Работодателей обяжут сливать персональные данные сотрудников и клиентов в «госозеро»

Бизнесу придется передавать данные о своих сотрудниках и клиентах в «госозеро» — государственную информационную систему (ГИС). Минцифры разработало проект, в котором перечисляются случаи, когда предприниматели будут обязаны это делать. При этом предполагается, что предварительно эти данные будут обезличены.

В частности, власти смогут запрашивать у бизнеса обезличенные персональные данные клиентов и сотрудников, если они понадобятся для «защиты населения и территорий», то есть при возникновении угрозы чрезвычайной ситуации или установлении режима контртеррористической операции. Также данные будут запрашивать во время карантинов для предупреждения распространения инфекционных заболеваний и отравлений.

Как пишет Forbes, этими чрезвычайными ситуациями намерения властей не ограничиваются. Они смогут собирать у бизнеса данные для социальных или экономических исследований, а также для «реализации мероприятий, определенных в госпрограммах, национальных и федеральных проектах, приоритетных программах и проектах в России». Таким образом, бизнесу придется делиться персональными данными сотрудников и клиентов почти в любом случае. Предполагается, что проект распоряжения правительства вступит в силу в сентябре 2025 г.

Издание напоминает, что документ этот готовился несколько лет. Изначально предполагалось, что благодаря ему бизнес сможет проще и быстрее получать согласия на обработку персональных данных от своих клиентов, что, в свою очередь, поможет ему легче таргетировать свои рекламные предложения, используя технологии искусственного интеллекта. Но в конечной версии цель поправок в закон «О персональных данных» (они были приняты 8 августа) выглядит совсем по-другому.

Судя по поправкам, будет создана ГИС, куда бизнес и государственные муниципальные организации по запросу должны передавать персональные данные своих клиентов и сотрудников. Предварительно эти данные должны быть обезличены, поэтому согласия пользователей на их передачу в «госозеро» не требуется, уточняют законотворцы. Доступ к ГИС смогут получать госорганы и все, кого одобрит правительство.

Эксперты, опрошенные изданием, опасаются, что при объединении данных в «госозеро» они могут быть скомпрометированы. 

Персональная информация даже в обезличенном виде чрезвычайно чувствительна. Необходимо проработать четкие, прозрачные, выполнимые и гарантирующие безопасность алгоритмы передачи и использования данных, — убеждены в МТС.

Эксперты также указывают, что правительство не определило четкий перечень случаев, когда и какие обезличенные данные можно запрашивать у компаний. Получается, что бизнес будет вынужден предоставлять их по любому запросу чиновников. Нужно регламентировать отношения государства и бизнеса в части передачи данных, сделать их прозрачными и четко определить категории служащих, которые имеют право доступа в «госозеро».

Поручения, например, вице-премьеров не могут выполнять эту роль, к тому же львиная доля этих поручений вообще не публикуется, и компании будут обязаны его удовлетворить. Это ставит бизнес в уязвимое положение, — указывает источник в ИТ-отрасли.

Кроме того, оператор, обрабатывающий персональные данные (а таковым становится любая компания или организация), будет вынужден нести дополнительные расходы на обезличивание данных, констатирует советник практики интеллектуальной собственности юридической компании ЭБР Кристина Мкртчян.

Помимо очевидных расходов на разработку или закупку ПО для обезличивания данных, потребуются перестройка бизнес-процессов, обучение персонала и создание новых систем контроля. Особенно чувствительным это может оказаться для малого и среднего бизнеса, который не располагает значительными IT-бюджетами, — считает она.

Нельзя, по ее мнению, сбрасывать со счетов и риски информационной безопасности. «Даже при качественном обезличивании существует вероятность деанонимизации данных при их сопоставлении из различных источников. А учитывая, что речь идет о централизованном хранилище данных, это создает потенциальные риски для всего массива собранной информации», — резюмирует Мкртчян.

По сути, бизнес потеряет контроль над своими данными, поскольку процедура обезличивания имеет обратимый характер, считает эксперт по защите персональных данных и соучредитель Regional Privacy Professionals Association (RPPA.pro) Алексей Мунтян. «При этом государство сможет обрабатывать эти данные в широком спектре сценариев, который не всегда может быть явно ограничен заявленными в проекте целями», — заключает он.

Как стало известно ранее, помимо создания «госозера» Минцифры предлагает сделать поводом для внеплановых проверок бизнеса трансграничную передачу персональных данных и финансовой информации без ведома Роскомнадзора. Наиболее сильное неудобство новшество вызовет у финансовых организаций, например, сейчас банки ни с кем из регуляторов не согласовывают данные трансграничных платежей, поскольку их тысячи и утвердить каждый в Роскомнадзоре просто нереально, особенно заблаговременно.

Напомним, в 2023 г. Госдума приняла в первом чтении два законопроекта об усилении административной и уголовной ответственности за утечку персональных данных. Размер оборотных штрафов может достигать 0,5 млрд руб., рассказывал DK.RU. А за кражу и обработку похищенных персональных данных будет грозить до десяти лет лишения свободы.

Ранее DK.RU также рассказывал, что Роскомнадзор выявил крупнейшую утечку данных в 2023 г.: за один раз более 510 млн записей о россиянах утекли в интернет.  Отметим, в 2022 г. в сеть утекли 600 млн записей, было зафиксировано свыше 140 утечек.