Роскомнадзор назвал критерии для возможных уполномоченных операторов персональных данных

Пресс-служба Роскомнадзора сообщила корреспонденту ComNews: "Доверить хранение и обработку значительных объемов персональных данных (от 100 тыс. записей персональных данных) можно только компаниям, подтвердившим способность организовать безопасную обработку ПД". К ним необходимо предъявлять повышенные требования:

• быть российским юридическим лицом;
• иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора;
• иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн руб.;
• использовать для обработки персональных данных базы данных только на территории РФ;
• подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности.

1 августа председатель комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи Александр Хинштейн на пресс-конференции по итогам весенней сессии сообщил, что в осеннюю сессию 2024 г. депутаты Госдумы и Роскомнадзор обсудят возможный законопроект, который вводит новый институт уполномоченных операторов персональных данных.

"По нашему замыслу, должны появиться юридические лица, структуры, которые будут с точки зрения профессиональной подготовленности и подтверждения качества их работы уполномоченными органами хранить персональные данные других", - отмечал Александр Хинштейн.

Пресс-служба Роскомнадзора объяснила, что нередко у организаций происходит необоснованное, избыточное накопление данных о гражданах - "на всякий случай", без четкой цели их дальнейшего использования: "Это противоречит одному из ключевых принципов обработки персональных данных: обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки".

"Полагаем, что необходимо действовать через отраслевое законодательство, путем разработки обязательных стандартов работы с данными. Профильным ведомствам целесообразно сформулировать и контролировать - какой конкретно набор данных является действительно минимально необходимым для достижения тех или иных целей, какие особенности работы именно в каждом конкретном случае", - добавила пресс-служба Роскомнадзора.

Из ответа представителя пресс-службы Роскомнадзора следует, что пока неясно, какой орган будет определять уполномоченных операторов ПД: "Механизмы реализации проекта (обязательность, конкретные требования и т.д.) будут прорабатываться при подготовке законодательной инициативы".

Глава правового комитета АРПП "Отечественный софт", руководитель юридического отдела ООО "Электронные офисные системы (проектирование и внедрение)" Дарья Шахвердова назвала требования вполне адекватными и выполнимыми для средних и крупных организаций, а критерий по наличию финансовой гарантии - правильным.

Директор по информационным технологиям "ЭджЦентр" (провайдер облачных решений EdgeЦентр) Сергей Липов, наоборот, находит требования к уполномоченным операторам ПД жесткими, особенно в части финансовой подушки в 100 млн руб. По его мнению, это может стать значительным барьером для входа на рынок малых и средних компаний.

По его словам, наличие в штате пяти работников с профильным высшим образованием также может вызвать трудности у небольших компаний: найти и удержать таких специалистов сложно и дорого.

Заработать на хранении чужих данных не получится

Руководитель направления Центра компетенций по информационной безопасности "Т1 Интеграция" Валерий Степанов считает, что компании, планирующие передавать персональные данные уполномоченным операторам, могут испытывать опасения относительно безопасности этих сведений, особенно в контексте их использования для обучения искусственного интеллекта: это связано с возможными рисками утечки или неправильного использования информации.

Сергей Липов считает, что возможность использования данных для обучения ИИ-моделей может стать конкурентным преимуществом для операторов, но ограничение на заработок непосредственно на хранении и обработке данных может снизить привлекательность этой опции для компаний, не имеющих интереса в сфере ИИ. "В итоге это требование может сузить круг потенциальных операторов до тех, кто видит в этом возможность для стратегического развития и готов инвестировать в долгосрочные проекты в области ИИ", - считает Сергей Липов.

С точки зрения информационной безопасности, по словам Сергея Липова, для передачи ПД уполномоченным операторам, особенно для целей обучения ИИ, необходимо будет разработать и внедрить процедуры для защиты данных, включая анонимизацию и псевдонимизацию, чтобы минимизировать риски утечек и несанкционированного доступа.

"Огромные прибыли здесь не просматриваются, так как необходима предварительная подготовка данных для обучения, которая может быть затратна. К тому же не факт, что будет огромный спрос на обучение ИИ с соответствующей маржой. Если этот вид монетизации будет основным при принятии решения о начале данной деятельности, то есть большой риск неоправдания бизнес-надежд. Важно будет безопасно забрать хранящиеся ПД у банкрота", - объясняет Дарья Шахвердова.

По ее мнению, безопасность не будет интересовать компании, отдающие ПД, так как их ответственность за предотвращение утечек прекращается с момента начала передачи ПД. "Даже если утечка произойдет в канале передачи - это должна быть ответственность уполномоченного оператора ПД, так как на этом этапе он предоставляет доступ к хранилищу, в том числе к промежуточному", - заключила Дарья Шахвердова.

Юлия Стре­лец