Компании малого и среднего бизнеса могут дорого заплатить за исполнение поправок к закону «О персональных данных». Пока Госдума рассматривает соответствующие поправки в законодательство, в занимающейся поддержкой предпринимателей общественной организации «Опора России» уже подсчитали, что в случае принятия поправок дополнительные издержки для МСП достигнут 32,8 млрд рублей в год.
Еще около 1,7 трлн рублей может стоить оборудование для подключения к системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Как пишет «КоммерсантЪ», эти цифры организация представила в письме, направленном исполнительным директором «Опоры России» Анедреем Шубиным главе комитета Госдумы по информполитике Александру Хинштейну, который, собственно, и является одним из авторов корректировки закона в данной области.
Переложить затраты на контрагентов не получится
Согласно предлагаемым поправкам, все организации должны уведомлять Роскомнадзор о трансграничной передаче персональных данных в страны, «обеспечивающие адекватную защиту прав субъектов данных». При этом регулятор может постфактум запретить отправку данных в течение тридцати дней после подачи заявления.
Передача персональной информации в страны, не входящие в упомянутый список, например, в Китай, изначально происходит только по разрешениям. Проект также обязывает всех операторов персональных данных быть постоянно подключенными к системе ГосСОПКА. Сейчас такая норма есть только для объектов критической информационной инфраструктуры (банки, операторы связи и другие).
При этом, уверены в «Опоре России», необходимость согласовывать передачу данных за рубеж «усложнит ведение внешнеторговой деятельности для малого и среднего бизнеса, вплоть до полной остановки работы в связи административными издержками по подготовке и отправке таких уведомлений».
Малый бизнес обычно не имеет отдельной кадровой службы и не может позволить себе расходы на перестройку процессов и взаимодействие с Роскомнадзором. А для подключения к ГосСОПКА структурам, которые занимаются обработкой персональных данных, придется закупить сертифицированное ФСТЭК программное обеспечение для создания защищенного канала связи.
Представители бизнеса считают, что нововведение приведет к падению объемов импорта более чем в два раза, так как требования законопроекта фактически делают невозможной оперативную передачу персональных данных. По крайней мере, именно такое мнение выразили в компании Ozon.
В Роскомнадзоре, впрочем, заявили, что «оператор персональных данных должен уведомлять один раз для каждой страны, а не о каждой трансакции», а сроки рассмотрения такого уведомления будут сокращены до десяти рабочих дней. В Минцифры сообщили, что планируют серию встреч с бизнесом для обсуждения и уточнения положений проекта.
Сам Александр Хинштейн признает, что в адрес комитета поступило «большое число обращений от бизнеса, компаний и банков», и частично с ними можно согласиться. «С высокой долей вероятности мы скорректируем формулировку о непрерывном подключении к ГосСОПКА. Мы не закладывали в нее требования по установке нового оборудования, речь идет именно о взаимодействии с системой в удобном виде», — заявил он.
Партнер юридической компании «Генезис» Василий Сосновский заметил в беседе с корреспондентом «Эксперта», что для бизнеса эти поправки — как минимум очевидное увеличение транзакционных издержек, связанных с осуществлением своей деятельности. Потребуются денежные ресурсы для подключения к ГосСОПКА, для работы с этой системой, для минимизации рисков привлечения к ответственности за допущенные (в том числе и случайно) нарушения.
При этом на высококонкурентном рынке, да еще в условиях сжатия экономики, полностью переложить эти затраты на контрагентов вряд ли получится, полагает юрист. По его словам, более вероятно, что это приведет к снижению чистой прибыли бизнеса и, соответственно, к снижению инвестиций в собственное развитие. Маркетплейсы и вовсе заявляют, что потеряют значительную часть выручки.
Получается, что поправки, по аналогии с ГЛОНАСС или с обязательной маркировкой товаров (в том числе тех областях, где в маркировке, очевидно, нет нужды, потому что уровень контрафакта нулевой или близок к таковому из-за специфики рынка), направлены на получение дополнительных доходов с бизнеса и на усиление государственного контроля за ним. Повышению же конкуренции и снижению себестоимости продукции для потребителей (к чему, по идее, нужно стремиться, чтобы увеличивать благосостояние жителей страны) это не будет способствовать, уверен Василий Сосновский.
Нововведения похожи на квазиналог
На текущий момент принятие данного закона идёт вразрез со стратегией открытости международному сотрудничеству, считает стратегический консультант малого бизнеса, CEO консалтингового агентства GM Consult Гаджимурад Магомедрасулов.
По его мнению, закон будут неоднократно дорабатывать, если государству действительно важно мнение субъектов МСП, так как 1 трлн помощи бизнесу — немалые деньги. Если рассматривать вариант принятия поправок, говорит эксперт, то, безусловно, уровень ответственности бизнеса повысится. Но пострадают в первую очередь мелкие и средние компании с иностранными партнёрами.
«Беда наших законов в том, что они принимаются людьми, далёкими от бизнеса и по методу: издал-объявил-доработал-принял-получил критику. Считаю, что денежные меры и отсутствие проверок недостаточны для поддержки меры бизнеса. Необходимы максимальная гибкость и открытость к международному сотрудничеству со странами, не являющиеся нашими открытыми врагами», — сообщил «Эксперту» Гаджимурад Магомедрасулов. В конечном счёте, уверен он, экономическая выгода в сухом остатке сбивает эмоциональный накал, несмотря на всю антироссийскую риторику.
Как заявил «Эксперту» исполнительный директор общероссийского межотраслевого объединения работодателей «Ассоциация "Безопасность и качество"» Александр Акимов, ГосСОПКА — это уже хорошо зарекомендовавшая себя система, которая позволит эффективно бороться с проблемой защищенности персональных данных. К ней уже подключен целый ряд субъектов МСП, осуществляющих деятельность в сфере здравоохранения, науки, транспорта, связи, энергетики и других с целью защиты критической информационной инфраструктуры.
Среди более 400 тысяч операторов персональных данных, зарегистрированных в Роскомнадзоре, всего менее 3 тысяч осуществляют трансграничную передачу персональных данных в недружественные страны, отметил эксперт. Законопроектом же предусматривается обязанность оператора не сообщать о каждой трансграничной передаче данных, а уведомлять о намерении этой передачи с указанием страны. Стоит учесть и те возможности подключения, которые подойдут каждому субъекту МСП, в том числе и самозанятым.
Когда мы говорим об издержках малого и среднего бизнеса в размере 33 млрд рублей в год, эта цифра видится совсем пессимистичной, признал Александр Акимов. При этом не нужно забывать и о роли государства, которое может сделать переход к новым обязательным требованиям более гладким. Например, компенсировать бизнесу затраты на сертифицированное ФСТЭК программное обеспечение или оборудование, предложил исполнительный директор объединения работодателей.
Так или иначе, но вводимые требования отражают одновременно два тренда. Мировой — на усиление регулирования и ответственности в области кибербезопасности. И национальный — на углубление степени локализации данных и большего контроля над ними, поделился с «Экспертом» партнер BGP Litigation Александр Панов.
При этом обязательность требований и необходимость вложений в инфраструктуру делает нововведения похожими на квазиналог, считает он. Для субъектов МСП такой режим мог бы быть дифференцированным в зависимости от степени риска информационных систем и типа бизнеса.
Разумной, по словам Александра Панова, могла быть в нынешних условиях и отсрочка. Если требования все же необходимо внедрить прямо сейчас, то напрашивается подход «кибербезопасность как услуга» — валидированные ФСТЭК и ФСБ облачные решения, к которым субъекты МСП могли бы присоединяться без дорогостоящей кастомизации. Впрочем, сейчас на рынке такой услуги нет, констатировал эксперт.
