Почему «контроль», а не «собственность» — ключ к пониманию данных

от

«Споры о том, кто владеет данными — вы не владеете данными. Вы владеете процессами, которые их создают, и контролируете конвейеры, по которым они движутся. Регулятор же не говорит о собственности, а только о контроле — и это единственная реальная позиция, от которой можно отталкиваться.»

Почему «собственность» — плохая метафора для данных

Когда речь заходит о данных, первая интуитивная аналогия — право собственности. Вы создали файл, собрали массив логов, получили информацию от клиента — значит, это «ваше». Но правовая система работает иначе. Данные, это не вещь. Их можно скопировать без потери оригинала, они существуют одновременно в разных местах, а их ценность часто зависит не от факта владения, а от способности к интерпретации и использованию. Юридические конструкции, созданные для физических объектов (купил, владею, распорядился), здесь дают сбой. Попытка «владеть» данными так же, как автомобилем, приводит к парадоксам. Вы не можете продать одни и те же данные сотне покупателей, не лишившись их, но в цифровом мире — можете.

Эта метафорическая ловушка особенно опасна в сфере персональных данных. Человек, чьи данные обрабатываются, не является их «собственником» в классическом смысле. Он — субъект персональных данных, источник. А оператор — контролёр, обрабатывающее лицо. Это различие фундаментально: оно переводит фокус с владения на соблюдение процедур, с «мое/не мое» на «что можно и нельзя делать». Когда компания говорит «это наши данные о пользователях», она ошибается. Это данные пользователей, находящиеся под её контролем. Разница кажется семантической, но на неё завязаны все регуляторные требования.

Контроль как реальный инструмент регулирования

Российское и международное законодательство (152-ФЗ, GDPR) построено вокруг концепции контроля, а не собственности. Регуляторы спрашивают не «кому это принадлежит?», а «кто определяет цели и средства обработки?» (контролёр) и «кто обрабатывает по поручению?» (обработчик). Это практичный подход, который позволяет накладывать обязательства на того, кто фактически управляет рисками для прав субъектов.

Контроль, это совокупность полномочий и ответственности. Если ваша компания решает, какие данные собирать, зачем, как долго хранить и кому их передавать — вы контролёр. Даже если физически сервера находятся у стороннего провайдера, юридическая ответственность за нарушение лежит на вас. Это прямо прописано в 152-ФЗ: оператор персональных данных несёт ответственность перед субъектом. Такая модель позволяет регулятору воздействовать на того, кто принимает ключевые решения, а не на владельца «железа».

  • Пример из практики: компания использует облачный CRM для хранения клиентских баз. В случае утечки ФСТЭК и Роскомнадзор будут проверять не провайдера CRM (если он лишь обработчик), а вашу компанию как оператора, который не обеспечил надлежащих условий для обработки, включая выбор ненадёжного подрядчика.

Как работает разделение ролей: контролёр и обработчик

Чёткое разделение этих ролей — основа для построения легальных процессов. Контролёр определяет «что» и «зачем». Обработчик — технически исполняет «как» по документально закреплённому поручению. Вся цепочка подрядчиков (хостинг, аналитика, рассылка) должна быть выстроена так, чтобы контролёр сохранял управление и мог гарантировать соблюдение прав субъектов на каждом этапе.

Это требует юридической и технической работы. Типичная ошибка — считать, что передача данных в сторонний сервис автоматически делает его контролёром и снимает с вас ответственность. Это не так. Если вы отдаёте данные на анализ, но диктуете цели этой обработки (улучшение вашего продукта), вы остаётесь контролёром. Передача статуса контролёра возможна, но это редкий и сложный случай, требующий явного согласия субъектов и переоформления всей документации.

Критерий Контролёр (Оператор) Обработчик
Определение целей обработки Да Нет (следует инструкциям контролёра)
Определение состава данных Да Нет (работает с предоставленным)
Прямой контакт с субъектом данных Да (получает согласие, отвечает на запросы) Нет (переадресует контролёру)
Юридическая ответственность перед регулятором и субъектом Первичная и полная Субсидиарная (перед контролёром по договору)
Выбор технических средств Может делегировать Реализует, если это прописано в поручении

Контроль на практике: технические и организационные меры

Обладать контролем — значит иметь возможность его реализовать. На бумаге вы можете быть контролёром, но если ваши подрядчики хранят данные где угодно и как угодно, а вы не можете их удалить по требованию субъекта — контроля нет. Регуляторы (особенно ФСТЭК в части требований по защите информации) проверяют именно эту реализуемость.

Контроль проявляется в конкретных механизмах:

  • Управление доступом: вы решаете, кто внутри организации и у подрядчиков имеет доступ к данным, и можете этот доступ отозвать.
  • Журналирование: вы обеспечиваете фиксацию всех операций с данными для последующего анализа и отчётности перед регулятором.
  • Реагирование на инциденты: у вас есть план действий при утечке, и вы можете заставить всех участников цепочки ему следовать.
  • Исполнение прав субъектов: вы можете технически выполнить запрос на удаление, уточнение или предоставление копии данных по всем системам, включая системы обработчиков.

Именно невозможность реализовать эти меры из-за архитектуры, построенной на зарубежных SaaS, стала одной из ключевых проблем для российского IT-сектора. Переход на модели, где контроль технически осуществим (например, отечественные платформы или собственные решения), стал не вопросом выбора, а требованием регулятора.

Данные как актив: экономика без собственности

Если данные нельзя «владеть» в традиционном смысле, как тогда они становятся активом? Через эксклюзивный контроль и легальность его осуществления. Ценность данных для бизнеса определяется не правом собственности, записанным в бухгалтерском балансе, а:

  1. Качеством и уникальностью: данные, которые есть только у вас и которые корректно отражают процессы.
  2. Возможностью легального использования: наличие всех необходимых согласий и оснований для обработки.
  3. Технической возможностью извлечения пользы: наличие аналитических мощностей и компетенций.
  4. Способностью защитить актив: соответствие требованиям ФСТЭК и 152-ФЗ, что снижает репутационные и штрафные риски.

Инвестиции должны направляться не на «покупку данных» (что часто сомнительно с точки зрения 152-ФЗ), а на построение инфраструктуры контроля и аналитических систем. Юридически чистый конвейер данных, в котором соблюдены все права субъектов и требования по защите, — вот что становится реальным конкурентным преимуществом и активом в эпоху ужесточающегося регулирования.

Что делать в своей организации

Смещение фокуса с собственности на контроль требует пересмотра внутренних процессов. Начните с аудита:

  1. Картируйте потоки данных: откуда поступают, где хранятся, кто и с какой целью обрабатывает, куда передаются.
  2. Определите роли: для каждого процесса чётко зафиксируйте, кто является контролёром (оператором), а кто — обработчиком. Это должно быть отражено в договорах и политиках.
  3. Проверьте реализуемость контроля: можете ли вы технически выполнить стандартный запрос субъекта на удаление данных по всем системам? Можете ли вы гарантировать, что подрядчик не использует данные в своих целях?
  4. Приведите в порядок документацию: политики обработки, поручения обработчикам, реестр операций — всё должно отражать реальную модель контроля, а не формальное «владение».
  5. Выстройте отношения с подрядчиками: договоры должны не только передавать данные, но и детально регламентировать меры защиты, порядок реагирования на инциденты и ваши права на аудит их деятельности.

Фактический контроль, а не декларация собственности,, это то, что проверяет регулятор и что защищает компанию от штрафов и репутационных потерь. Выстраивайте свои процессы, исходя из этой реальности.

Оставьте комментарий