Риторический вопрос в заголовке заметки, я задаю себе в последнее время все чаще. занявшись вплотную темой защиты персональных данных в Европе и США, прихожу к выводу, что наши и "их" регуляторы - это "небо и земля". В Европе и США цель координирующего органа по защите прав субъекта одна - соблюсти баланс интересов субъектов и операторов ПДн. При этом, они делают все, чтобы операторы понимали все требования законодательства, не собирали лишних персональных данных и т.п. В США даже советуют как обезличивать ПДн, чтобы по минимуму подпадать под требования нормативных актов. А у нас?
Ну про ФСТЭК и говорить особо не имеет смысла. Все прекрасно знают, как они предлагают защищать ПДн. Но Роскомнадзор? Он то может облегчить жизнь операторам? Он может выработать рекомендации по защите прав субъектов, по обезличиванию, по снижению объемов обрабатываемых ПДн... Но нет, то ли не досуг ему это делать. То ли он не знает, что рекомендовать. То ли ситуация еще хуже - у него основная цель кошмарить бизнес, приходя с проверками и трактуя законодательство так, как выгодно ему.
А что в других странах? Возьмем, к примеру, близкую к нам Литву. Функции уполномоченного органа в ней выполняет
Государственная инспекция по защите персональных данных. В 2004-м году австрийский институт по правам человека имени Людвига Больцмана был запущен проект PHARE, который был направлен на, внимание, повышение осведомленности операторов ПДн в деле защиты этих самых ПДн для многих стран Евросоюза. На сайте инспекции можно найти множество
рекомендаций по защите и ПДн и их субъектов, разработанных в рамках этого проекта. Причем эти рекомендации построены таким образом, что понятны неспециалистам в области безопасности и ИТ. Например,
рекомендации по защите ПДн в Интернет состоят из следующих разделов:
- участники Интернет-обмена
- Интернет-сервисы
- риски нарушения прав субъектов ПДн
- применение европейского законодательства по защите ПДн к Интернет
- инструменты защиты ПДн в Интернет (интересно что помимо анонимизации разрешается и псевдо-анонимизация).
В разделе про Интернет-сервисы рассматриваются почта, Web-серфинг, новостные группы и чаты. По каждому сервису рассматриваются риски, особенности работы с ПДн, рекомендации по защите и т.п. Например, по почте рассматривается не только классическая e-mail по POP3 или SMTP, но и Webmail, а также проблема спама, справочников почтовых адресов и т.п.
И такие рекомендации даны не только для Интернет, но и для судов, правоохранительных органов, общедоступных справочников ПДн, образования, телекоммуникационного сектора и т.п.
Может у них работают сотни сотрудников, которые это все делают? Нет, всего 33 человека! Почему наш уполномоченный и далеко не независимый орган так не может? Вопрос в пустоту...