Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

суббота, 26 мая 2012 г.

PDP2012: Впечатления

Наконец дошли руки написать впечатления о прошедшей в Киеве конференции «Защита персональных данных: право, практика, надзор».
Организаторы мероприятия достаточно вяло рекламировали мероприятие, что в конечном чуть было не закончилось плохо для мероприятия. К счастью, все закончилось хорошо, но об этом - чуть позже. Сначала ложка дегтя.
До последнего момента не хватало докладчиков, спонсоров и, самое главное, зрителей. Откровенное недоумение у меня  вызвал тот факт, что некоторые участники видели информацию о мероприятии только на моем блоге. При такой "рекламной компании" чудо, что все-таки пришло столько людей.
Появившиеся в последний день мелкие спонсоры готовили свои спонсорские выступления  тоже в последний день. Программа мероприятия кроилась просто на колене.
Очень неприятное впечатление произвел первый доклад. Он оказался спонсорским и был посвящен ...  антивирусным продуктам ESET. Доклад начался с истории о том, в каком году была создана компания и как придумывалось название антивирусу NOD32. После этой поучительной истории, выступающий плавно перешел к не менее важной информации о том, сколько сейчас офисов у компании и в каких городах они расположены. Кульминацией выступления стало подробное зачитывание с экрана всех имеющихся технических характеристик всех антивирусных продуктов. При этом взаимосвязь тематики доклада с тематикой конференции была скрыта в скромной фразе в начале выступления: "если Вы озабочены вопросом защиты персональных данных, Вам наверняка нужны антивирусные продукты". Больше о персональных данных не было сказано ни слова. В какой-то момент выступления (где-то в районе обсуждения городов, в которых расположены офисы) меня начало терзать подозрение, что я сделал две ошибки:
  1. пришел на мероприятие
  2. порекомендовал его людям, которые ценят мое мнение
Присутствующие в зале юристы (а их было не мало) чувствовали себя еще хуже: до вышеупомянутого момента выступления они не понимали  зачем им эта информация, а после перехода к технической части - что говорит докладчик.
Понятно, что основная цель участия - продвижение своих продуктов. Но неужели это нельзя сделать чуть-чуть изящнее? Рассказать о последних трендах вирусостроения, пару душещипательных историй как с помощью зловредов похищались персональные данные и что из этого вышло. Вот уже и связка с тематикой конференции. А все, что читалось с экрана, раздать в виде буклетов. Или они реально ожидали, что слушатели будут запоминать или конспектировать технические подробности отличий различных версий продуктов?!?
Не менее увлекательным было выступление другого консультанта, посвященное продукту DeviceLock. В проверенном временем духе "здравствуйте, я - представитель канадской оптовой компании...". К счастью обошлось без подробностей детства компании и ее создателей, но доклад был достаточно занудным типичным для продажной презентации. В конце концов, у них (выступающих было двое) закончилось время и модератор сделал две полезные вещи. Во-первых, прекратил рассказ по кругу истории "обычно наши клиенты хотят у нас вот это...". Во-вторых, прокомментировал нюансы использования DLP с точки зрения закона. А именно, тот момент, что действия DLP системы тоже нужно трактовать как сбор персональных. Со всеми вытекающими: получением согласия субъектов на сбор для целей безопасности, защита этой базы, ее регистрация и т.д. Это был очень положительный момент, поскольку заземлил продавцов решений всемирного счастья из коробки и заставил (я надеюсь) покупателей таких решений смотреть на суть проблемы под более правильным углом. На Data Protection Group Ukraine до сих пор не утихает дискуссия по следам. Немного удивляет тот факт, что в дискуссии консультанты задают вопросы о практическом решении проблемы, а представители бизнеса уже имеют ответы... Что тут сказать? Бывает и такое.
Отдельно хотелось бы отметить выступление  Войцеха Вевйоровского - генерального инспектора по вопросам защиты персональных данных Польши. Выступление было посвящено тенденциям в вопросах защиты персональных данных при использовании облачных вычислений. Сама тема, безусловно, не нова. О ней говорят уже несколько лет. Тем не менее, я считаю доклад очень полезным, поскольку проблемы, озвученные несколько лет назад, уже никто не помнит, а вот в облака сейчас все стремятся. Прекрасный материал, понятный как юристам, так и техническим специалистам. Вводная по понятиям, детальный обзор проблем и подборка рекомендаций от ENISA, NIST и других производителей лучших мировых практик. Единственный минус был в том, что докладчик постеснялся выступать на русском (хотя говорит на нем вполне прилично) и воспользовался услугами переводчика. В результате, за отведенное время успел сказать в два раза меньше, а переводчик немного искажал суть. Если удастся разыскать материалы презентации - обязательно дам ссылку.
Ваш покорный слуга рассказывал о кодексе практики по работе с персональными данными, принятом в Киевстар. Данный кодекс является основополагающим документом для формирования правильной корпоративной культуры по обработке персональных данных. Материалы выступления не выкладываю, поскольку они предоставляют собой скорее опорный конспект для докладчика, нежели самодостаточный материал. В скором времени данный кодекс должен стать публичным документом, тогда и дам на него ссылку.
Подводя итог, скажу, что конференция, не смотря на ряд недостатков, скорее удалась.
Понимание зачем нудно защищать персональные данные находится еще на достаточно низком уровне и такие мероприятия по-тихоньку исправляют ситуацию. Хотел пару слов написать и об этом, но вижу, что коллега по перу успел меня опередить. Так что просто ссылка Защита персональных данных в Гондурасе.

1 комментарий: