November 25th, 2020

мюнхен

О персональных данных

За последние годы я довольно много и глубоко профессионально погружен в тему правового регулирования персональных данных. Постоянно слежу за новостями и читаю ф-бучную группу посвященную российскому регулированию и GDPR (про последнее, кстати, даже больше пишут).

И все равно, вот хоть убей, я так и не могу понять необходимости эшелонированного подхода к регулированию ПД который предлагает мировая практика. Я абсолютно согласен с тем, что надо жестко бороться с такими явлениями как продажа данных граждан на черном рынке, спам-рассылка, холодные звонки, слежка и прочими одиозными явлениями. Я не вполне понимаю, однако, почему комплаенс обычных законопослушных компаний, которые этим не грешат, предполагает стопицот подробных и зачастую неисполнимых требований. И это не только давно ругаемый мной наш фз-152 с его формальным подходом «подготовь несколько сотен бумажек для проверки Роскомнадзора», не говоря уж о замороченных требованиях по техническим мерам защиты, которые, правда, на практике проверяются очень ограниченно. Европа и мир пошли дальше - любимый всеми GDPR предусматривает громоздкое жестчайшее регулирование с драконовскими штрафами.

В последнее время я уже начал было думать, что в уважаемой среде personal data специалистов, где принято в каждом наборе информации видеть персональные данные и оберегать устои такой регуляторики, мой подход несколько еретический, что ли. Но вчера на вебинаре по персданным кто-то сослался на известного эксперта Детерманна, который однажды высказался в том духе, что мол зачем нужен такой GDPR, не лучше ли довести до ума риск-ориентированный подход и наказывать только за действительные нарушения и ущерб людям. Уф, ну значит, не все так ужасно.