Поправки к закону «О персональных данных», 6 апреля вынесенные на рассмотрение в Госдуму группой депутатов, возглавленной председателем комитета Госдумы по информполитике Александром Хинштейном, подверглись критике. Российская ассоциация электронных коммуникаций (РАЭК) составила перечень замечаний, который был направлен непосредственно Александру Хинштейну 4 мая.
Текущие поправки предполагают обязательное уведомление Роскомнадзора о предстоящих фактах передачи персональных пользовательских данных за рубеж, на что в тридцатидневный срок можно получить отказ, в этом случае необходимо произвести и подтвердить удаление уже переданных данных. Также все операторы персональных данных (а не исключительно объекты критической информационной инфраструктуры, как в действующем законодательстве) должны быть подключены к государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Помимо этого, все операторы персональных данных обязываются извещать органы власти о случаях утечки такой информации.
Согласно информации издания «КоммерсантЪ», РАЭК отмечает, что требование о подключении операторов к .ГосСОПКА чревато существенными затратами на создание защищенных каналов связи, снабженных криптографическими методами защиты, и затронет все организации, включая бюджетные. В то же время утечки происходят в большинстве случаев вследствие противоправных действий сотрудников организации, а не внешних злоумышленников, соответственно данные методы не позволят бороться с частыми случаями слива данных.
Кроме того, в РАЭК усомнились в том, что целесообразно подключать к работе с персональными данными Национальный координационный центр по компьютерным инцидентам (НКЦКИ, являющийся оператором ГосСОПКА), если вопрос работы с персональными данными пользователей курируется Роскомнадзором.
Однако в Минцифры считают НКЦКИ эффективным по результатам последних двух месяцев и уверены в обоснованности требований по взаимодействию операторов персональных данных и ГосСОПКА, предлагая проработать вопрос денежных затрат на подключение непосредственно с НКЦКИ. В министерстве предположили, что можно найти такие способы взаимодействия, которые не повлекут за собой расходов.
Также РАЭК обращает внимание на то, что в новой версии закона пропала оговорка, согласно которой оператор персональных данных может не уведомлять Роскомнадзор о начале обработки личных данных в соответствии с трудовым законодательством и в случаях, когда данные не передаются третьим лицам. Сейчас такая возможность у операторов есть, а в будущем, в случае принятия поправок без неё, всем без исключения работодателям придётся сообщать в Роскомнадзор о каждом случае принятия новых сотрудников на работу.
Представители Ассоциации больших данных, в которую входят крупные сотовые операторы, Яндекс, VK и другие, предлагают сузить необходимость взаимодействия предпринимателей и ГосСОПКА до тех ситуаций, которые действительно могут нести в себе риски для граждан, что предлагается определять в правительстве. Также в «ВымпелКоме» (билайн) считают необходимым дополнительно обсудить порядок трансграничной передачи данных.
Эксперты уверены, что для отдельных операторов персональных данных, к которым можно отнести индивидуальных предпринимателей и малый бизнес, расходы на подключение к ГосСОПКА могут стать очень существенными. Но нагрузка будет создана и на саму систему, поскольку ей придется обрабатывать информацию от 8 млн операторов. В сложившейся сегодня ситуации, когда штрафы за компрометацию данных сравнительно невелики, а институт репутации в России не играет значимой роли, бизнесу легче платить штрафы по фактам утечек, нежели вкладывать средства в системы защиты персональной информации.