Портал
RSpectr опубликовал статью о новой инициативе депутатов во
главе с председателем комитета по
информационной политике, информационным технологиям и связи А.
Хинштейном, касающейся введения института «уполномоченных операторов
персональных данных», у которых с защитой
персональных данных априори все хорошо, поскольку денег много и специалисты
есть, в отличии от остальных, бедных и неквалифицированных, у которых
персональные данные надо забрать и отдать уполномоченным для обработки.
Портал традиционно привлекает специалистов для комментариев,
так было и на этот раз, свое мнение высказали владельцы и авторы популярных
телеграм-каналов А. Мунтян, Д. Лукаш, другие коллеги. были заданы вопросы и
мне.
Поскольку объем публикации ограничен, и существует еще и
редакционная политика, на портал попало, конечно, далеко не все, что был
сказано.
Публикую полный вариант своих ответов на вопросы портала,
поскольку проблему считаю очень важной и принципиальной, а опубликованная часть
мое мнение отражает не в полной мере.
1) Вопрос:
Как вы оцениваете эту инициативу?
Как бессмысленную и невыполнимую. Сейчас по закону
оператором является любое юрлицо, индивидуальный предприниматель, самозанятый.
Они ведут возложенный на них законом кадровый, бухгалтерский, налоговый,
воинский учет, деловую переписку. Занимаются подбором персонала. Контактируют с
клиентами, заказчиками, покупателями-физическими лицами, представителями
контрагентов и органов власти. Принимают посетителей. Имеют сайты, на которые
ходят анонимные посетители и авторизованные пользователи. Все это – обработка персональных
данных. Каким образом все эти функции можно передать каким бы то ни было
«уполномоченным операторам»? Это самый очевидный вопрос, на который нет ответа.
Ситуация очень напоминает мультфильм «Вовка в тридевятом царстве» с
сакраментальным диалогом «Вы, чего, и конфеты за меня есть будете? — Ага!».
Второй вопрос не менее сложен для ответа. Как можно
сосредоточить у постороннего лица, даже при наличии договора о неразглашении,
информацию, составляющую охраняемую законом тайну, коммерческую, в том числе?
Российские суды многократно признавали коммерческой тайной клиентские базы,
людей за ее разглашение лишали свободы, увольняли с работы, а теперь всем этим
будет рулить неизвестный работник «уполномоченного оператора»?
И, наконец, как можно передать обработку «уполномоченному
оператору», если неуполномоченный все равно будет все обрабатывать, поскольку
обработка – не только хранение, но и использование, и доступ в том числе, на
этом использовании, собственно, и построен бизнес в значительной мере.
Все это выглядит как еще один косвенный налог на малый и
средний бизнес, как уже произошло с аутентификацией с использованием биометрии только
аккредитованными организациями за совсем немаленькие деньги.
2) Вопрос:
Кто может стать такими уполномоченными операторами?
Примерно те же, кто стал аккредитованными организациями в
ЕБС – огромные компании с таким же огромным бюджетом, владельцы экосистем и
дата-центров, интернет-гиганты, крупнейшие облачные провайдеры. Инфраструктура
у них для этого есть, собственных средств для запуска достаточно, плюс есть
немалая заинтересованность в получении такого объема данных, за обработку которых
еще и приплачивать будут.
3) Вопрос:
Поможет ли эта инициатива бизнесу в свете принятия законопроекта об оборотных
штрафах?
Да, очень поможет, конечно, крупному бизнесу, который
получит статус уполномоченного оператора. Появится новое направление бизнеса с
постоянным денежным потоком. Среднему и малому – нет, он, как я уже говорил,
получит новый косвенный налог, вместо бухгалтера-ИП-аутсорсера за несколько
десятков тысяч рублей в месяц придется платить уполномоченному оператору и,
подозреваю, значительно больше. С точки зрения ответственности и оборотных
штрафов ключевым моментом будет статус уполномоченного оператора. Сейчас обработчик,
выполняющий поручение оператора по обработке персональных данных, не несет ответственности
перед законом и субъектом (кроме зарубежного обработчика, с которого непонятно,
как что-то можно взыскать), только перед оператором. А оператор несет
ответственность за все, он, а не обработчик, должен уведомлять об обработке,
утечках и трансграничной передаче Роскомнадзор, платить штрафы и компенсации
субъектам (если они этого сумеют добиться в суде, конечно). Сейчас института
уполномоченных операторов в законе нет. От того, каков будут их статус –
операторов в отношении «чужих данных», принятых в обработку (называть их все-таки планируют операторами)
или обработчиков, зависит очень многое, в том числе и для СМБ, отдающего свои
данные уполномоченным.
Кто слышал об утечках у малого и среднего бизнеса? На слуху
только миллионы записей в даркнете, владельцами которых как раз и являются
будущие уполномоченные операторы, которые как раз и активно сопротивляются
оборотным штрафам. Не исключаю, что после введения института уполномоченных
операторов, у которых «все очень надежно защищено», появится мнение, что и
оборотные штрафы не нужны, а утечек не будет. До первой крупной. А потом
инициативы и споры вокруг нее пойдут по новому кругу. Зато сколько времени
пройдет!
Есть у этого поста и другая цель. Я, как и многие другие, в
последнее время прекратил публикации в личном блоге и получаю по этому поводу
много вопросов. Ну вот, будет небольшая лакмусовая бумажка для определения
того, стоит ли продолжать, или формат окончательно потерял актуальность (для
меня, во всяком случае).
Дичь какая.
ОтветитьУдалитьизмения по ЕБС то начинались с речи президента в зелёном банке, кстати немного после этого начались какие-то более глобальные политические решения, видать место гиблое :-), сглазили
ОтветитьУдалить