Роскомнадзор назвал критерии для возможных уполномоченных операторов персональных данных

Пресс-служба Роскомнадзора сообщила корреспонденту ComNews: "Доверить хранение и обработку значительных объемов персональных данных (от 100 тыс. записей персональных данных) можно только компаниям, подтвердившим способность организовать безопасную обработку ПД". К ним необходимо предъявлять повышенные требования:

• быть российским юридическим лицом;
• иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора;
• иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн руб.;
• использовать для обработки персональных данных базы данных только на территории РФ;
• подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности.

1 августа председатель комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи Александр Хинштейн на пресс-конференции по итогам весенней сессии сообщил, что в осеннюю сессию 2024 г. депутаты Госдумы и Роскомнадзор обсудят возможный законопроект, который вводит новый институт уполномоченных операторов персональных данных.

"По нашему замыслу, должны появиться юридические лица, структуры, которые будут с точки зрения профессиональной подготовленности и подтверждения качества их работы уполномоченными органами хранить персональные данные других", - отмечал Александр Хинштейн.

https://www.comnews.ru/content/234576/2024-08-02/2024-w31/1007/rossii-m…

Пресс-служба Роскомнадзора объяснила, что нередко у организаций происходит необоснованное, избыточное накопление данных о гражданах - "на всякий случай", без четкой цели их дальнейшего использования: "Это противоречит одному из ключевых принципов обработки персональных данных: обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки".

"Полагаем, что необходимо действовать через отраслевое законодательство, путем разработки обязательных стандартов работы с данными. Профильным ведомствам целесообразно сформулировать и контролировать - какой конкретно набор данных является действительно минимально необходимым для достижения тех или иных целей, какие особенности работы именно в каждом конкретном случае", - добавила пресс-служба Роскомнадзора.

Из ответа представителя пресс-службы Роскомнадзора следует, что пока неясно, какой орган будет определять уполномоченных операторов ПД: "Механизмы реализации проекта (обязательность, конкретные требования и т.д.) будут прорабатываться при подготовке законодательной инициативы".

Глава правового комитета АРПП "Отечественный софт", руководитель юридического отдела ООО "Электронные офисные системы (проектирование и внедрение)" Дарья Шахвердова назвала требования вполне адекватными и выполнимыми для средних и крупных организаций, а критерий по наличию финансовой гарантии - правильным.

Директор по информационным технологиям "ЭджЦентр" (провайдер облачных решений EdgeЦентр) Сергей Липов, наоборот, находит требования к уполномоченным операторам ПД жесткими, особенно в части финансовой подушки в 100 млн руб. По его мнению, это может стать значительным барьером для входа на рынок малых и средних компаний.

По его словам, наличие в штате пяти работников с профильным высшим образованием также может вызвать трудности у небольших компаний: найти и удержать таких специалистов сложно и дорого.

https://www.comnews.ru/content/232926/2024-04-26/2024-w17/1007/sobirayu…

Председатель Ассоциации компаний по защите и хранению персональных данных (представляют интересы малого и среднего бизнеса) Александр Сильченко поддержал инициативу. Однако, по его мнению, один из проблемных вопросов - сбор и ввод ПД в систему от малого и среднего бизнеса в сторону таких уполномоченных операторов, поскольку на этом этапе и может быть также реализован взлом.

Относительно требований к будущим уполномоченным операторам ПД Александр Сильченко высказались следующим образом: "Основные резонансные и большие утечки произошли именно в тех компаниях, где было более пяти специалистов по информбезопасности, у которых подушка более 100 млн и т.д. Именно поэтому мы считаем, что эти требования сильно не помогут в защите ПД".

Заработать на хранении чужих данных не получится

"Мы не поддерживаем предложения о получении прибыли от обработки данных. Мы полагаем, что такие данные могли бы быть использованы для развития информационных технологий, в том числе для обучения нейросетей уполномоченного оператора", - ответила пресс-служба Роскомнадзора на вопрос, смогут ли компании, которые станут уполномоченными операторами ПД, заработать на том, что будут обрабатывать данные других компаний, и будет ли предусмотрена бизнес-модель в этих отношениях.

Генеральный директор ООО "Письмо" (Dashamail, сервис по email-рассылкам) и основатель Ассоциации компаний по защите и хранению персональных данных Юлия Рожкова считает, что хоть и предложение о получении прибыли уполномоченными операторами не поддерживается, сложно верится в том, что такая инициатива убережет мелкий и средний бизнес от дополнительных расходов, так как им придется покрывать расходы на соответствие указанным требованиям, которые будут немаленькие.

"Поможет ли это решить проблему? Не факт. А спрос на специалистов в области информационной защиты продолжает расти и так", - считает Юлия Рожкова.

Руководитель направления Центра компетенций по информационной безопасности "Т1 Интеграция" Валерий Степанов считает, что компании, планирующие передавать персональные данные уполномоченным операторам, могут испытывать опасения относительно безопасности этих сведений, особенно в контексте их использования для обучения искусственного интеллекта: это связано с возможными рисками утечки или неправильного использования информации.

Сергей Липов считает, что возможность использования данных для обучения ИИ-моделей может стать конкурентным преимуществом для операторов, но ограничение на заработок непосредственно на хранении и обработке данных может снизить привлекательность этой опции для компаний, не имеющих интереса в сфере ИИ. "В итоге это требование может сузить круг потенциальных операторов до тех, кто видит в этом возможность для стратегического развития и готов инвестировать в долгосрочные проекты в области ИИ", - считает Сергей Липов.

С точки зрения информационной безопасности, по словам Сергея Липова, для передачи ПД уполномоченным операторам, особенно для целей обучения ИИ, необходимо будет разработать и внедрить процедуры для защиты данных, включая анонимизацию и псевдонимизацию, чтобы минимизировать риски утечек и несанкционированного доступа.

По мнению Дарьи Шахвердовой, уполномоченными операторами ПД станут или государственные структуры, получающие финансирование этой деятельности, или коммерческие организации, монетизирующие данную деятельность, - вариантом монетизации может быть плата за обучение ИИ на большой выборке.

"Огромные прибыли здесь не просматриваются, так как необходима предварительная подготовка данных для обучения, которая может быть затратна. К тому же не факт, что будет огромный спрос на обучение ИИ с соответствующей маржой. Если этот вид монетизации будет основным при принятии решения о начале данной деятельности, то есть большой риск неоправдания бизнес-надежд. Важно будет безопасно забрать хранящиеся ПД у банкрота", - объясняет Дарья Шахвердова.

По ее мнению, безопасность не будет интересовать компании, отдающие ПД, так как их ответственность за предотвращение утечек прекращается с момента начала передачи ПД. "Даже если утечка произойдет в канале передачи - это должна быть ответственность уполномоченного оператора ПД, так как на этом этапе он предоставляет доступ к хранилищу, в том числе к промежуточному", - заключила Дарья Шахвердова.