Государство и персональные данные

В Соединенных Штатах, как, впрочем, и в России, и во многих других странах мира,  нет всеобъемлющего государственного регулирования. Такое регулирование имеется в Европе. В странах ЕС правительства исходят из секторного подхода к решению задач защиты безопасности прав личности и данных, которым посвящено множество правил и законов, включая саморегулирование. В других странах и организациях также можно найти некоторые принципы безопасности прав личности. Зачастую инициатором разработки таких законов и регламентов выступает IT-сообщество. Именно по инициативе ИТ-секторов экономики, например, создавалось законодательство области защиты безопасности прав личности в некоторых странах развивающегося мира. Государства Африки, Индия и Китай в настоящее время планируют также ввести законы по защите безопасности и данных. Различие мировых законодательств в области защиты прав личности могут стать препятствием торговле и помешать инновациям.

Согласно отчету Альянса коммерческих программных приложений от февраля 2012, было замечено, что между развитыми и развивающимися странами существует большой разрыв в показателях необходимого законодательства по защите персональных данных. В данном отчете также указывается, что даже в развитых странах существуют противоречащие нормы по защите данных, которые могут препятствовать пересылке персональных данных через границы.

Например, некоторые развитые страны предполагают ограничить предоставление облачных услуг только местными компаниями, находящимися в пределах страны. Для объединения разных режимов защиты данных и согласования деловых регламентов для поставщиков и правил защиты граждан требуется международный подход. Без более плотной координации на международном уровне по правительственным правилам нельзя достичь всех преимуществ и эффективности облачных сетей, которые должны свободно передавать данные и программные услуги через границы.

Недавнее постановление Агентства Дании по защите данных (DDPA) представляет собой важный пример регуляторных проблем, которые могут возникнуть на деле. В феврале 2011 года DDPA опубликовала мнение касательно облачных сетей. Это мнение было одним из первых среди подобных, которые выпустил Европейский орган по защите данных, а потому представляет интерес для заинтересованных сторон.

Случай в вопросе касается планов муниципалитетов Дании использовать Google Apps в школьной системе для обработки чувствительных персональных данных при регистрации информации о планах на урок, оценке планов на урок и успехов в учебе каждого студента.

В соответствии с упомянутым постановлением, начиная обработку персональных данных, контролирующий орган или компания отвечают за структурирование этого процесса так, чтобы гарантировать соответствие, и чтобы обрабатываемые данные, касающиеся граждан, постоянно защищались необходимыми средствами безопасности. DDPA запретил муниципалитету Оденсе использовать облачные сети для хранения определенной чувствительной информации, в основном исходя из вопросов безопасности. Его мнение не совпадает с мнением муниципалитета Оденсе о том, что конфиденциальные и чувствительные данные о студентах и их родителях можно обрабатывать в Google Apps.

• Удаление данных так, чтобы их нельзя было восстановить.
• Передача и регистрация: муниципалитет не дал четко понять, будет ли использоваться шифрование при передаче данных между разными центрами обработки  данных.
• Не была представлена информация о том, как регистрируются данные, или сколько сохраняется запись.

DDPA хочет пересмотреть этот случай для отредактированного решения, если муниципалитет Оденсе продолжит работать с ним и искать решение указанных проблем.

Случай с муниципалитетом Оденсе подтверждает, что прежде, чем переходить на облачные службы, требуется провести серьезную оценку рисков, и важную роль в создании лучшего соответствия и поощрении использования облачных служб одну из главных ролей должны играть стандарты. В таком случае заинтересованные стороны должны подготовиться к будущим изменениям в законодательстве.