Уполномоченные операторы обработают персональные данные для вас и за вас? Точно?

 

Портал RSpectr опубликовал статью о новой инициативе депутатов во главе с председателем комитета по  информационной политике, информационным технологиям и связи А. Хинштейном, касающейся введения института «уполномоченных операторов персональных данных», у которых с защитой персональных данных априори все хорошо, поскольку денег много и специалисты есть, в отличии от остальных, бедных и неквалифицированных, у которых персональные данные надо забрать и отдать уполномоченным для обработки.

Портал традиционно привлекает специалистов для комментариев, так было и на этот раз, свое мнение высказали владельцы и авторы популярных телеграм-каналов А. Мунтян, Д. Лукаш, другие коллеги. были заданы вопросы и мне.

Поскольку объем публикации ограничен, и существует еще и редакционная политика, на портал попало, конечно, далеко не все, что был сказано.

Публикую полный вариант своих ответов на вопросы портала, поскольку проблему считаю очень важной и принципиальной, а опубликованная часть мое мнение отражает не в полной мере.

1)    Вопрос: Как вы оцениваете эту инициативу?

Как бессмысленную и невыполнимую. Сейчас по закону оператором является любое юрлицо, индивидуальный предприниматель, самозанятый. Они ведут возложенный на них законом кадровый, бухгалтерский, налоговый, воинский учет, деловую переписку. Занимаются подбором персонала. Контактируют с клиентами, заказчиками, покупателями-физическими лицами, представителями контрагентов и органов власти. Принимают посетителей. Имеют сайты, на которые ходят анонимные посетители и авторизованные пользователи. Все это – обработка персональных данных. Каким образом все эти функции можно передать каким бы то ни было «уполномоченным операторам»? Это самый очевидный вопрос, на который нет ответа. Ситуация очень напоминает мультфильм «Вовка в тридевятом царстве» с сакраментальным диалогом «Вы, чего, и конфеты за меня есть будете? — Ага!».

Второй вопрос не менее сложен для ответа. Как можно сосредоточить у постороннего лица, даже при наличии договора о неразглашении, информацию, составляющую охраняемую законом тайну, коммерческую, в том числе? Российские суды многократно признавали коммерческой тайной клиентские базы, людей за ее разглашение лишали свободы, увольняли с работы, а теперь всем этим будет рулить неизвестный работник «уполномоченного оператора»?   

И, наконец, как можно передать обработку «уполномоченному оператору», если неуполномоченный все равно будет все обрабатывать, поскольку обработка – не только хранение, но и использование, и доступ в том числе, на этом использовании, собственно, и построен бизнес в значительной мере.

Все это выглядит как еще один косвенный налог на малый и средний бизнес, как уже произошло с аутентификацией с использованием биометрии только аккредитованными организациями за совсем немаленькие деньги.    

2)    Вопрос: Кто может стать такими уполномоченными операторами?

Примерно те же, кто стал аккредитованными организациями в ЕБС – огромные компании с таким же огромным бюджетом, владельцы экосистем и дата-центров, интернет-гиганты, крупнейшие облачные провайдеры. Инфраструктура у них для этого есть, собственных средств для запуска достаточно, плюс есть немалая заинтересованность в получении такого объема данных, за обработку которых еще и приплачивать будут.  

3)    Вопрос: Поможет ли эта инициатива бизнесу в свете принятия законопроекта об оборотных штрафах?

Да, очень поможет, конечно, крупному бизнесу, который получит статус уполномоченного оператора. Появится новое направление бизнеса с постоянным денежным потоком. Среднему и малому – нет, он, как я уже говорил, получит новый косвенный налог, вместо бухгалтера-ИП-аутсорсера за несколько десятков тысяч рублей в месяц придется платить уполномоченному оператору и, подозреваю, значительно больше. С точки зрения ответственности и оборотных штрафов ключевым моментом будет статус уполномоченного оператора. Сейчас обработчик, выполняющий поручение оператора по обработке персональных данных, не несет ответственности перед законом и субъектом (кроме зарубежного обработчика, с которого непонятно, как что-то можно взыскать), только перед оператором. А оператор несет ответственность за все, он, а не обработчик, должен уведомлять об обработке, утечках и трансграничной передаче Роскомнадзор, платить штрафы и компенсации субъектам (если они этого сумеют добиться в суде, конечно). Сейчас института уполномоченных операторов в законе нет. От того, каков будут их статус – операторов в отношении «чужих данных», принятых в обработку  (называть их все-таки планируют операторами) или обработчиков, зависит очень многое, в том числе и для СМБ, отдающего свои данные уполномоченным.   

Кто слышал об утечках у малого и среднего бизнеса? На слуху только миллионы записей в даркнете, владельцами которых как раз и являются будущие уполномоченные операторы, которые как раз и активно сопротивляются оборотным штрафам. Не исключаю, что после введения института уполномоченных операторов, у которых «все очень надежно защищено», появится мнение, что и оборотные штрафы не нужны, а утечек не будет. До первой крупной. А потом инициативы и споры вокруг нее пойдут по новому кругу. Зато сколько времени пройдет!

Есть у этого поста и другая цель. Я, как и многие другие, в последнее время прекратил публикации в личном блоге и получаю по этому поводу много вопросов. Ну вот, будет небольшая лакмусовая бумажка для определения того, стоит ли продолжать, или формат окончательно потерял актуальность (для меня, во всяком случае).