В Госдуму внесен законопроект, обязывающий операторов сообщать об утечках персональных данных клиентов
Операторов персональных данных обяжут сообщать МВД, Роскомнадзору и пользователям о хакерском взломе и любой другой утечке клиентской информации. За умалчивание компании ждет административная ответственность. Соответствующий законопроект подготовлен заместителем председателя комитета Госдумы по информполитике Мариной Мукабеновой.
В Госдуме 22 июня прошло совещание на тему "Законодательное регулирование вопросов взаимодействия уполномоченных госорганов в сфере защиты персональных данных от киберинцидентов: проблемы и перспективы". В нем участвовали представители Роскомнадзора, МВД, Следственного комитета, Сбербанка, Ростелекома, Российской ассоциации электронных коммуникаций (РАЭК), Регионального общественного центра интернет-технологий (РОЦИТ), Института развития интернета (ИРИ) и многих других организаций.
На заседании обсуждался проект изменений в закон "О персональных данных". Согласно тексту документа, операторы персональных данных в случае утечки таких данных обязаны будут в течение одного дня проинформировать об этом самих пострадавших, Роскомнадзор (надзирает за соблюдением указанного закона) и МВД. Если оператор персональных данных этого не сделает, то для него предусмотрена административная ответственность - штраф до 100 тыс. руб.
Сегодня операторы данных не обязаны разглашать информацию об их утечке. По словам гендиректора компании InfoWatch Алексея Нагорного, каждая утечка - это удар по репутации компании, и о подобных инцидентах им проще умолчать.
- Что касается штрафных санкций, то 100 тысяч - это небольшие деньги, и некоторым компаниям будет проще умолчать, чем допускать репутационные риски, - объясняет Алексей Нагорный. - С другой стороны, пока не понятно, как будет рассчитываться штраф. Это сумма за каждого пострадавшего - либо за неуведомление об утечке в целом, не важно, какого объема она была. Если за каждую запись, то это существенный штраф, компании задумаются не только об уведомлениях, но и об усилении защиты данных. Если нет, то, с высокой долей вероятности, компании, располагающие большими массивами данных, никого не будут уведомлять.
Глава РАЭК Сергей Плуготаренко рассказал, что его ассоциация разделяет обеспокоенность государства в связи с утечками персональных данных граждан.
- Необходимость уведомления органа внутренних дел полагаем излишней, - добавил Плуготаренко. - Если информацию получит Роскомнадзор, и в инциденте будут признаки преступления, служба самостоятельно может направить обращение в органы МВД. Также следует увеличить срок уведомления - сейчас предлагается один рабочий день. Закон "О персональных данных" по другим ситуациям предусматривает более длительные сроки.
По данным InfoWatch, в России количество утечек конфиденциальной информации в 2016 году выросло на 80% по сравнению с предыдущим годом. Всего в прошлом году зафиксировано около 1556 случаев утечек данных из компаний и организаций. Около 93% были связаны с кражей персональной и платежной информации.
Источник: Известия http://iz.ru/609653/vladimir-zykov/operatorov-persdannykh-obiazhut-informirovat-polzovatelei-i-mvd-ob-utechke
24.06.2017
