Пресс‑служба Роскомнадзора сообщила корреспонденту ComNews, что «доверить хранение и обработку значительных объёмов персональных данных (от 100 тыс. записей персональных данных) можно только компаниям, подтвердившим способность организовать безопасную обработку ПД». К ним необходимо предъявлять повышенные требования:
быть российским юридическим лицом;
иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора;
иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн рублей;
использовать для обработки персональных данных базы, расположенные только на территории РФ;
подтвердить, что обработка персональных данных граждан осуществляется с учётом требований по обеспечению информационной безопасности.
1 августа председатель комитета Государственной Думы РФ по информационной политике, информационным технологиям и связи Александр Хинштейн сообщил, что в осеннюю сессию 2024 года депутаты Госдумы и Роскомнадзор обсудят возможный законопроект, который вводит новый институт уполномоченных операторов персональных данных.
Пресс‑служба Роскомнадзора объяснила, что нередко у организаций происходит необоснованное, избыточное накопление данных о гражданах — «на всякий случай», без чёткой цели их дальнейшего использования: «Это противоречит одному из ключевых принципов обработки персональных данных: обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки».
«Полагаем, что необходимо действовать через отраслевое законодательство, путём разработки обязательных стандартов работы с данными. Профильным ведомствам целесообразно сформулировать и контролировать, какой конкретно набор данных является действительно минимально необходимым для достижения тех или иных целей, какие особенности работы именно в каждом конкретном случае», — добавила пресс‑служба Роскомнадзора.
Из ответа представителя пресс‑службы Роскомнадзора следует, что пока неясно, какой орган будет определять уполномоченных операторов ПД: «Механизмы реализации проекта (обязательность, конкретные требования и т. д.) будут прорабатываться при подготовке законодательной инициативы».
Заработать на хранении чужих данных не получится:
«Мы не поддерживаем предложения о получении прибыли от обработки данных. Мы полагаем, что такие данные могли бы быть использованы для развития информационных технологий, в том числе для обучения нейросетей уполномоченного оператора», — ответила пресс‑служба Роскомнадзора на вопрос, смогут ли компании, которые станут уполномоченными операторами ПД, заработать на том, что будут обрабатывать данные других компаний, и будет ли предусмотрена бизнес‑модель в этих отношениях.
Глава правового комитета АРПП «Отечественный софт», руководитель юридического отдела ООО «Электронные офисные системы (проектирование и внедрение)» Дарья Шахвердова назвала требования вполне адекватными и выполнимыми для средних и крупных организаций, а критерий по наличию финансовой гарантии — правильным.
Директор по информационным технологиям «ЭджЦентр» (провайдер облачных решений EdgeЦентр) Сергей Липов, наоборот, находит требования к уполномоченным операторам ПД жёсткими, особенно в части финансовой подушки в 100 млн рублей. По его мнению, это может стать значительным барьером для входа на рынок малых и средних компаний. По его словам, наличие в штате пяти работников с профильным высшим образованием также может вызвать трудности у небольших компаний: найти и удержать таких специалистов сложно и дорого.
