Честно говоря не уверен насчёт правильности таких оборотных штрафов в этом случае. Я бы всё-таки шел в данном конкретном случае в сторону более понятной и простой процедуры защиты прав и потерь каждого конкретного пострадавшего, чтобы легче было объединиться и были прописаны что значит с морально-этической и финансовой тоже стороны вот такие потери личной инфы для гражданина. Просто эти оборотные штрафы, это считай уже ввели что-то вроде страхового взноса на все интернет-компании, в размере 1% от годового оборота. Объясню: взламывают всех, даже самые защищенные, новые, после аудитов системы. Про огромное число дырок мы просто ещё не знаем или не представляем, что так можно сделать. И выходит, что даже при условии, что делаешь всё максимально верно, у тебя есть далеко не нулевой шанс попасть. И ещё интересно, как этот закон будет работать против гос структур, условного МВД, базы которых достаточно часто актуализируются и продаются тут и там. А вот закон со стороны людей и их ущерба, позволил бы действовать в каждой конкретной ситуации. Ну и в случае утечки МВД в суд можно было подать бы на МВД(условный пример), штраф/компенсация бы была связана не с годовыми оборотами, а с оценкой суда ущерба людей (с чем сегодня нередко проблемы, в сторону занижения).
И тут же над всей Россией разольется плач Ярославны по поводу того, что условный физик не сможет обосновать чем же ему навредил слив в сеть его данных о заказанных бургерах и острых крылышках.
По факту, такой подход будет способствовать бездействию со стороны сборщика ПДн по защите этих данных.
Видится, что более действенным было бы введение уникального ID для каждого гражданина, который бы получал гражданин в условном хранилище его персданных, которое бы регистрировало любое обращение за детализацией этих данных и целей обработки.
Т.е., на стороне обработчина ПДн создается уникальный ключ (ID+случайный код). При запросе ПДн из хранилища обработчик передает этот уникальный код и свой ключ авторизации в хранилище. Хранилище расшифровывает переданный ключ, вытаскивает ID субъекта обработки ПДн, и передает данные на обработку стороне, которая запрашивала. История запросов сохраняется на стороне хранилища.
Оплата работы хранилища - абонентская плата со стороны профессиональных обработчиков данных хошъ по транзакциям, хошъ по кол-ву пользователей в месяц.
Такой подход позволит централизованно хранить ПДн граждан РФ, исключить максимально утечки значимой информации "сотрудникам банков".
Если в БД банков будет храниться только ключ, то даже весь дамп базы Сбера будет представлять собой никакой ценности, т.к вместо ФИО будет храниться хэш, который может быть расшифрован только путем подачи запроса определенным пользователем хранилища.
На стороне пользователя - пластиковая карточка с чипом и/или полюбившимся все QR-кодом.
Пришел устраиваться на работу, отсканировали твой Id, сделали запрос в хранилище, хранилище "отрыгнуло" все твои ПДн на экран оператору.
Честно говоря не уверен насчёт правильности таких оборотных штрафов в этом случае. Я бы всё-таки шел в данном конкретном случае в сторону более понятной и простой процедуры защиты прав и потерь каждого конкретного пострадавшего, чтобы легче было объединиться и были прописаны что значит с морально-этической и финансовой тоже стороны вот такие потери личной инфы для гражданина.
Просто эти оборотные штрафы, это считай уже ввели что-то вроде страхового взноса на все интернет-компании, в размере 1% от годового оборота. Объясню: взламывают всех, даже самые защищенные, новые, после аудитов системы. Про огромное число дырок мы просто ещё не знаем или не представляем, что так можно сделать. И выходит, что даже при условии, что делаешь всё максимально верно, у тебя есть далеко не нулевой шанс попасть.
И ещё интересно, как этот закон будет работать против гос структур, условного МВД, базы которых достаточно часто актуализируются и продаются тут и там.
А вот закон со стороны людей и их ущерба, позволил бы действовать в каждой конкретной ситуации. Ну и в случае утечки МВД в суд можно было подать бы на МВД(условный пример), штраф/компенсация бы была связана не с годовыми оборотами, а с оценкой суда ущерба людей (с чем сегодня нередко проблемы, в сторону занижения).
И тут же над всей Россией разольется плач Ярославны по поводу того, что условный физик не сможет обосновать чем же ему навредил слив в сеть его данных о заказанных бургерах и острых крылышках.
По факту, такой подход будет способствовать бездействию со стороны сборщика ПДн по защите этих данных.
Видится, что более действенным было бы введение уникального ID для каждого гражданина, который бы получал гражданин в условном хранилище его персданных, которое бы регистрировало любое обращение за детализацией этих данных и целей обработки.
Т.е., на стороне обработчина ПДн создается уникальный ключ (ID+случайный код). При запросе ПДн из хранилища обработчик передает этот уникальный код и свой ключ авторизации в хранилище. Хранилище расшифровывает переданный ключ, вытаскивает ID субъекта обработки ПДн, и передает данные на обработку стороне, которая запрашивала. История запросов сохраняется на стороне хранилища.
Оплата работы хранилища - абонентская плата со стороны профессиональных обработчиков данных хошъ по транзакциям, хошъ по кол-ву пользователей в месяц.
Такой подход позволит централизованно хранить ПДн граждан РФ, исключить максимально утечки значимой информации "сотрудникам банков".
Если в БД банков будет храниться только ключ, то даже весь дамп базы Сбера будет представлять собой никакой ценности, т.к вместо ФИО будет храниться хэш, который может быть расшифрован только путем подачи запроса определенным пользователем хранилища.
На стороне пользователя - пластиковая карточка с чипом и/или полюбившимся все QR-кодом.
Пришел устраиваться на работу, отсканировали твой Id, сделали запрос в хранилище, хранилище "отрыгнуло" все твои ПДн на экран оператору.
Госструктуры - не благодарите за идею.