ИТ-комитет Госдумы, Роскомнадзор и Минцифры прорабатывают вопрос создания «спецоператора обработки персональных данных», сообщил глава комитета Александр Хинштейн на ПМЭФ-2024.
Артем Дмитриев, управляющий партнер Comply, комментирует инициативу:
Как кажется, все же крупные компании стремятся сохранить свое исключительное право на собранные и обрабатываемые данные. То есть для B2C сегмента данные, конечно же, актив, ценность, конкурентное преимущество и далее по списку. И, что важно, такой бизнес, желая оставаться экономическим бенефициаром данных, безусловно осознает и необходимость быть владельцем связанных с этими данными рисками.
А не хотят ли данные национализировать, не предоставив выбор бизнесу? Уверен, бизнес сам способен решить, есть ли необходимость в таких «спецоператорах». Лично я, несмотря на активную GR повестку, ни разу не слышал от бизнеса и ассоциаций таких мыслей. Хотя допускаю, что малый бизнес и возможно B2B средний бизнес будут не против снять с себя часть рисков, лишившись при этом своего «экономического титула» на данные. Но пока вопросов больше, чем ответов. Например, по каким правилам и SLA будет осуществляться взаимодействие между бизнесом и «спецоператором».
И говоря о том, что эта концепция вообще как-то позволит снизить риски, мы, конечно же, остаемся оптимистами. Централизация хранения персональных данных может и снижает нагрузку на бизнес, позволяя ему делегировать защиту данных «спецоператору», но сосредотачивает риск утечки данных в одном месте, делая его более привлекательным для злоумышленников.
Важно понимать, что оператором ПД по-прежнему остается бизнес, даже если он делегирует их хранение или иную обработку «спецоператору». В законодательстве нет какого-то особого статуса «спецоператора», поэтому пока что он больше всего похож на обработчика по поручению. А у обработчика, как известно, ответственности за утечку не особо много. Поэтому, если уж и пытаться в этой инициативе найти пользу, то необходимы изменения механизмов применения уже грядущих оборотных штрафов, распределение ответственности между бизнесом и «спецоператором».
И к слову, возможно было бы правильнее апробировать эту концепцию через экспериментальный правовой режим (ЭПР), включая правовые и организационно-технологические процессы. Как раз в рамках ЭПР можно было бы понять, насколько эта модель может быть вообще востребована бизнесом, так чтобы сгладить острые углы до выпуска концепции в законодательный «продакшн».
Подробнее читайте в статье RSpectr по ссылке.
Артем Дмитриев, управляющий партнер Comply, комментирует инициативу:
Как кажется, все же крупные компании стремятся сохранить свое исключительное право на собранные и обрабатываемые данные. То есть для B2C сегмента данные, конечно же, актив, ценность, конкурентное преимущество и далее по списку. И, что важно, такой бизнес, желая оставаться экономическим бенефициаром данных, безусловно осознает и необходимость быть владельцем связанных с этими данными рисками.
А не хотят ли данные национализировать, не предоставив выбор бизнесу? Уверен, бизнес сам способен решить, есть ли необходимость в таких «спецоператорах». Лично я, несмотря на активную GR повестку, ни разу не слышал от бизнеса и ассоциаций таких мыслей. Хотя допускаю, что малый бизнес и возможно B2B средний бизнес будут не против снять с себя часть рисков, лишившись при этом своего «экономического титула» на данные. Но пока вопросов больше, чем ответов. Например, по каким правилам и SLA будет осуществляться взаимодействие между бизнесом и «спецоператором».
И говоря о том, что эта концепция вообще как-то позволит снизить риски, мы, конечно же, остаемся оптимистами. Централизация хранения персональных данных может и снижает нагрузку на бизнес, позволяя ему делегировать защиту данных «спецоператору», но сосредотачивает риск утечки данных в одном месте, делая его более привлекательным для злоумышленников.
Важно понимать, что оператором ПД по-прежнему остается бизнес, даже если он делегирует их хранение или иную обработку «спецоператору». В законодательстве нет какого-то особого статуса «спецоператора», поэтому пока что он больше всего похож на обработчика по поручению. А у обработчика, как известно, ответственности за утечку не особо много. Поэтому, если уж и пытаться в этой инициативе найти пользу, то необходимы изменения механизмов применения уже грядущих оборотных штрафов, распределение ответственности между бизнесом и «спецоператором».
И к слову, возможно было бы правильнее апробировать эту концепцию через экспериментальный правовой режим (ЭПР), включая правовые и организационно-технологические процессы. Как раз в рамках ЭПР можно было бы понять, насколько эта модель может быть вообще востребована бизнесом, так чтобы сгладить острые углы до выпуска концепции в законодательный «продакшн».
Подробнее читайте в статье RSpectr по ссылке.