Компании обяжут сообщать об утечках персональных данных клиентов

Операторов будут штрафовать за сокрытие информации об инцидентах, связанных с кражами личной информации
Владимир Зыков
Фото: ИЗВЕСТИЯ/ Михаил Терещенко

Операторов персональных данных обяжут сообщать МВД, Роскомнадзору и пользователям о хакерском взломе и любой другой утечке клиентской информации. За умалчивание компании ждет административная ответственность. Соответствующий законопроект подготовлен заместителем председателя комитета Госдумы по информполитике Мариной Мукабеновой.

В Госдуме 22 июня прошло совещание на тему «Законодательное регулирование вопросов взаимодействия уполномоченных госорганов в сфере защиты персональных данных от киберинцидентов: проблемы и перспективы». В нем участвовали представители Роскомнадзора, МВД, Следственного комитета, Сбербанка, Ростелекома, Российской ассоциации электронных ком­му­ни­ка­ций (РАЭК), Регионального общественного центра интернет-технологий (РОЦИТ), Института развития интернета (ИРИ) и многих других организаций.

На заседании обсуждался проект изменений в закон «О персональных данных». Согласно тексту документа, операторы персональных данных в случае утечки таких данных обязаны будут в течение одного дня проинформировать об этом самих пострадавших, Роскомнадзор (надзирает за соблюдением указанного закона) и МВД. Если оператор персональных данных этого не сделает, то для него предусмотрена административная ответственность — штраф до 100 тыс руб.

Сегодня операторы данных не обязаны разглашать информацию об их утечке. По словам гендиректора компании InfoWatch Алексея Нагорного, каждая утечка — это удар по репутации компании, и о подобных инцидентах им проще умолчать.

— Что касается штрафных санкций, то 100 тысяч — это небольшие деньги, и некоторым компаниям будет проще умолчать, чем допускать репутационные риски, — объясняет Алексей Нагорный. — С другой стороны, пока не понятно, как будет рассчитываться штраф. Это сумма за каждого пострадавшего — либо за неуведомление об утечке в целом, не важно, какого объема она была. Если за каждую запись, то это существенный штраф, компании задумаются не только об уведомлениях, но и об усилении защиты данных. Если нет, то, с высокой долей вероятности, компании, располагающие большими массивами данных, никого не будут уведомлять.

Глава РАЭК Сергей Плуготаренко рассказал, что его ассоциация разделяет обеспокоенность государства в связи с утечками персональных данных граждан.

— Необходимость уведомления органа внутренних дел полагаем излишней, — добавил Плуготаренко. — Если информацию получит Роскомнадзор, и в инциденте будут признаки преступления, служба самостоятельно может направить обращение в органы МВД. Также следует увеличить срок уведомления — сейчас предлагается один рабочий день. Закон «О персональных данных» по другим ситуациям предусматривает более длительные сроки.

По данным InfoWatch, в России количество утечек конфиденциальной информации в 2016 году выросло на 80% по сравнению с предыдущим годом. Всего в прошлом году зафиксировано около 1556 случаев утечек данных из компаний и организаций. Около 93% были связаны с кражей персональной и платежной информации.