактовками в законодательстве. На мой вопрос "Что же такого случилось в Европе, что прям такие жесткие законы о защите непонятно чего потребовались? И как мы жили раньше без него?" прозвучали аргументы оппонентов про изменившиеся технологии и рост их влияния на нашу жизнь.
Входе возникшего дискуссии о целесообразности самого существования закона о неопределенной сущности (персональных данных) от Алексея прозвучала интересная информация об изменениях ИТ-рынка в ЕС после вступления в силу GDPR. Оказалось, что произошло существенное наращивание доли рынка у крупных ИТ-корпораций (GOOGLE и подобные) за счет ухода мелких и средних фирм. Это вполне логично. Выполнение требований законодательства повышает издержки компаний, что приводит к снижению экономической эффективности их деятельности. И вклад таких затрат можно нивелировать только масштабом услуг, на которые эти затраты на персонал и процессы "размазываются". У мелких и средних фирм такого пространства для маневра просто нет. +отсутствие финансовой возможности на высококлассную юридическую поддержку в судебных тяжбах. Такой вот эффект от жесткого госрегулирования.
И вот тут возникает интересный вопрос, а какова цель такого госрегулирования в ЕС? Для защиты широкой трактовки термина "персональные данные" часто приводится аргумент, что необходимо защищать всевозможную информацию, включая "цифровые следы" и бигдату. Но ведь эти технологии по отслеживанию действий в ИТ-ландшафте используют только очень крупные компании. У мелких и средний ИТ-компаний просто нет требуемого обхвата клиентов для эффективного сбора подобных данных, да и не по карману им такие "штучки". При этом, GDPR "убрал" с рынка те компании, которые не могли угрожать субъектам ПДн и отдал все данные субъектов ПДн в корпорации, реально осуществляющие сбор и обработку в корыстных целях данных о действиях субъектов ПДн. Получается, что GDPR в ЕС введен в рамках частно-государственного партнерства для монополизации ИТ-рынка? И не имеет никакой реальной цели по защите прав субъектов ПДн?
Доклад был основан на опыте "Московской Биржи" по выстраиванию корпоративной структуры информационной безопасности. В ходе ответа на мой вопрос "Как повлияли требования 187-ФЗ и приказ ФСТЭК № 235 на сложившуюся корпоративную структуру?" прозвучала информация о том, что на рабочей встречи ФСБ и ФСТЭК с представителями субъектов КИИ из финансовой сферы было сказано о недопустимости передачи за рубеж информации об компьютерных инцидентах и негативных последствиях подобного для безопасности страны. В принципе, это уже публично озвучивалось представителями ФСБ на СОК-форуме, да и я писал заметку о подобных ограничениях.
4. Доклад. Письменное согласие на обработку персональных данных – атавизм в эру цифровой экономики. Наталья Ковалева, Страховой сектор.
* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
Комментариев нет:
Отправить комментарий