Игорь Ашманов назвал полезным решение Роскомнадзора взять на себя сертификацию операторов персональных данных

20 июля 2023 434 просмотра Как пишет «Коммерсант», Роскомнадзор предлагает ввести в законопроект об оборотных штрафах за утечки персональных данных требование для компаний получать лицензию на обработку таких данных. Лицензированием должен заняться удостоверяющий центр регулятора.

«Это хорошая, полезная инициатива, - комментирует член СПЧ Игорь Ашманов. - Любое возведение барьеров и порогов для коммерческих игроков на пути к тому, чтобы собирать персональные данные граждан и зарабатывать на них, – полезно, потому что сейчас это может делать всякий, кому заблагорассудится, – без реального контроля и санкций.
 
Разрешительный порядок вместо уведомительного – это правильно.
Однако, стоит сделать несколько замечаний:
 
1.Из десятков тысяч «операторов персданных», действующих в нашей стране, в реальности персональные данные граждан нужно собирать и использовать всего нескольким десяткам крупных компаний (банкам, авиакомпаниям и т.п.). Да и тем вовсе не все данные нужны.
 
Например, для выдачи клиенту скидочной карты или карты лояльности вовсе не нужны ФИО, адрес, телефон или адрес электронной почты. Можно присвоить клиенту уникальный безличный номер – и всё. Для предоставления скидки и воспитания лояльности к бренду или к розничной сети этого – достаточно.

А все перечисленные данные нужны продавцу для того, чтобы дополнительно зарабатывать на клиенте, заспамливая его каналы связи, добираясь до него в неудобные моменты, вторгаясь в его личное пространство в попытке навязать ему импульсную покупку. Или вообще для того, чтобы перепродать его данные кому-то ещё («третьим сторонам и коммерческим партнёрам», как пишут в соглашениях).
 
2.Упоминание в новости исключительно «оборотных штрафов» и выдачи лицензий – довольно тревожно. Пугает отсутствие упоминаний давно обещанной уголовной ответственности за незаконный оборот персональных данных. Надо понимать, что кража персданных в «операторах данных» практически всегда делается линейными сотрудниками, которым совершенно наплевать на оборот компании.
 
Кроме того, сам риск даже массивного оборотного штрафа – невысок и лежит где-то в будущем (после многих месяцев судов), а расходы на ужесточение контроля за данными и сотрудниками – нужно делать прямо сейчас. Поэтому возможные оборотные штрафы будут закладываться в годовые бюджеты и бизнес-планы с согласия акционеров.
 
Более того, насколько я слышал, крупные компании уже придумали простые ходы, как застраховаться от оборотных штрафов – они создают под собой отдельные «дочки» для обработки ПДн. С ничтожным оборотом. Всё, вопрос решён. Никаких денег с них получить не удастся даже при огромной утечке. Тут придётся их объединять в «группу компаний», как делает ФНС. Тогда будет создана не дочка, а совершенно независимая компания («зарегистрированная на бомжа»), обрабатывающая ПДн по договору, и так далее.

Да, лишение лицензии – неплохой стимул бояться и вводить мероприятия по защите данных и проверке персонала. Но уголовная ответственность позволила бы проводить оперативно-розыскные мероприятия, выемки журналов доступа, данных с дисков и т.п., наказывать менеджмент за халатность.
 
3.Кроме того, утечка (кража) персональных данных – только первое звено в незаконном обороте ПДн. На всех остальных звеньях лицензия никак не поможет – если только в мандате РКН не будет возможности «инструментальной проверки», какие данные граждан реально используются в проверяемой компании. В том числе, например, если они не собраны в ходе основной деятельности, а куплены. Как были куплены, например, «для обогащения данных» всеми нашими ИТ-гигантами утечки ПДн последних лет (например, 50 миллионов записей из Яндекс.Еды).
 
4.Хотелось бы также понимать будущие условия выдачи лицензии на работу с персданными. Мне кажется, они должны быть очень жёсткими. Персональные данные нужно воспринимать как радиоактивные или опасные химические материалы. Потому что они – на самом деле опасны, особенно во время войны. 
Компании должны бояться брать на себя такую ответственность и делать это только в случае крайней необходимости для основной деятельности. То есть лицензию на работы с ПДн должно быть трудно, дорого и опасно получать.
 
А так инициативу РКН можно только приветствовать. Порядка в области оборота ПДн у нас сильно не хватает, прямо на уровне катастрофы и дикого поля».