Роскомнадзор назвал критерии для возможных уполномоченных операторов персональных данных

Пресс-служба Роскомнадзора сообщила корреспонденту ComNews: "Доверить хранение и обработку значительных объемов персональных данных (от 100 тыс. записей персональных данных) можно только компаниям, подтвердившим способность организовать безопасную обработку ПД". К ним необходимо предъявлять повышенные требования:

Роскомнадзор назвал критерии для возможных уполномоченных операторов персональных данных
© ComNews.ru

быть российским юридическим лицом; иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора; иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн руб.; использовать для обработки персональных данных базы данных только на территории РФ; подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности.

1 августа председатель комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи Александр Хинштейн на пресс-конференции по итогам весенней сессии сообщил, что в осеннюю сессию 2024 г. депутаты Госдумы и Роскомнадзор обсудят возможный законопроект, который вводит новый институт уполномоченных операторов персональных данных.

"По нашему замыслу, должны появиться юридические лица, структуры, которые будут с точки зрения профессиональной подготовленности и подтверждения качества их работы уполномоченными органами хранить персональные данные других", - отмечал Александр Хинштейн.

https://www.comnews.ru/content/234576/2024-08-02/2024-w31/1007/rossii-mogut-poyavitsya-upolnomochennye-operatory-personalnykh-dannykh

Пресс-служба Роскомнадзора объяснила, что нередко у организаций происходит необоснованное, избыточное накопление данных о гражданах - "на всякий случай", без четкой цели их дальнейшего использования: "Это противоречит одному из ключевых принципов обработки персональных данных: обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки".

"Полагаем, что необходимо действовать через отраслевое законодательство, путем разработки обязательных стандартов работы с данными. Профильным ведомствам целесообразно сформулировать и контролировать - какой конкретно набор данных является действительно минимально необходимым для достижения тех или иных целей, какие особенности работы именно в каждом конкретном случае", - добавила пресс-служба Роскомнадзора.

Из ответа представителя пресс-службы Роскомнадзора следует, что пока неясно, какой орган будет определять уполномоченных операторов ПД: "Механизмы реализации проекта (обязательность, конкретные требования и т.д.) будут прорабатываться при подготовке законодательной инициативы".

Глава правового комитета АРПП "Отечественный софт", руководитель юридического отдела ООО "Электронные офисные системы (проектирование и внедрение)" Дарья Шахвердова назвала требования вполне адекватными и выполнимыми для средних и крупных организаций, а критерий по наличию финансовой гарантии - правильным.

Директор по информационным технологиям "ЭджЦентр" (провайдер облачных решений EdgeЦентр) Сергей Липов, наоборот, находит требования к уполномоченным операторам ПД жесткими, особенно в части финансовой подушки в 100 млн руб. По его мнению, это может стать значительным барьером для входа на рынок малых и средних компаний.

По его словам, наличие в штате пяти работников с профильным высшим образованием также может вызвать трудности у небольших компаний: найти и удержать таких специалистов сложно и дорого.

Заработать на хранении чужих данных не получится

"Мы не поддерживаем предложения о получении прибыли от обработки данных. Мы полагаем, что такие данные могли бы быть использованы для развития информационных технологий, в том числе для обучения нейросетей уполномоченного оператора", - ответила пресс-служба Роскомнадзора на вопрос, смогут ли компании, которые станут уполномоченными операторами ПД, заработать на том, что будут обрабатывать данные других компаний, и будет ли предусмотрена бизнес-модель в этих отношениях.

Руководитель направления Центра компетенций по информационной безопасности "Т1 Интеграция" Валерий Степанов считает, что компании, планирующие передавать персональные данные уполномоченным операторам, могут испытывать опасения относительно безопасности этих сведений, особенно в контексте их использования для обучения искусственного интеллекта: это связано с возможными рисками утечки или неправильного использования информации.

Сергей Липов считает, что возможность использования данных для обучения ИИ-моделей может стать конкурентным преимуществом для операторов, но ограничение на заработок непосредственно на хранении и обработке данных может снизить привлекательность этой опции для компаний, не имеющих интереса в сфере ИИ. "В итоге это требование может сузить круг потенциальных операторов до тех, кто видит в этом возможность для стратегического развития и готов инвестировать в долгосрочные проекты в области ИИ", - считает Сергей Липов.

С точки зрения информационной безопасности, по словам Сергея Липова, для передачи ПД уполномоченным операторам, особенно для целей обучения ИИ, необходимо будет разработать и внедрить процедуры для защиты данных, включая анонимизацию и псевдонимизацию, чтобы минимизировать риски утечек и несанкционированного доступа.

По мнению Дарьи Шахвердовой, уполномоченными операторами ПД станут или государственные структуры, получающие финансирование этой деятельности, или коммерческие организации, монетизирующие данную деятельность, - вариантом монетизации может быть плата за обучение ИИ на большой выборке.

"Огромные прибыли здесь не просматриваются, так как необходима предварительная подготовка данных для обучения, которая может быть затратна. К тому же не факт, что будет огромный спрос на обучение ИИ с соответствующей маржой. Если этот вид монетизации будет основным при принятии решения о начале данной деятельности, то есть большой риск неоправдания бизнес-надежд. Важно будет безопасно забрать хранящиеся ПД у банкрота", - объясняет Дарья Шахвердова.

По ее мнению, безопасность не будет интересовать компании, отдающие ПД, так как их ответственность за предотвращение утечек прекращается с момента начала передачи ПД. "Даже если утечка произойдет в канале передачи - это должна быть ответственность уполномоченного оператора ПД, так как на этом этапе он предоставляет доступ к хранилищу, в том числе к промежуточному", - заключила Дарья Шахвердова.