Операторов персональных данных обяжут сообщать МВД, Роскомнадзору и пользователям о хакерском взломе и любой другой утечке клиентской информации. За умалчивание компании ждет административная ответственность. Соответствующий законопроект подготовлен заместителем председателя комитета Госдумы по информполитике Мариной Мукабеновой.
В Госдуме 22 июня прошло совещание на тему «Законодательное регулирование вопросов взаимодействия уполномоченных госорганов в сфере защиты персональных данных от киберинцидентов: проблемы и перспективы». В нем участвовали представители Роскомнадзора, МВД, Следственного комитета, Сбербанка, Ростелекома, Российской ассоциации электронных коммуникаций (РАЭК), Регионального общественного центра интернет-технологий (РОЦИТ), Института развития интернета (ИРИ) и многих других организаций.
На заседании обсуждался проект изменений в закон «О персональных данных». Согласно тексту документа, операторы персональных данных в случае утечки таких данных обязаны будут в течение одного дня проинформировать об этом самих пострадавших, Роскомнадзор (надзирает за соблюдением указанного закона) и МВД. Если оператор персональных данных этого не сделает, то для него предусмотрена административная ответственность — штраф до 100 тыс руб.
Сегодня операторы данных не обязаны разглашать информацию об их утечке. По словам гендиректора компании InfoWatch Алексея Нагорного, каждая утечка — это удар по репутации компании, и о подобных инцидентах им проще умолчать.
— Что касается штрафных санкций, то 100 тысяч — это небольшие деньги, и некоторым компаниям будет проще умолчать, чем допускать репутационные риски, — объясняет Алексей Нагорный. — С другой стороны, пока не понятно, как будет рассчитываться штраф. Это сумма за каждого пострадавшего — либо за неуведомление об утечке в целом, не важно, какого объема она была. Если за каждую запись, то это существенный штраф, компании задумаются не только об уведомлениях, но и об усилении защиты данных. Если нет, то, с высокой долей вероятности, компании, располагающие большими массивами данных, никого не будут уведомлять.
Глава РАЭК Сергей Плуготаренко рассказал, что его ассоциация разделяет обеспокоенность государства в связи с утечками персональных данных граждан.
— Необходимость уведомления органа внутренних дел полагаем излишней, — добавил Плуготаренко. — Если информацию получит Роскомнадзор, и в инциденте будут признаки преступления, служба самостоятельно может направить обращение в органы МВД. Также следует увеличить срок уведомления — сейчас предлагается один рабочий день. Закон «О персональных данных» по другим ситуациям предусматривает более длительные сроки.
По данным InfoWatch, в России количество утечек конфиденциальной информации в 2016 году выросло на 80% по сравнению с предыдущим годом. Всего в прошлом году зафиксировано около 1556 случаев утечек данных из компаний и организаций. Около 93% были связаны с кражей персональной и платежной информации.
Владимир Зыков