Операторов персональных данных обяжут использовать только российский софт

Что думают об инициативе отечественные разработчики ПО и те, кому придется мигрировать на российские разработки?

Кабмин рассматривает возможность закрепить обязательство операторов персональных данных использовать только отечественное программное обеспечение. Предложения по поправкам в законодательство принимаются до 1 декабря, пишет газета «Коммерсантъ».

Первый же вопрос: кому придется переходить на российское программное обеспечение? Понятно, что это в первую очередь те, кто есть в реестре операторов персональных данных. То есть, по сути, все. По закону любое юридическое или физическое лицо, осуществляющее обработку персональных данных, является оператором. Независимо от того, есть это конкретное лицо в реестре или же нет. Продолжает основатель и руководитель консалтинговой группы vvCube, юрист Вадим Ткаченко:

Вадим Ткаченко основатель и руководитель консалтинговой группы vvCube, юрист «Закон действует для всех. Вопрос, кто вошел в реестр и кто не вошел, — другая история, потому что каждый вправе, с одной стороны, а с другой стороны, обязан входить в реестр по обработке персональных данных. Поэтому действует для всех. Вопрос, кто внес свои данные в реестр, а кто не внес, это уже второй момент, там и ответственность другая. Нужно исходить из того, что, как только организация, ИП занимаются сбором персональных данных, в какой-то период жизни каждое юрлицо будет оператором персональных данных, потому что тем или иным образом каждый с этим сталкивается».

В качестве примера юрист привел программы лояльности в рознице. Если для получения карты магазина надо сообщить данные, которые позволяют однозначно идентифицировать человека, например ФИО, дату рождения и номер телефона, то это персональные данные. А магазин в данном случае — его оператор.

Более того, любая организация и даже ИП, которые используют наемный труд, — это тоже операторы персональных данных. У них есть как минимум номера паспортов и телефонов штатных и нештатных сотрудников.

Смотрите также:

Автор робота Федора Евгений Дудоров о том, как России обогнать Илона Маска

Экономист Михаил Ханов о самых актуальных проблемах мировой экономики

Дэниел Вулф о том, как меняются отношения России и Америки

Испытатель бионических протезов Максим Емец о технологиях для жизни

Замминистра экономразвития Татьяна Илюшникова о проблемах малого бизнеса

Ректор Бауманки Михаил Гордин о том, почему профессия инженера так важна

Предполагается, что операторы смогут выбрать для использования любое подходящее решение, включенное в реестр отечественного ПО. Сейчас, по словам авторов инициативы, уже есть «тысячи разработок различных классов». Вопрос — в гарантиях безопасности и защиты от утечек, от которых никто не застрахован. А за утечки персональных данных в России установлены большие штрафы, отмечает Георгий Солдатов, гендиректор холдинга «Адитим» — инжиниринговой компании в области обработки полимеров:

Георгий Солдатов гендиректор холдинга «Адитим» «Когда огромный кластер софта создается отчасти с нуля, это вопрос ответственности. За персональные данные несет ответственность тот, кто является оператором, например компании. Мне сложно оценить сейчас, я вижу риски, возникает вопрос: кто будет отвечать в тот момент, когда я перейду на российский софт, если этот российский софт, например, будет дырявый? Если этот вопрос будет решен, будет переходный период либо будут гарантии от производителя софта — что делать, перейдем».

Готовы ли разработчики российского ПО разделить ответственность с бизнесом за возможные утечки персональных данных? Такой вопрос Бизнес ФМ задала директору по продукту и цифровой трансформации BusinessPad Кириллу Гончарову:

Кирилл Гончаров директор по продукту и цифровой трансформации BusinessPad «На Западе есть принцип разумной осмотрительности, то есть если разработчик применял средства защиты информации, различные решения, был достигнут высокий уровень зрелости, а его вскрыли, но он предусматривал меры, он как бы не виноват. Вскрыть в нашем мире можно всех, другое дело, что если этот уровень не был достигнут, наверное, он тоже в какой-то степени виноват, потому что его клиент не может знать всех нюансов кибербезопасности, а он как разработчик является более профессиональным агентом для того, чтобы отвечать на этот вопрос. Поэтому, наверное, если бы мы этим принципом руководствовались и был создан какой-нибудь уровень достаточных инструментов защиты, может быть, система страхования рисков появилась, тогда это возможно. Но сейчас в России все находится в зачаточном состоянии, и я даже не знаю, кто мог бы застраховать реальные киберриски, например, разработчика».

Предполагается, что переходный период по переводу операторов персональных данных на отечественное ПО завершится 1 сентября 2027 года.