РКН получает вовремя сигналы об утечках от 80% операторов персональных данных

Москва. 21 сентября. INTERFAX.RU - Около 80% операторов самостоятельно направляют в Роскомнадзор уведомления об утечках персональных данных в установленные законом сроки, сообщил замруководителя РКН Милош Вагнер на пленарной дискуссии BIS Summit 2023.

Он напомнил, что передача полной информации об инциденте может помочь оператору избежать ответственности по статье о повторном правонарушении.

"Практически в 80% случаев, когда произошла утечка, оператор достаточно добровольно и быстро, в сроки, установленные законом, нас информирует. Для оставшихся 20%, к сожалению, все еще приходится напоминать об этом. Мы направляем требования, после этого получаем уведомления", - сказал Вагнер.

Он напомнил, что для исполнения норм законодательства, согласно которым оператор персональных данных в течение 48 часов обязан уведомить РКН об утечке, был создан специальный сервис на сайте РКН. Если оператор в своем уведомлении об инциденте ограничивается только информацией, которая стала доступна об утечке в интернете, и не раскрывает полных деталей, то в случае появления в открытом доступе новых утекших у него персданных, считать их относящимися к предыдущей утечке будет проблематично. Таким образом, операторам следует сразу сообщать всю информацию в полном объеме.

"В уведомлении (об инциденте - ИФ) пишут, что "я увидел в сети интернет на таком-то сайте или в телеграм-канале, что такой-то объем данных у меня скомпрометирован", и "да, действительно такой объем у меня "угнали", и я уведомляю вас об этом".

Но когда в следующий раз те же хакеры выкладывают следующий дамп (файл - ИФ) из этой утечки и говорят, что "вот еще раз мы обнесли этого товарища". В такое случае слова оператора о том, что "это все еще первая утечка, меня взломали один раз", звучат уже неубедительно", - сказал Вагнер.

"То есть если тебе сразу понятно, что был доступ ко всем информационным ресурсам или ко всей базе данных с большим количеством (данных - ИФ), чем объявили те, кто публикует эти сообщения, значит, сразу нужно прямо и откровенно об этом сказать. Тогда, возможно, можно вести речь о том, что, действительно, не было повторной утечки", - отметил он.

Председатель комитета Госдумы по информполитике Александр Хинштейн отметил, что вопрос уведомления оператором персональных данных уполномоченных органов об инциденте - это "не вопрос его личной жизни".

"Это вопрос личной жизни как раз людей, которые становятся жертвами этой беспечности. Поэтому закон обязал это сделать. Здесь это его прямая обязанность. При этом мы понимаем, что речь идёт о ситуации, где само явление или правонарушение не может быть сокрыто, потому что, в конечном счёте, это всё равно где-то всплывает. И затем, когда начинается разбирательство, то факт неуведомления оператором о произошедшем инциденте будет отягчающим обстоятельством и приведет к увеличению ответственности за содеянное: уже его будут наказывать и за утечку, и за несоблюдение обязанности оператора уведомить (об утечке - ИФ)", - сказал Хинштейн.

Ранее в этот день депутат сообщил, что правительством подготовлен проект положительного отзыва на законопроект о введении оборотных штрафов до 3% от годового оборота компании за повторные утечки персональных данных, его планируется рассмотреть в осеннюю сессию Госдумы.

Проектом вводятся штрафы за повторность утечки, устанавливаются критерии величины утечки, рассказал депутат.

В случае, если оказались вскрыты от 1 до 10 тысяч записей персональных данных для юрлиц предлагается установить штраф от 3 до 5 млн рублей, от 10 до 100 тысяч записей - от 5 до 10 млн рублей для юрлиц, более 100 тысяч записей - от 10 до 15 млн рублей. В случае повторности нарушения вводятся оборотные штрафы в зависимости от масштаба - минимально 0,1% совокупной выручки за предыдущий год, максимально - 3%, но не менее 15 млн и не более 500 млн рублей.

Новости