Уполномочен защищать

Как институт уполномоченных операторов персданных поможет бизнесу

Глава ИТ-комитета Госдумы Александр Хинштейн предложил создать институт уполномоченных операторов персональных данных, для того чтобы снизить нагрузку на средний и малый бизнес в вопросах кибербезопасности. Однако данная инициатива требует тщательной проработки, чтобы, наоборот, не привести к дополнительным издержкам, полагают эксперты. О том, как нововведение отразится на компаниях – в материале RSpectr.

В ПОМОЩЬ БИЗНЕСУ

Александр Хинштейн, подводя итоги работы профильного комитета Государственной думы в весеннюю сессию, подчеркнул, что необходимо создать институт уполномоченных операторов персональных данных.

Александр Хинштейн, Госдума:

– Сейчас по закону оператором персональных данных (ПД) является любая компания, которая имеет сведения более чем о двух сотрудниках. В связи с этим необходимо, по аналогии с банковским хранилищем, создать институт уполномоченных операторов ПД.

Подобная

инициатива является значимым шагом на пути сохранения персональных данных

рассказал RSpectr директор по стратегии и развитию технологий Axiom JDK, глава комитета по информационной безопасности АРПП «Отечественный софт» Роман Карпов. Он уточнил, что к предлагаемой модели профессиональных хранителей персональных данных важно добавить маркировку данных. То есть обозначить, кто и как их изначально получил.

Инициатива, действительно, может помочь, в первую очередь

малому и среднему бизнесу, которые не готовы тратить значительные суммы на кибербезопасность

но защищать данные они должны наравне с крупными компаниями, продолжил руководитель практики правовой защиты информации «ТеДо» Дмитрий Зыков. По его мнению, порядок работы уполномоченных операторов должен быть детально проработан.

Дмитрий Зыков, «ТеДо»:

– На роль уполномоченных органов будут претендовать, скорее всего, дата-центры. Но хранение ими персональных данных принято считать поручением обработки, которое, в свою очередь, требует согласия субъектов персональных данных.

Если текущая схема поручения обработки персданных как минимум

не будет облегчена хотя бы для уполномоченных операторов, их деятельность вряд ли будет столь привлекательна,

полагает юрист.

Появление уполномоченных операторов персональных данных будет иметь смысл, в случае если приведет к снижению издержек бизнеса на обработку ПД, считает руководитель направления сервисов защиты «НУБЕС» Александр Быков. По его словам, для части компаний это может стать более простым способом обеспечить соответствие требованиям регулятора относительно персональных данных.

Александр Быков, «НУБЕС»:

– С другой стороны, такие операторы могут стать еще одной точкой уязвимости и потенциальным каналом утечки ПД. Причем скомпрометированными могут стать персональные данные сразу многих компаний, хранящиеся у этих операторов.

С учетом введения в будущем оборотных штрафов за утечки персональных данных создание уполномоченных операторов может быть интересно для бизнеса, отметил заместитель технического директора Innostage Данияр Исхаков. Он обращает внимание, что

их появление не отменит необходимость обеспечения защиты ПД при их обработке

Данияр Исхаков, Innostage:

– По-прежнему будут требоваться такие меры, как шифрование канала связи, защита рабочих мест сотрудников, которые запрашивают ПД, защита приложений, где обрабатываются запрошенные ПД и откуда они могут утечь.

Пока не очень ясны механизмы администрирования, организационно-технической реализации и распределения ответственности в предлагаемой концепции, сообщили RSpectr в пресс-службе Ассоциации больших данных (АБД).

«В мире подобных прецедентов пока не было», – пояснили в АБД.

РЫНОЧНЫЕ ПОДХОДЫ

На текущий момент

операторами персональных данных является неограниченный круг лиц

поделился в беседе с RSpectr управляющий партнер Lukash & Partners Денис Лукаш. По его словам, в законодательстве нет ограничения на двух сотрудников. Например, если владелец многоквартирного дома проводит собрание собственников жилья, он уже является оператором персональных данных.

Денис Лукаш, Lukash & Partners:

– Сейчас существует реестр операторов персональных данных, спустя много лет он так и не смог стать образцовым способом учета операторов и работает скорее как некая профилактическая мера.

Операторами персональных данных

становятся по факту обработки персональных данных, которые окружают любую активность юридических и физических лиц

продолжил юрист. А не по факту назначения или включения в какой-то реестр.

На его взгляд, нужны рыночные подходы по улучшению закона, а не новые административные меры.

«Необходима рыночно-ориентированная реформа закона о персональных данных, например, расширить существующее понятие оператора информационной системы (персональных данных) как третью сущность, разобраться с ответственностью за нарушения последующих обработчиков», – подчеркнул Денис Лукаш.

Он полагает, что если государству необходим дополнительный контроль, то здесь есть большой плат по регулированию, который может стать альтернативой института «уполномоченных операторов ПД».

Нет большого смысла в том, чтобы

создавать дополнительную прослойку в виде этой инициативы,

полагает генеральный директор IW Group Александр Шибаев. По его словам, в органах управления такой оператор уже есть – это МВД.

Александр Шибаев, IW Group:

– В МВД как в профильной организации эту инициативу нужно просто закрепить с точки зрения технической реализации. МВД является оператором персональных данных и, если говорить техническим языком, единственным источником мастер-данных.

Поэтому не стоит придумывать новые схемы, а нужно признаться себе, что опыт с биометрией закончился провалом и этот функционал необходимо убирать из «Ростелекома», банковского сообщества и других участников рынка и смело передавать в МВД, уверен эксперт.

Эффективность будет

во многом зависеть от того, как инициатива будет реализована, а пока деталей совсем нет,

рассказал управляющий партнер Comply Артем Дмитриев. По его мнению, если передача ПД не будет добровольной, то это больше будет походить на очередную меру по дата-национализации.

Артем Дмитриев, Comply:

– Принуждение бизнеса, и без того способного обеспечить адекватную защиту ПД, приведет только к дополнительным издержкам, а уровень защиты ПД не факт, что повысится. Чем больше ПД в одной базе данных, тем их сложнее охранять и тем выше вероятность утечки.

Юрист считает, что, судя по всему, ПД в любом случае будут первоначально фиксироваться на стороне «неуполномоченного» оператора, а только потом передаваться «уполномоченному». Но осуществить передачу всех имеющихся у бизнеса ПД – нелегкая задача.

«Бизнесу необходимо будет «инвентаризировать» имеющиеся ПД, систематизировать их, доработать алгоритмы работы с ПД и научиться работать с внешними источниками по запросу. Еще сложнее это делать в режиме реального времени: это все временные и денежные затраты», – считает Артем Дмитриев.

КОСВЕННЫЙ НАЛОГ

В области персданных «фреймворк», предлагаемый законодателем, и так непомерно сложен для типичного оператора, особенно если сравнить его хотя бы с КИИ, сообщил RSpectr заместитель генерального директора по внедрению «НППКТ» Артем Короленков. По его мнению, скорее нужно вести разговор об упрощении «бумажной обвязки» данного процесса.

Артем Короленков, «НППКТ»:

– По факту эта инициатива имеет очень сильное сходство со скрытым налогом на бизнес. Причем не ясно, в чью пользу: вряд ли уполномоченные операторы будут госструктурами. В итоге получим примерно ту же ситуацию, как со штрафами за превышение скорости, когда 90% от 250 руб. штрафа уходит коммерческому оператору камеры.

При этом

бизнес уже произвел затраты на выполнение требований,

и тут вдруг законодатель решает снова изменить правила игры, обращает внимание эксперт.

Инициатива спорная и не до конца проработанная, продолжил основатель Privacy Advocates Алексей Мунтян. По его мнению,

просто взять и дифференцировать операторов на разные категории – недостаточно

Алексей Мунтян, Privacy Advocates:

– Под выделением уполномоченных операторов персональных данных подразумевается ограничение в правах всех операторов, не вошедших в категорию доверенных. Им будут грозить определенные ограничения либо запреты на обработку персданных.

Затронет эта инициатива огромное количество лиц:

в России операторов персданных очень много, по разным оценкам, от 5 млн до 7 млн

уточнил юрист.

Как можно сосредоточить у постороннего лица, даже при наличии договора о неразглашении, информацию, составляющую охраняемую законом тайну, коммерческую в том числе, недоумевает управляющий партнер «Емельянников, Попова и партнеры» Михаил Емельянников. Он уточнил, что российские суды многократно признавали коммерческой тайной клиентские базы, людей за ее разглашение лишали свободы, увольняли с работы, а теперь всем этим будет «рулить» неизвестный работник «уполномоченного оператора».

Михаил Емельянников, «Емельянников, Попова и партнеры»:

– Как можно передать обработку «уполномоченному оператору», если неуполномоченный все равно будет все обрабатывать, поскольку обработка – не только хранение, но и использование и доступ в том числе, на этом использовании, собственно, и построен бизнес в значительной мере.

Все это выглядит как еще один косвенный налог на малый и средний бизнес, как уже произошло с аутентификацией с использованием биометрии только аккредитованными организациями за совсем немаленькие деньги, резюмирует эксперт.

Екатерина Лаштун

Изображение: RSpectr, Freepik, Adobe Stock