Компании, оказывающие услуги бизнесу, предложено признать операторами персданных

Российская Газета

С 1 сентября 2022 года все компании и индивидуальные предприниматели обязаны уведомлять Роскомнадзор о начале обработки персональных данных. С 30 мая 2025 года штрафы за неподачу такого уведомления значительно возрастут. Вместо прежних 5000 рублей максимум, теперь они вырастут до 300 тысяч рублей для юрлиц и ИП. Это привело к тому, что небольшие предприниматели массово регистрируются в Роскомнадзоре, чтобы избежать штрафов. При этом многие из них, де-факто, уже сегодня не хранят данные свои клиентов, но собирают их, а значит - несут ответственность.

Компании, оказывающие услуги бизнесу, предложено признать операторами персданных
© Российская Газета

Персональные данные - это информация, связанная с конкретным человеком, включая ФИО, дату рождения, адрес, электронную почту, семейное положение, профессию и другие личные сведения. Если компания собирает такие данные, она становится оператором и должна взаимодействовать с Роскомнадзором. "Даже запись данных для оформления пропуска считается обработкой персональных данных", - отмечают юристы Ассоциации блогеров и агентств.

Исключений несколько. Основное, если не ведется электронная обработка таких данных. То есть, если вы переписываете данные паспортов посетителей огромного бизнес-центра в тетрадь, которую затем уничтожите, то вы не оператор, а если продаете изделия народного промысла в маленьком интернет-магазине с доставкой, то оператор.

Главная проблема, отмечают участники рынка, состоит в том, что для того чтобы избежать штрафов, и предприниматель, владеющий маленьким интернет-магазином, и крупный сервис, должны пройти один и тот же процесс регистрации, заполнив форму на сайте Роскомнадзора.

"Этот процесс адаптирован для тех компаний, которые используют для хранения данных собственные или арендованные мощности. И которые обладают штатом юристов, способных компетентно ответить на вопросы формы, в том числе указать те или иные нормы права, на основании которых собираются и хранятся данные", - говорит владелица небольшого интернет-магазина Анастасия П.

Специфика малого бизнеса заключается еще и в том, что значительная часть таких компаний и сервисов сегодня использует так называемые облачные сервисы. Это и CRM-системы, где хранятся данные клиентов, и движки интернет-магазинов, где оформляются заказы, и бухгалтерские сервисы, и складские программы. "Все это работает в облаке, предприниматель подключается к ним через браузер, приложение или через программный интерфейс (API), и работает с данными прямо там, ничего оттуда локально не выгружая и не храня", - поясняет другой участник рынка.

В Роскомнадзоре согласны с тем, что сегодня есть определенный перекос в этой сфере. И предлагают изменить статус организаций, де-факто, сегодня хранящих персональные данные в том числе и малых предпринимателей, чтобы они несли за это ответственность.

"Чтобы малый бизнес фокусировался на том, чтобы повышать свою эффективность, формулировать стратегии развития, новые продукты создавать и так далее, а не думать, правами какого оператора себя наделить и кто ответственный за обработку персональных данных. Чтобы это все было на аутсорсе", - рассказал "РГ" замглавы Роскомнадзора Милош Вагнер в кулуарах Positive Hack Days.

Сегодня же, по словам Вагнера, ситуация выглядит совсем иначе.

"Компании, которые представляют облачные сервисы, занимают позицию: "Мы не знаем, что там за данные, какие там данные. Персональные, не персональные или просто перечень номенклатурных номеров ваших столов в офисе. Мы не знаем. Мы просто гарантируем, что туда никто не влезет". Но в результате, как только происходит компрометация, вопросы не к компании, которая хранит данные, а к компании, которая положила их туда. И получается, что малый бизнес остается один на один с надзорными органами и слушает зачитываемые протоколы об административной ответственности", - поясняет чиновник.

Предлагаемая Роскомнадзором концепция, переносит ответственность с предпринимателей, на компании, оказывающие те или иные услуги для бизнеса. И наделяет их статусом операторов персональных данных. Не создавая при этом какой-то дополнительной структуры, оказывающей дополнительные платные услуги бизнесу.

"Первая часть этой истории уже сделана. Данные уже не у них (малых бизнесов) физически. Система управления доступом уже не у них физически. Осталось только разделить ответственность. Тем, кто хранит данные, на себя её принять",- отмечает Вагнер.

В Ассоциации больших данных, объединяющей крупнейшие IT-компании на рынке, отмечают, что сама по себе идея делегирования хранения данных компаниям с более серьезной экспертизой в этом вопросе, может оказаться благом.

"Использование облачных сервисов участников рынка, достигших высокого уровня зрелости в области информбезопасности, значительно повысит защищенность персональных данных граждан. Однако для реализации такой инициативы необходимо решить ряд регуляторных вопросов, касающихся оснований для передачи данных в облако оператором персональных данных, возможности обработки защищаемых видов информации (тайн) в облаке, а также порядок взаимодействия и распределения ответственности между поставщиком сервиса и оператором",- заявили в пресс-службе АБД.