Мах или Макс?

Часть 1

Итак, сюрприз, мессенджер Мах признан национальной платформой 💬 И у меня есть что сказать по этому поводу, но для начала недоумение. Если вспомнить принятое законодательство о том, что у нас теперь на первое место выходят русскоязычные названия, то как надо читать платформу, упомянутую в распоряжении - Мах (по-русски) или Max (по-английски)? Но это лирика, на самом деле у меня комментарий будет все-таки в тему канала 🤔

Когда принимали оборотные штрафы 🤑 за инциденты с ПДн, то одним из сценариев ухода от этого наказания, называли фирмы-однодневки, которые и будут становиться операторами персональных данных вместо своих "мам" и "пап". И вот яркий пример, когда государство само показывает "как надо делать". Чтобы не подставлять ВК, статусом оператора нац. мессенджера наградили некое ООО "Коммуникационная платформа" (на сайт без слез не взглянешь). Теперь, если что и произойдет, то... Будет ли ВК нести ответственность за инциденты? ❓

Если посмотреть реестр операторов персональных данных, то мы увидим, что для ООО "Коммуникационная платформа" ответственным за организацию обработки ПДн является ООО "ВК", которому принадлежит 15% в операторе нац. платформы. 84,99% принадлежат ООО "В КОНТАКТЕ", а оставшийся 0,01% ООО "КОМПАНИЯ ВК" 📊 Устанавливая Max, вы кому даете согласие на обработку ПДн? И кто в реальности их обрабатывает? Кстати, обратите внимание, между датой регистрации уведомления и датой внесения в реестр прошел... 1 (один) день! Я не вспомню больше ни одного такого случая, чтобы РКН столь оперативно регистрировал операторов ПДн

Дальше больше. Смотрим публичную информацию по компании (в СПАРКе и т.п. сервисах данных еще больше). Среднесписочная численность персонала в 2024 году - 2️⃣ человека (и по ФОТу похоже). Согласно реестру РКН данное ООО обрабатывает ПДн широкого спектра и точно более чем 100000 субъектов (уже загрузок более 2 миллионов). Согласно ПП-1119 уровень защищенности ПДн, который может быть установлен в ООО "Коммуникационная платформа", не может быть ниже 3-го, а при выборе актуальных угроз 1-го или 2-го типа (а даст ли ФСБ 👮‍♂️ выбрать ниже?) - не ниже 1-го (2-й в принципе тут не предусмотрен). Как при 2-х сотрудниках реализовано требование наличия собственного подразделения по защите ПДн? 🤔

Смотрим дальше. В реестре РКН написано, что оператор передает ПДн по Интернет 🔗, но при этом, согласно тому же реестру, никаких шифровальных средств оператор нац. платформы не использует. Возникает очередной вопрос - а как, собственно, обеспечивается конфиденциальность перс. данных пользователей платформы? У ФСБ вроде вполне четкая позиция на этот счёт? 🔑