Защита персональных данных: международный и отечественный опыт

Как защитить персональные данные? Об этом размышляли специалисты и эксперты, которые делились отечественным и международным опытом на VII Международной конференции по защите прав субъектов персональных данных. Наш корреспондент  побывал там.

08.11.2016г. в Москве состоялась VII Международная конференции по защите прав субъектов персональных данных, организованная  Роскомнадзором. На ежегодном мероприятии  всесторонне освещались национальные практики различных стран в области защиты персональных данных.  

На секциях «Право и образование» и «Технологии и образование»  выступили руководители Роскомнадзора, представители ФСБ, ФСТЭК и  ряда европейских организаций, иностранных компаний и различных организаций по защите персональных данных из Италии, Польши, Венгрии, Болгарии, Словении, Республики Сербия, Молдовы, Азербайджана,  Мексики.  

Во всех докладах, кроме рассказа об особенностях тех или иных национальных проектов и проблемах в этой области, были затронуты вопросы общих и общеевропейских стандартов. Неоднократно подчеркивалось, что в целом европейское законодательство в этой области носит развивающийся, открытый всем конкретным технологическим инновациям характер. Представитель из Италии Александра Перуччи по просьбе ведущего прокомментировала содержание основного общеевропейского законодательного инструмента в области регулирования защиты прав субъектов охраны персональных данных. Речь идет о  Конвенция 108 Совета ЕС  –  «Конвенция о защите физических лиц при автоматизированной обработке персональных данных»  (Заключена в г. Страсбурге 28.01.1981г. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data CETS No.).   Этот международный акт, где изложены основополагающие принципы защиты данных, ратифицированный к настоящему моменту несколькими десятками стран, носит открытый и универсальный характер, а присоединение к  Конвенции является критерием адекватного поведения той или иной страны, как подчеркнула Александра Перуччи.

Конвенция была обновлена в 2011г. с учетом возможности её доработки в будущем. Именно в целях постоянной открытости изменениям и для того, чтобы иметь возможность отражать новации (например, по защите биометрических данных) этот документ и был написан технологически нейтральным языком. Большая роль в её реализации отведена национальным регулирующим органам. 

В Конвенции подчеркнута необходимость учитывать личное мнение субъекта защиты, который имеет право знать, что данные о нем собраны. А в случае необходимости ему должна быть гарантирована возможность их исправить. Исключением здесь является сфера национальной безопасности и борьба с терроризмом. Залогом успешной реализации заложенных в Конвенции принципов является постоянное повышение компетентности органов, занимающихся охраной информации, и адаптация её к особенностям национального законодательства в тех странах, которые уже присоединились или захотят присоединиться к ней в будущем. 

Тема общеевропейского законодательства в области защиты прав данных и направлений его модернизации и реформирования в ряде документов была продолжена в докладах Войчеха Вевьюровски, заместителя Европейского инспектора по защите данных, и Джузеппе Бусия, генерального секретаря Уполномоченного органа по защите данных в Италии.

Вевьюровски коснулся таких вопросов, как расширение понятия и признаков персональных данных (так, например, цифровая запись в базе данных хотя бы для граждан одной из стран является персональной информацией, поскольку представляет собой паспортные данные), гармонизация общеевропейского законодательства в отношении прав каждой страны, значение при обработке данных прозрачности, честности и законности. Дела, связанные с нарушениями при обработке, хранении и контроле за персональной информацией уже начали рассматриваться в судебном порядке с наложением санкций административного характера. Европейский суд также узаконил «право быть забытым»: т.е. возможность изъятия из интернета персональной информации. 

Бусиа рассказал о новых угрозах в защите данных в связи с проблемами Больших Данных, при работе с которыми требуется обработка большого количества личной информации. Так, в области медицины, где для успеха лечения врачам и исследователям необходимо воспользоваться как можно большим количеством данных, вместе с этим возрастают и угрозы личным данным. Риски возрастают, когда решения принимаются на основе автономной обработки информации с использованием алгоритмов при принятии решений. Бусиа подчеркнул, что использования традиционных механизмов больше недостаточно и мир стоит на пороге сдвига парадигмы в области оценки риска. Информационная власть все больше переходит в руки регуляторов. 

Российские подходы к теме Больших Данных и открытых данных озвучил в докладе и Юрий Кантемиров, руководитель управления Роскомнадзора, подчеркнувший важность для национальной практики международного опыта.

Участники конференции из Азербайджана (Бахтияр Мамедов, юридический отдел Министерства связи и высоких технологий), Республики Молдовы (Сергей Бозиану, Национальный центр по защите персональных данных), Мексики (Монтеррей Чепов Розенгоевгуени, Национальный институт информационной открытости, доступа к информации и защиты персональных данных) в своих докладах дали обзор ряда национальных регулирующих, управленческих, законодательных, правоприменительных и правоохранительных практик по защите персональных данных. 

Веселин Целков из Болгарии, член Правления комиссии по защите персональных данных, представил онлайновые сервисы для оценки эффективности государственной деятельности в области защиты персональных данных. Златко Петрович из Сербии, комиссар по информации общественной значимости и защите персональных данных,  рассказал о получившей широкий резонанс в стране истории, когда в результате деятельности национального Агентства по приватизации в открытый доступ в Интернете попал файл с личными данными более 5 млн. жителей Республики Сербия (общая же численность населения страны всего немногим более 7 млн. населения).  

Доклад Андрея Томшича из Словении, заместитель комиссара по вопросам информации, был посвящен возможностям сертификации как надежного инструмента защиты в сфере конфиденциальности и защиты информации. Юлия Сиклаи (Национальный орган по защите данных и свободе информации, Венгрия) и Анна Завила-Неджвецка (Бюро генерального инспектора по защите персональных данных, Польша) дали обзор национальных проектов, посвященных защите прав детей и образовательных инициативам в области обеспечения этих прав и сетевой безопасности. 

В информации представителей российских уполномоченных органов и ведомств – Роскомнадзора, ФСТЭК, Банка России – была раскрыта стратегия информационно-публичной деятельности Роскомнадзора (Антонина Приезжева, заместитель руководителя Роскомнадзора), вопросы технической защиты информации при обработке данных (Елена Торбенко, начальник отдела 2 управления ФСТЭК России),  а также актуальность защиты данных для такой динамично развивающейся сферы как кредитная деятельность банков (Артем Сычев, Банк России). 

Также  была затронуты вопросы: значение всестороннего подхода к защите данных в бизнесе на уровне компании (Александр Хегай, директор по развитию бизнеса «Cross Technologies»), важность кодексов добросовестного профессионального поведения в этой сфере (Георгий Мжаванадзе, юрист  «Baker & McKenzie»), проблемы хранения персональных данных в облаке по законодательству (Дмитрий Битков, сиcтемный архитектор Schneider Group), практическое значение для бизнеса следования тем техническим стандартам, которые предъявляет ФСБ (Александр Бодров, ФСБ России) «Отдельные вопросы обеспечения безопасности персональных данных при их обработке с использованием СКЗИ»). Юрий Малинин, директор АИС, рассказал о ряде аспектов подготовки специалистов по ИБ с учетом тех новых требований, которые диктует ситуация в области защиты персональных данных.

О перспективах переноса персональных данных для хранения в Россию пояснил Гай Виллнер (IXcellerate). Он подчеркнул географически удобное положение Москвы для контактов, например, западных компаний с китайскими заказчиками. 

В заключительном докладе конференции Юрий Кантемиров обобщил ряд итогов контрольно-надзорной деятельности Роскомнадзора, дал обзор типовых нарушений и разъяснил ряд моментов правоприменительной практики в области защиты персональных данных.

Марианна Соколова

Российское информационное агентство «Национальный альянс»

Еще на эту тему:IV Национальный платежный форум-2016: ситуация на российском рынке электронных безналичных платежей

Хакеры в засаде: блеф или демонстрация уязвимостей?

Импортзамещение и цифровая экономика: уравнение со многими неизвестными?