Операторы персональных данных должны будут сообщать МВД, Роскомнадзору и пользователям о хакерских взломах и утечках персональных данных. За сокрытие информации об инцидентах компании будут привлечены к административной ответственности.
Как сообщают «Известия», со ссылкой на подготовленный зампредседателя комитета Госдумы по информполитике Мариной Мукабеновой проект изменений в закон «О персональных данных», в случае утечки персональных данных операторы будут обязаны в течение одного дня проинформировать пострадавших, Роскомнадзор и МВД. В противном случае их ждет штраф в размере до 100 тысяч рублей.
Сегодня операторы данных не обязаны разглашать информацию об их утечке. По словам гендиректора компании InfoWatch Алексея Нагорного, каждая утечка — это удар по репутации компании, и о подобных инцидентах им проще умолчать:
«Что касается штрафных санкций, то 100 тысяч — это небольшие деньги, и некоторым компаниям будет проще умолчать, чем допускать репутационные риски, — объясняет Нагорный. — С другой стороны, пока не понятно, как будет рассчитываться штраф. Это сумма за каждого пострадавшего — либо за неуведомление об утечке в целом, не важно, какого объема она была. Если за каждую запись, то это существенный штраф, компании задумаются не только об уведомлениях, но и об усилении защиты данных. Если нет, то, с высокой долей вероятности, компании, располагающие большими массивами данных, никого не будут уведомлять».
Алексей Королюк, генеральный директор REG.RU, считает необходимым введение в законопроект классификации уровней утечки информации:
«Любое действие должно иметь конечный смысл. В данный момент на основании проекта, кроме факта уведомления не указываются дальнейшие действия со стороны контролирующего органа — какие последующие полезные для пользователей действия будут произведены. Ключевой вопрос в том, что необходима классификация уровней утечки информации, которая бы позволяла пользователям определить степень угрозы, а также корректно оценить уровень угрозы и последующий регламент действий как оператору ПД, так и регулятору».
Напомним, объем скомпрометированных данных в России за год вырос в 100 раз. В результате чего было скомпрометировано 128 млн записей конфиденциальных данных, в том числе относящихся к банковским картам и счетам, а также другая критическая информация.
