Портал
RSpectr опубликовал статью о новой инициативе депутатов во
главе с председателем комитета по
информационной политике, информационным технологиям и связи А.
Хинштейном, касающейся введения института «уполномоченных операторов
персональных данных», у которых с защитой
персональных данных априори все хорошо, поскольку денег много и специалисты
есть, в отличии от остальных, бедных и неквалифицированных, у которых
персональные данные надо забрать и отдать уполномоченным для обработки.
Портал традиционно привлекает специалистов для комментариев,
так было и на этот раз, свое мнение высказали владельцы и авторы популярных
телеграм-каналов А. Мунтян, Д. Лукаш, другие коллеги. были заданы вопросы и
мне.
Поскольку объем публикации ограничен, и существует еще и
редакционная политика, на портал попало, конечно, далеко не все, что был
сказано.
Публикую полный вариант своих ответов на вопросы портала,
поскольку проблему считаю очень важной и принципиальной, а опубликованная часть
мое мнение отражает не в полной мере.
1) Вопрос:
Как вы оцениваете эту инициативу?
Как бессмысленную и невыполнимую. Сейчас по закону
оператором является любое юрлицо, индивидуальный предприниматель, самозанятый.
Они ведут возложенный на них законом кадровый, бухгалтерский, налоговый,
воинский учет, деловую переписку. Занимаются подбором персонала. Контактируют с
клиентами, заказчиками, покупателями-физическими лицами, представителями
контрагентов и органов власти. Принимают посетителей. Имеют сайты, на которые
ходят анонимные посетители и авторизованные пользователи. Все это – обработка персональных
данных. Каким образом все эти функции можно передать каким бы то ни было
«уполномоченным операторам»? Это самый очевидный вопрос, на который нет ответа.
Ситуация очень напоминает мультфильм «Вовка в тридевятом царстве» с
сакраментальным диалогом «Вы, чего, и конфеты за меня есть будете? — Ага!».
Второй вопрос не менее сложен для ответа. Как можно
сосредоточить у постороннего лица, даже при наличии договора о неразглашении,
информацию, составляющую охраняемую законом тайну, коммерческую, в том числе?
Российские суды многократно признавали коммерческой тайной клиентские базы,
людей за ее разглашение лишали свободы, увольняли с работы, а теперь всем этим
будет рулить неизвестный работник «уполномоченного оператора»?
И, наконец, как можно передать обработку «уполномоченному
оператору», если неуполномоченный все равно будет все обрабатывать, поскольку
обработка – не только хранение, но и использование, и доступ в том числе, на
этом использовании, собственно, и построен бизнес в значительной мере.
Все это выглядит как еще один косвенный налог на малый и
средний бизнес, как уже произошло с аутентификацией с использованием биометрии только
аккредитованными организациями за совсем немаленькие деньги.
2) Вопрос:
Кто может стать такими уполномоченными операторами?
Примерно те же, кто стал аккредитованными организациями в
ЕБС – огромные компании с таким же огромным бюджетом, владельцы экосистем и
дата-центров, интернет-гиганты, крупнейшие облачные провайдеры. Инфраструктура
у них для этого есть, собственных средств для запуска достаточно, плюс есть
немалая заинтересованность в получении такого объема данных, за обработку которых
еще и приплачивать будут.
3) Вопрос:
Поможет ли эта инициатива бизнесу в свете принятия законопроекта об оборотных
штрафах?
Да, очень поможет, конечно, крупному бизнесу, который
получит статус уполномоченного оператора. Появится новое направление бизнеса с
постоянным денежным потоком. Среднему и малому – нет, он, как я уже говорил,
получит новый косвенный налог, вместо бухгалтера-ИП-аутсорсера за несколько
десятков тысяч рублей в месяц придется платить уполномоченному оператору и,
подозреваю, значительно больше. С точки зрения ответственности и оборотных
штрафов ключевым моментом будет статус уполномоченного оператора. Сейчас обработчик,
выполняющий поручение оператора по обработке персональных данных, не несет ответственности
перед законом и субъектом (кроме зарубежного обработчика, с которого непонятно,
как что-то можно взыскать), только перед оператором. А оператор несет
ответственность за все, он, а не обработчик, должен уведомлять об обработке,
утечках и трансграничной передаче Роскомнадзор, платить штрафы и компенсации
субъектам (если они этого сумеют добиться в суде, конечно). Сейчас института
уполномоченных операторов в законе нет. От того, каков будут их статус –
операторов в отношении «чужих данных», принятых в обработку (называть их все-таки планируют операторами)
или обработчиков, зависит очень многое, в том числе и для СМБ, отдающего свои
данные уполномоченным.
Кто слышал об утечках у малого и среднего бизнеса? На слуху
только миллионы записей в даркнете, владельцами которых как раз и являются
будущие уполномоченные операторы, которые как раз и активно сопротивляются
оборотным штрафам. Не исключаю, что после введения института уполномоченных
операторов, у которых «все очень надежно защищено», появится мнение, что и
оборотные штрафы не нужны, а утечек не будет. До первой крупной. А потом
инициативы и споры вокруг нее пойдут по новому кругу. Зато сколько времени
пройдет!
Есть у этого поста и другая цель. Я, как и многие другие, в
последнее время прекратил публикации в личном блоге и получаю по этому поводу
много вопросов. Ну вот, будет небольшая лакмусовая бумажка для определения
того, стоит ли продолжать, или формат окончательно потерял актуальность (для
меня, во всяком случае).