Информационная безопасность по-русски

Пропустил я как-то новость о том, что Роскомнадзор стал проводить аттестацию граждан и организаций в качестве экспертов и для участия в проверках Роскомнадзора по теме персональных данных.

Что ж решение очень верное, как говорится: «Давно пора…»

Однако есть у этого мероприятия нюансы. В частности, что «участие экспертов и экспертных организаций в проводимых контрольно-надзорных мероприятиях будет осуществляться на БЕЗВОЗМЕЗДНОЙ ОСНОВЕ».

Понятно, что “неоплачиваемость” работы отобьет желание некоторых экспертов При этом, возможность поучаствовать «в теме» не упустят интеграторы. Интересно им это по нескольким причинам. Во-первых, банальный PR. Во-вторых, лишний шанс «подружиться» с регулятором. В-третьих, есть возможность набраться опыта в проведении реальных проверок. В сумме получается немалая помощь интеграторскому бизнесу.

Ну, это все в теории. А как же практика? А практика очень проста. Спустя 3 дня после новости на сайте регулятора о начале аттестации граждан и организаций, выходит пресс-релиз о том, что компания Кабест (Астерос) получила свидетельство об аккредитации Роскомнадзора, так же как и 10 ее сотрудников. В реестре аккредитованных граждан указано, что аккредитованы все 10 человек еще 3 недели назад, а именно 24 января 2012 г. Интересно? А еще интересно, что аккредитацию получил почти весь ТОР-менеджмент Кабеста . Но тут не нужно ерничать, все понятно, для бизнеса дружба с регуляторами полезна. Поэтому Кабест можно только поздравить с таким эксклюзивом! Молодцы!

А вот что касается Роскомнадзора, то тут не все так просто. Некоторые могут усмотреть, по меньшей мере, необъективность регулятора. Очень уж странная выборка получается. Также глубоко абсурдным выглядит факт, что Роскомнадзор реально верит, что ТОП-менеджеры крупного российского интегратора будут ездить по проверкам Индивидуальных предпринимателей или ООО из 2 человек, будут задавать им вопросы, писать экспертные заключения и т.п. Ну, смешно, коллеги, ей Богу…

И от этого становится интересно, как будет вести себя Роскомнадзор в дальнейшем? Кого будут регистрировать? Как быстро? Насколько «случайно» будет работать выборка экспертов и экспертных организаций? Будет ли вообще работать институт экспертов и экспертных организаций или останется лишь инструментом пиара? В общем вопросов много…

Кому интересно заявиться в Роскомнадзор в качестве эксперта вот документы к изучению:

• Правила аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю
• Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) от 8 апреля 2011 г. N 239 г. Москва “Об утверждении форм заявлений о продлении срока действия и о переоформлении свидетельств об аккредитации граждан и организаций, привлекаемых Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций в качестве экспертов, экспертных организаций к проведению мероприятий по контролю при осуществлении проверок юридических лиц и индивидуальных предпринимателей”

Другие записи

• Парламентские слушания в Государственной думе по персональным данным
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Принципы защиты персональных данных на предприятии и подводные камни привлечения интегратора. Слайдкаст
• Банковское сообщество согласовало новую версию СТО БР ИББС с регуляторами по защите персональных данных
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Конференция IDC в Екатеринбурге

Автор: Царев Евгений | Метки: закон о персональных данных, Законодательство, защита персональных данных, Интеграторы, Информационная безопасность, Кабест, Коллеги, Новость, Проверки, Роскомнадзор, Требования

В среду Евросоюз открыто объявил о реформировании законодательства в сфере защиты персональных данных. Реформы готовились давно и вот о них объявили открыто. Суть изменений в первую очередь сводится к созданию единых правил по защите персональных данных во всей Европе. Однако помимо очевидных преимуществ интеграции, реформы несут в себе серьезные эволюционные изменения в плане регулировании этой темы.

К слову, интересен подход европейцев к решению этой задачи. В частности они сделали ряд разъясняющих и промороликов реформы. Все их можно посмотреть на официальном канале в Youtube. Вот один из роликов:

Вот ключевые тезисы по реформе:

• Создаются единые правила по защите персональных данных, действительные во всем ЕС. Исключаются излишние административные требования, такие как отправка компаниями уведомлений об обработке персональных данных в контролирующие органы. По расчетам Брюсселя это позволит сэкономить предприятиям примерно 2,3 млрд. евро в год.
• Вводятся общие принципы и правила по защите персональных данных в целях межгосударственного сотрудничества в т.ч. и по уголовным делам.
• Компании должны уведомлять национальный контролирующий орган об инцидентах с данными в кротчайшие сроки (если это возможно, то в течение 24 часов).
• Организации будет иметь дело только с одним национальным контролирующим органом по защите персональных данных. Кроме того, граждане могут обратиться в орган по защите персональных данных в стране своего пребывания, даже если их данные обрабатывает компания, базирующаяся за пределами ЕС или в других странах ЕС.
• «Право на переносимость персональных данных». По новому законодательству граждане должны получить упрощенную процедуру передавать свои персональные данные от одного поставщика услуг к другому. Это повысит конкуренцию среди поставщиков услуг.
• «Право быть забытым». По новому законодательству граждане должны получить упрощенную процедуру уничтожения своих персональных данных, если нет законных оснований для их сохранения.
• Новые правила ЕС должны приниматься также и нерезидентами ЕС, если они активно работают на рынке ЕС и предоставляют свои услуги гражданам ЕС.
• Национальные контролирующие органы по защите персональных данных получат дополнительные полномочия и ресурсы. Они будут иметь право применять меры взыскания к компаниям, которые нарушают правила ЕС по защите персональных данных. В частности смогут взыскивать штрафы в размере до 1 милл. евро или до 2% от общемирового годового оборота компании.

Комментировать и сравнивать европейский подход с нашим даже не хочу.

Другие записи

• Роскомнадзор набирает экспертов по персональным данным, но пока нашел только Кабест
• Тезисы с челябинской конференции
• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Парламентские слушания в Государственной думе по персональным данным
• Новости из Ассоциации Российских Банков и Министерства Связи и массовых коммуникаций в части защиты персональных данных
• Статья в журнале «Банковские Технологии»

Автор: Царев Евгений | Метки: закон о персональных данных, защита персональных данных, Интеграторы, обеспечение безопасности персональных данных, персональные данные, Роскомнадзор

Не люблю ходить по магазинам, поэтому большую часть своих покупок делаю через интернет. За последние 3 года сделал около 150 разных покупок на западных площадках. Проблем почти не возникало, но даже если появлялись, продавец всегда стремился решить их оперативно и в моем интересе.

Российский интернет-бизнес имеет свои особенности. Причем, главная особенность следующая – чем «пафоснее» интернет-магазин, тем больше проблем у вас может с ним возникнуть. Лично я всегда стараюсь найти товар на зарубежных площадках и если это не получается, то делаю заказ в российском интерне-магазине с максимально простой схемой заказа. Замороченные системы регистрации, условий и т.п. верный признак возможных проблем. Но, как говорится, «не только на старуху бывает проруха».

Не так давно я заказал в магазине SAPATO обувь, той марки которую хорошо знаю и ношу много лет. Система регистрации и оформления заказа подразумевает передачу большого количества сведений.

Лично меня всегда напрягает колонка ФИО, она не нужна для проведения процедуры продажи, поэтому я всегда пишу вымышленное имя, что рекомендую делать всем. Исключением являются ситуации, когда оплата производится по безналу, а пересылка, например, через Почту России (при получении просят ID, поэтому реальные ФИО указать придется).

Так вот, в SAPATO доставка производится курьером, а оплата производится наличными тому же курьеру. Документы получателя не проверяются. Вопрос – зачем ФИО для доставки? Ответ – незачем. В общем я указал вымышленное ФИО. Без проблем получил товар, а дома обнаружил, что левый и правый ботинок от очень похожих, но разных моделей. Я обратился в службу возврата, где мне объяснили, что вернуть товар я не могу, т.к. нарушил пункт 3.2 оферты «Покупатель несет ответственность за достоверность предоставленной при оформлении Заказа информации». Другими словами при очевидной ошибке самого магазина, SAPATO мне отказали в возврате по формальным основаниям. А где клиентоориентированность? На западных площадках, хорошим клиентам вообще в долг могут товары отправлять, сами оплачивают возвраты и т.п. Мы видимо до этого еще не доросли…

В этом особенность российского бизнеса, «если есть возможность отказать клиенту – это нужно сделать». Вспомнил, как однажды за границей повредил себе ногу, тогда моя страховая компания отказала мне в оплате срочного лечения на том основании, что я самостоятельно обратился в местную поликлинику, хотя по процедуре должен был сначала позвонить в страховую. Узнав об этом поликлиника сделала мне скидку в 50%, а доктор сказал, что более неадекватной страховой компании он не встречал. Та же ситуация и тут, понимая свою ошибку, SAPATO всеми силами отбивались от меня. После переговоров, победа в которых стала делом принципа, SAPATO согласились принять товар. Основная помощь для меня была в самом ФЗ-152, ст.5 п.5 «Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки». Другими словами с вас не могут требовать тех сведений, которые не нужны для проведения операции, в данном случае – продажи товара. Это прямое нарушение, на которое с каждым днем идут все больше и больше российских интернет-магазинов. Поэтому, обращаюсь к тем читателям, которые сами владеют интернет-магазинами – не нужно просить лишних данных, в большинстве случаев нужно только имя, адрес и телефон. И в самом деле, когда я покупаю телевизор в магазине с меня не просят паспортные данные, верно? Это избыточные сведения для процедуры продажи.

Естественно, можно сказать, что при покупке я принял условия публичной оферты (3.2. Покупатель несет ответственность за достоверность предоставленной при оформлении Заказа информации). Да, я несу ответственность, а в чем она выражается? Почему именно в отказе в возврате товара? Давайте вообще расторгать договор, ведь он осуществлен с нарушением оферты!

Да и вообще вся оферта написана некачественно, чего только стоит:

• «Продавец не несет ответственности за сведения, распространенные Покупателем при помощи Сайта в общедоступной форме» – Т.е. они признают, что сайтом не обеспечиваются необходимые меры по обеспечению безопасности ПДн, тем самым нарушается ФЗ-152 ст. 18.1.

или

• Определение ««Покупатель» — совершеннолетний и дееспособный гражданин…» – С покупателей кто-то справку спрашивает о дееспособности? Или у нас в стране каждый сам определяет, дееспособен он или нет?

и т.п.

В общем свои деньги я вернул, но работать с SAPATO больше не буду и вам не советую. Равно как не советую осуществлять покупки в других «хитрых» российских интернет-магазинах. И помните, в России у потребителя много инструментов защитить свои права, теперь еще ФЗ-152…

Другие записи

• Вышел репортаж на Первом канале с моим участием или сколько стоит база данных на рынке?
• Феерические статьи или зачем менять закон, когда это не нужно?
• Очередные попытки операторов персональных данных снизить риски
• Загадочный Паспорт здоровья или двойные стандарты в защите персональных данных
• Решая проблемы с персональными данными “лучше мирового соглашения хуже нет”
• Персональные данные в Google или что плохого в российских интернет-ресурсах

Автор: Царев Евгений | Метки: Анонимность в Интернете, безопасность персональных данных, Заблуждения, закон о персональных данных, Законодательство, защита персональных данных, интернет-бизнес, Информационная безопасность, обработка персональных данных, Права граждан