В России могут появиться уполномоченные операторы персональных данных
1 августа председатель комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи Александр Хинштейн на пресс-конференции по итогам весенней сессии сообщил, что в осеннюю сессию 2024 г. ИТ-комитет Госдумы РФ и Роскомнадзор обсудят возможный законопроект, который введет новый институт уполномоченных операторов персональных данных.
"По нашему замыслу, должны появиться юридические лица, структуры, которые будут с точки зрения профессиональной подготовленности и подтверждения качества их работы уполномоченными органами хранить персональные данные других", - отметил Александр Хинштейн.
По его словам, с точки зрения закона "О персональных данных" (152-ФЗ) оператором ПД является любой, кто их обрабатывает. "Если учесть, что в России есть более 5 млн юридических лиц, включая индивидуальных предпринимателей, то каждый из них - оператор ПД. Это операторы связи, гостиницы, магазины, торговые сети, банки, все те, у кого есть данные более чем о двух гражданах. Если в компании оформлены два сотрудника, есть их личные дела, то компания также является оператором персональных данных", - отметил Александр Хинштейн.
"Далеко не каждая компания, которая обрабатывает персональные данные, готова вкладываться в их защиту. Ситуация неправильная. Нужно дать компаниям возможность передавать эти данные какому-то уполномоченному лицу, по аналогии с банковским хранилищем, или, как это работает по закону о хранении оружия, когда каждый гражданин, кто владеет оружием, в любой момент может сдать его на хранение государству. Такая же норма должна заработать и здесь, ведь утечки данных по-прежнему остаются одной из ключевых проблем в цифровой среде и в ведении ИТ-комитета Госдумы", - добавил председатель ИТ-комитета Госдумы РФ.
По данным Роскомнадзора, с начала 2024 г. утекло более 500 млн записей о ПД; количество инцидентов - 334. Это рост более чем в 2,3 раза по сравнению с 2023 г. - тогда случилось 146 утечек; лидер по количеству утечек - отрасль ретейла (42%), затем сфера услуг (11%), соцсети, форумы и блоги (8%), финансовый сектор (7%) и СМИ (5%).
Пресс-служба Ассоциации больших данных (АБД) сообщила, что АБД поддерживает инициативы, направленные на повышение безопасности персональных данных, но считает, что необходима проработка непростого вопроса о порядке взаимодействия операторов с обработчиками персональных данных и о распределении ответственности между ними.
"Весной 2024 г. ассоциация и участники рынка разработали и приняли отраслевой защиты данных, который может составить основу для будущих требований к операторам персональных данных", - добавил представитель пресс-службы АБД.
https://www.comnews.ru/content/232774/2024-04-19/2024-w16/1008/otrasl-p…
Глава комитета по информационной безопасности АРПП "Отечественный софт" и директор по стратегии и развитию технологий АО "Беллсофт" (Axiom JDK) Роман Карпов назвал инициативу парламентариев правильной. "Особенно актуально, если к предлагаемой модели профессиональных хранителей персданных получится добавить маркировку этих самых данных - кто и как их изначально получил", - отметил Роман Карпов.
Руководитель направления сервисов защиты облачного провайдера ООО "НУБЕС" (Nubes) Александр Быков считает, что для части компаний это может стать более простым способом обеспечить соответствие требованиям регулятора относительно ПД. "С другой стороны, такие операторы могут стать еще одной точкой уязвимости и потенциальным каналом утечки ПД. Причем скомпрометированными могут стать данные сразу многих компаний, хранящиеся у этих операторов", - считает он.
Заместитель технического директора ООО "Инностейдж" (Innostage) Данияр Исхаков отметил, что с учетом введения в будущем оборотных штрафов за утечки ПД создание таких операторов может быть интересно для бизнеса, но вместе с тем по-прежнему будут требоваться такие меры, как шифрование канала связи, защита рабочих мест сотрудников, которые запрашивают ПД, защита приложений, где обрабатываются запрошенные ПД и откуда они могут утечь.
Данияр Исхаков считает, что бизнес должен будет сопоставить стоимость и выгоду от разработки систем защиты информации и стоимость услуг операторов ПД. По его мнению, для бизнеса использование таких услуг будет тарифицироваться.
Генеральный директор АНО "Национальный центр компетенций по информационным системам управления холдингом" Кирилл Семион считает, что создание в России операторов ПД интересно для компаний из сегмента среднего и малого бизнеса, так как им тяжело нести дополнительные затраты по качественной защите ПД. "Крупные корпорации, скорее всего, услугами операторов персональных данных не воспользуются из-за желания иметь полную гарантию соблюдения коммерческой тайны", - полагает он.
По мнению Кирилла Семиона, будет лучше, если формировать требования к этим операторам и контролировать их выполнение станут федеральные органы: это обеспечит непредвзятость. Кроме того, по его словам, принципиальны не только механизмы защиты персональных данных, но и гарантия сохранения коммерческой тайны клиентов.
Пресс-служба Роскомнадзора не ответила на запрос ComNews.
