Персональные данные - это информация, связанная с конкретным человеком, включая ФИО, дату рождения, адрес, электронную почту, семейное положение, профессию и другие личные сведения. Если компания собирает такие данные, она становится оператором и должна взаимодействовать с Роскомнадзором. "Даже запись данных для оформления пропуска считается обработкой персональных данных", - отмечают юристы Ассоциации блогеров и агентств.
Исключений несколько. Основное: если не ведется электронная обработка таких данных. То есть если вы переписываете данные паспортов посетителей огромного бизнес-центра в тетрадь, которую затем уничтожите, то вы не оператор, а если продаете изделия народного промысла в маленьком интернет-магазине с доставкой, то оператор.
Главная проблема, отмечают участники рынка, состоит в том, что для того чтобы избежать штрафов, и предприниматель, владеющий маленьким интернет-магазином, и крупный сервис должны пройти один и тот же процесс регистрации, заполнив форму на сайте Роскомнадзора.
"Этот процесс адаптирован для тех компаний, которые используют для хранения данных собственные или арендованные мощности. И которые обладают штатом юристов, способных компетентно ответить на вопросы формы, в том числе указать те или иные нормы права, на основании которых собираются и хранятся данные", - говорит владелица небольшого интернет-магазина Анастасия П.
Специфика малого бизнеса заключается еще и в том, что значительная часть таких компаний и сервисов сегодня использует так называемые облачные сервисы. Это и CRM-системы, где хранятся данные клиентов, и движки интернет-магазинов, где оформляются заказы, и бухгалтерские сервисы, и складские программы. "Все это работает в облаке, предприниматель подключается к ним через браузер, приложение или через программный интерфейс (API) и работает с данными прямо там, ничего оттуда локально не выгружая и не храня", - поясняет другой участник рынка. При этом предприниматель не имеет возможности управлять инфраструктурой такого сервиса, например усилить его киберзащиту.
В Роскомнадзоре согласны с тем, что сегодня есть определенный перекос в этой сфере. И предлагают изменить статус организаций, де-факто сегодня хранящих персональные данные в том числе и малых предпринимателей, чтобы они несли за это ответственность. "Чтобы малый бизнес фокусировался на том, чтобы повышать свою эффективность, формулировать стратегии развития, новые продукты создавать и так далее, а не думать, правами какого оператора себя наделить и кто ответственный за обработку персональных данных. Чтобы это все было на аутсорсе", - рассказал "Российской газете" замглавы Роскомнадзора Милош Вагнер в кулуарах Positive Hack Days.
Сегодня же, по словам Вагнера, ситуация выглядит совсем иначе. "Компании, которые представляют облачные сервисы, занимают позицию: "Мы не знаем, что там за данные, какие там данные. Персональные, не персональные или просто перечень номенклатурных номеров ваших столов в офисе. Мы не знаем. Мы просто гарантируем, что туда никто не влезет". Но в результате, как только происходит компрометация, вопросы не к компании, которая хранит данные, а к компании, которая положила их туда. И получается, что малый бизнес остается один на один с надзорными органами и слушает зачитываемые протоколы об административной ответственности", - поясняет чиновник.
Предлагаемая Роскомнадзором концепция переносит ответственность с предпринимателей на компании, оказывающие те или иные услуги для бизнеса. И наделяет их статусом операторов персональных данных. Не создавая при этом какой-то дополнительной структуры, оказывающей дополнительные платные услуги бизнесу.
"Первая часть этой истории уже сделана. Данные уже не у них (малых бизнесов. - "РГ") физически. Система управления доступом уже не у них физически. Осталось только разделить ответственность. Тем, кто хранит данные, на себя ее принять",- отмечает Вагнер. В Ассоциации больших данных (АБД), объединяющей крупнейшие IT-компании на рынке, отмечают, что сама по себе идея делегирования хранения данных компаниям с более серьезной экспертизой в этом вопросе может оказаться благом.
"Использование облачных сервисов участников рынка, достигших высокого уровня зрелости в области информбезопасности, значительно повысит защищенность персональных данных граждан. Однако для реализации такой инициативы необходимо решить ряд регуляторных вопросов, касающихся оснований для передачи данных в облако оператором персональных данных, возможности обработки защищаемых видов информации (тайн) в облаке, а также порядок взаимодействия и распределения ответственности между поставщиком сервиса и оператором",- заявили в пресс-службе АБД.