Операторов персональных данных обяжут использовать только российский софт

Что думают об инициативе отечественные разработчики ПО и те, кому придется мигрировать на российские разработки? Материал Бизнес ФМ.

Кабмин рассматривает возможность закрепить обязательство операторов персональных данных использовать только отечественное программное обеспечение. Предложения по поправкам в законодательство принимаются до 1 декабря, пишет газета «Коммерсантъ».

Первый же вопрос: кому придется переходить на российское программное обеспечение? Понятно, что это в первую очередь те, кто есть в реестре операторов персональных данных. То есть, по сути, все.

По закону любое юридическое или физическое лицо, осуществляющее обработку персональных данных, является оператором. Независимо от того, есть это конкретное лицо в реестре или же нет.

Продолжает основатель и руководитель консалтинговой группы vvCube, юрист Вадим Ткаченко:

«Закон действует для всех. Вопрос, кто вошел в реестр и кто не вошел, — другая история, потому что каждый вправе, с одной стороны, а с другой стороны, обязан входить в реестр по обработке персональных данных. Поэтому действует для всех. Вопрос, кто внес свои данные в реестр, а кто не внес, это уже второй момент, там и ответственность другая. Нужно исходить из того, что, как только организация, ИП занимаются сбором персональных данных, в какой-то период жизни каждое юрлицо будет оператором персональных данных, потому что тем или иным образом каждый с этим сталкивается».

В качестве примера юрист привел программы лояльности в рознице. Если для получения карты магазина надо сообщить данные, которые позволяют однозначно идентифицировать человека, например ФИО, дату рождения и номер телефона, то это персональные данные. А магазин в данном случае — его оператор.

Более того, любая организация и даже ИП, которые используют наемный труд, — это тоже операторы персональных данных. У них есть как минимум номера паспортов и телефонов штатных и нештатных сотрудников.

Предполагается, что операторы смогут выбрать для использования любое подходящее решение, включенное в реестр отечественного ПО. Сейчас, по словам авторов инициативы, уже есть «тысячи разработок различных классов».

Вопрос — в гарантиях безопасности и защиты от утечек, от которых никто не застрахован.

А за утечки персональных данных в России установлены большие штрафы, отмечает Георгий Солдатов, гендиректор холдинга «Адитим» — инжиниринговой компании в области обработки полимеров:

«Когда огромный кластер софта создается отчасти с нуля, это вопрос ответственности. За персональные данные несет ответственность тот, кто является оператором, например компании. Мне сложно оценить сейчас, я вижу риски, возникает вопрос: кто будет отвечать в тот момент, когда я перейду на российский софт, если этот российский софт, например, будет дырявый? Если этот вопрос будет решен, будет переходный период либо будут гарантии от производителя софта — что делать, перейдем».

Готовы ли разработчики российского ПО разделить ответственность с бизнесом за возможные утечки персональных данных? Такой вопрос Бизнес ФМ задала директору по продукту и цифровой трансформации BusinessPad Кириллу Гончарову:

«На Западе есть принцип разумной осмотрительности, то есть если разработчик применял средства защиты информации, различные решения, был достигнут высокий уровень зрелости, а его вскрыли, но он предусматривал меры, он как бы не виноват.

Вскрыть в нашем мире можно всех, другое дело, что если этот уровень не был достигнут, наверное, он тоже в какой-то степени виноват, потому что его клиент не может знать всех нюансов кибербезопасности, а он как разработчик является более профессиональным агентом для того, чтобы отвечать на этот вопрос.

Поэтому, наверное, если бы мы этим принципом руководствовались и был создан какой-нибудь уровень достаточных инструментов защиты, может быть, система страхования рисков появилась, тогда это возможно.

Но сейчас в России все находится в зачаточном состоянии, и я даже не знаю, кто мог бы застраховать реальные киберриски, например, разработчика».

Предполагается, что переходный период по переводу операторов персональных данных на отечественное ПО завершится 1 сентября 2027 года.

Источник: bfm.ru