Компании, оказывающие услуги бизнесу, предложено признать операторами персданных
С 1 сентября 2022 года все компании и индивидуальные предприниматели обязаны уведомлять Роскомнадзор о начале обработки персональных данных. А с 30 мая 2025 года штрафы за неподачу такого уведомления значительно возрастут. Вместо прежних максимальных 5 тыс. руб. теперь они вырастут до 300 тыс. руб. для юрлиц и ИП. Это привело к тому, что небольшие предприниматели массово регистрируются в Роскомнадзоре, чтобы избежать штрафов. При этом многие из них де-факто уже не хранят данные свои клиентов, так как используют для работы онлайн-сервисы, оказывающие бухгалтерские и иные услуги бизнесу, но собирают их, а значит - несут ответственность.
Персональные данные - это информация, связанная с конкретным человеком, включая ФИО, дату рождения, адрес, электронную почту, семейное положение, профессию и другие личные сведения. Если компания собирает такие данные, она становится оператором и должна взаимодействовать с Роскомнадзором. "Даже запись данных для оформления пропуска считается обработкой персональных данных", - отмечают юристы Ассоциации блогеров и агентств.
Исключений несколько. Основное: если не ведется электронная обработка таких данных. То есть если вы переписываете данные паспортов посетителей огромного бизнес-центра в тетрадь, которую затем уничтожите, то вы не оператор, а если продаете изделия народного промысла в маленьком интернет-магазине с доставкой, то оператор.
Даже заявка на оформление пропуска, сделанная в компьютере, делает вас оператором персональных данных
Главная проблема, отмечают участники рынка, состоит в том, что для того чтобы избежать штрафов, и предприниматель, владеющий маленьким интернет-магазином, и крупный сервис должны пройти один и тот же процесс регистрации, заполнив форму на сайте Роскомнадзора.
"Этот процесс адаптирован для тех компаний, которые используют для хранения данных собственные или арендованные мощности. И которые обладают штатом юристов, способных компетентно ответить на вопросы формы, в том числе указать те или иные нормы права, на основании которых собираются и хранятся данные", - говорит владелица небольшого интернет-магазина Анастасия П.
Специфика малого бизнеса заключается еще и в том, что значительная часть таких компаний и сервисов сегодня использует так называемые облачные сервисы. Это и CRM-системы, где хранятся данные клиентов, и движки интернет-магазинов, где оформляются заказы, и бухгалтерские сервисы, и складские программы. "Все это работает в облаке, предприниматель подключается к ним через браузер, приложение или через программный интерфейс (API) и работает с данными прямо там, ничего оттуда локально не выгружая и не храня", - поясняет другой участник рынка. При этом предприниматель не имеет возможности управлять инфраструктурой такого сервиса, например усилить его киберзащиту.
Облачные сервисы для бизнеса держат данные компаний, не отвечая за их сохранность
В Роскомнадзоре согласны с тем, что сегодня есть определенный перекос в этой сфере. И предлагают изменить статус организаций, де-факто сегодня хранящих персональные данные в том числе и малых предпринимателей, чтобы они несли за это ответственность. "Чтобы малый бизнес фокусировался на том, чтобы повышать свою эффективность, формулировать стратегии развития, новые продукты создавать и так далее, а не думать, правами какого оператора себя наделить и кто ответственный за обработку персональных данных. Чтобы это все было на аутсорсе", - рассказал "Российской газете" замглавы Роскомнадзора Милош Вагнер в кулуарах Positive Hack Days.
Сегодня же, по словам Вагнера, ситуация выглядит совсем иначе. "Компании, которые представляют облачные сервисы, занимают позицию: "Мы не знаем, что там за данные, какие там данные. Персональные, не персональные или просто перечень номенклатурных номеров ваших столов в офисе. Мы не знаем. Мы просто гарантируем, что туда никто не влезет". Но в результате, как только происходит компрометация, вопросы не к компании, которая хранит данные, а к компании, которая положила их туда. И получается, что малый бизнес остается один на один с надзорными органами и слушает зачитываемые протоколы об административной ответственности", - поясняет чиновник.
Предлагаемая Роскомнадзором концепция переносит ответственность с предпринимателей на компании, оказывающие те или иные услуги для бизнеса. И наделяет их статусом операторов персональных данных. Не создавая при этом какой-то дополнительной структуры, оказывающей дополнительные платные услуги бизнесу.
"Первая часть этой истории уже сделана. Данные уже не у них (малых бизнесов. - "РГ") физически. Система управления доступом уже не у них физически. Осталось только разделить ответственность. Тем, кто хранит данные, на себя ее принять",- отмечает Вагнер. В Ассоциации больших данных (АБД), объединяющей крупнейшие IT-компании на рынке, отмечают, что сама по себе идея делегирования хранения данных компаниям с более серьезной экспертизой в этом вопросе может оказаться благом.
"Использование облачных сервисов участников рынка, достигших высокого уровня зрелости в области информбезопасности, значительно повысит защищенность персональных данных граждан. Однако для реализации такой инициативы необходимо решить ряд регуляторных вопросов, касающихся оснований для передачи данных в облако оператором персональных данных, возможности обработки защищаемых видов информации (тайн) в облаке, а также порядок взаимодействия и распределения ответственности между поставщиком сервиса и оператором",- заявили в пресс-службе АБД.
