«Индустрия управления данными требует чёткого понимания их правовой природы, но вместо ясности мы сталкиваемся с концептуальной ловушкой. Мы привыкли оперировать понятием «собственность», однако законодательство предлагает иную категорию — контроль, и эта подмена создаёт фундаментальные риски для бизнеса и регуляторного соответствия.»
Почему данных нельзя просто «владеть»
Когда компания говорит о «своих» данных, подразумевается привычная модель собственности на физические или интеллектуальные активы. Однако правовая система в России и большинстве других юрисдикций отказывается применять классическое право собственности к данным как таковым. Информация, представленная в объективной форме, не признаётся вещью в гражданско-правовом смысле. Это создаёт правовой вакуум, который законодатели заполняют через конструкции доступа, использования и, что критически важно, контроля.
Неочевидный, но существенный нюанс заключается в том, что охраняются не сами массивы информации, а формы их фиксации и способы организации, которые могут подпадать под действие смежных прав, например, на базы данных. Но это не даёт эксклюзивного права на каждую единицу данных внутри системы.
Контроль как правовая сущность в 152-ФЗ
Федеральный закон №152-ФЗ «О персональных данных» закрепляет именно категорию контроля как основу распределения ответственности. Оператор персональных данных, это не «владелец», а лицо, которое определяет цели и содержание обработки. Это ключевое различие.
Контроль подразумевает полномочия и ответственность за весь жизнен ный цикл данных: от момента сбора до уничтожения. Оператор решает, как, где, с какой целью и с привлечением каких средств обработки данные будут использоваться. При этом он несёт всю полноту ответственности перед субъектом данных и надзорными органами, даже если техническая обработка делегирована третьей стороне — обработчику.
Схема распределения ролей между оператором и обработчиком в 152-ФЗ выглядит так:
| Роль | Ключевая функция | Ответственность перед регулятором |
|---|---|---|
| Оператор | Определение целей, состава данных, действий по обработке | Полная. Является адресатом предписаний ФСТЭК и Роскомнадзора. |
| Обработчик | Техническое исполнение действий с данными по поручению оператора | Ограниченная договором с оператором. Прямая ответственность возникает лишь при выходе за рамки поручения. |
Такая модель делает оператора центральным узлом регуляторного внимания независимо от того, где физически расположены серверы.
Практические ловушки смешения понятий
Ошибочное восприятие данных как объекта собственности приводит к системным просчётам в управлении ИБ и выстраивании договорных отношений.
Договоры с облачными провайдерами
В соглашениях об уровне услуг часто встречаются формулировки о «размещении данных клиента». Клиент может ошибочно полагать, что, передавая данные, он остаётся их собственником и лишь «арендует» дисковое пространство. Однако с позиции 152-ФЗ, если провайдер получает доступ к персональным данным для оказания услуги и действует по инструкции клиента, он становится обработчиком. Ответственность за соответствие его инфраструктуры требованиям ФСТЭК (например, приказам №17 и №21) остаётся на клиенте-операторе. Если в договоре это не прописано явно, оператор несёт риски.
Корпоративные группы и аутсорсинг
Внутри холдинга головная компания может требовать от дочерних обществ предоставления всех данных «как собственности группы». Если при этом не оформлены необходимые поручения на обработку и не проведена оценка соответствия ИТ-инфраструктуры каждого общества требованиям регулятора, возникает ситуация скрытого нарушения. Фактический контроль над данными переходит к новому лицу, которое юридически не назначено оператором.
Слияния и поглощения
При сделке M&A покупатель стремится получить активы, включая данные. Однако простое право собственности на акции компании-оператора не даёт автоматического права на продолжение обработки данных в неизменном виде. Требуется либо изменение целей обработки с уведомлением Роскомнадзора и субъектов данных, либо перезаключение согласий. Игнорирование этого этапа может сделать всю базу данных юридически «токсичным» активом.
Контроль в терминах ФСТЭК: безопасность как следствие
Требования ФСТЭК России вытекают из логики контроля. Если оператор контролирует цели и процесс обработки, то он же обязан обеспечить безопасность этого процесса. Приказы ФСТЭК (например, №17 о защите в ГИС, №21 об угрозах безопасности) предъявляют требования не к данным как к статичному объекту, а к системе, в которой они обрабатываются.
Мероприятия по защите информации, это инженерное воплощение легального контроля. Система защиты должна гарантировать, что только уполномоченные лица (те, кто входит в контур контроля оператора) имеют доступ к данным в строго определённых целях. Нарушение целостности системы защиты фактически означает потерю контроля, что является прямым нарушением закона, независимо от того, привело ли это к утечке.
аттестация и аудит ФСТЭК проверяют не «собственность на данные», а способность оператора поддерживать и доказывать свой контроль над процессом их обработки в безопасных условиях.
Как выстроить практику управления на основе контроля
Чтобы минимизировать риски, управленческие и юридические подходы должны быть пересмотрены.
- Ревизия внутренней документации. Исключить термины «владелец данных», «собственность на данные» из политик, регламентов и договоров. Закрепить понятия «оператор», «контроллер», «обработчик» в соответствии с 152-ФЗ.
- Картирование потоков данных. Обязательно документировать не только какие данные хранятся, но и кто (какая роль или юрлицо) определяет цели их обработки в каждом конкретном потоке. Это основа для назначения операторов.
- Конструкция договоров. В соглашениях с подрядчиками, облачными провайдерами и внутри группы чётко прописывать статус сторон (оператор/обработчик), цели обработки, перечень действий и обязанность обработчика соблюдать требования по защите, предъявляемые к оператору. Включать право оператора на проведение аудита.
- Управление жизненным циклом. Процедуры сбора, хранения, архивирования и уничтожения данных должны быть формализованы как процедуры реализации контроля. Сроки хранения, это не техническая, а правовая характеристика, ограничивающая временные рамки контроля.
Смещение фокуса с собственности на контроль требует перестройки мышления, но именно это даёт устойчивость перед лицом проверок и реальных инцидентов. Данные, это не актив, который можно просто купить и положить в сейф. Это обязательство, которое нужно непрерывно управлять и оберегать в правовом поле. Понимание этой природы — первый шаг к зрелости в области информационной безопасности и compliance.