Операторов персональных данных обяжут уведомлять власти об утечках

20.04.2017

Вернуться к списку новостей

Комитет Государственной думы по конституционному законодательству рекомендовал принять в первом чтение поправки в федеральный закон «О персональных данных», которые обязывают операторов персональных данных уведомлять власти об утечках.

Наниматели, банки, интернет-магазины, операторы связи и другие компании, которые собирают, хранят и обрабатывают персональные данные клиентов, будут обязаны сообщать о неправомерном раскрытии или утечке информации в уполномоченный орган.

Исследование уровня информационной безопасности в российских компаниях «СёрчИнформ» показало, что в 2016 году половина организаций столкнулась с утечкой конфиденциальных данных. При этом подавляющее большинство компаний – 82% – скрывают инциденты.

Пока в тексте законопроекта нет указаний на то, как именно операторы должны будут оповещать власти об инциденте. Заместитель председателя комитета Совета Федерации по конституционному законодательству Людмила Бокова, один из авторов поправок, рассказала РБК, что процедуру еще только планируют обсудить с операторами персональных данных.

Проекте документа также не содержит требований сообщать об утечке владельцам персональных данных. Инициаторы поправок не исключают, что соответствующий пункт появится в тексте ко второму чтению.

Часть положений в документе касается конфиденциальности. Сенаторы предлагают отменить требование соблюдать конфиденциальность данных, которые подлежат опубликованию по закону, например, данных о доходах чиновников. Проект отменяет режим конфиденциальности и в том случае, если сам пользователь сделал данные общедоступными, например, указал в социальной сети. В действующем законодательстве нет исчерпывающего списка ситуаций, когда не требуется соблюдать конфиденциальность, что приводит к разночтениям.

Авторы поправок предлагают также ввести понятие «обработчик персональных данных», изменить определение понятия «биометрические персональные данные», расширить список случаев, когда разрешена трансграничная передача персональных данных.

Сенаторы предложили изменить законодательство еще в 2013 году. Тогда против выступил Роскомнадзор – уполномоченный орган по защите прав субъектов персональных данных. Комментируя возобновление работы над поправками, представитель федеральной службы отметил, что за 4 года положения проекта были частично интегрированы в законодательство. По остальным пунктам позиция не изменилась. Однако в ведомстве не стали уточнять, какие именно предложения не устраивают Роскомнадзор. Российская ассоциация электронных коммуникаций, напротив, поддержала инициативу.

Норма, по которой компании обязаны оповещать власти и пользователей о фактах утечки персональных данных, закреплена в законодательстве США и Европейского союза. Несоблюдение сроков и процедуры уведомления наказывается штрафами.

В России штрафы за нарушение законодательства в сфере персональных данных увеличатся с 1 июля 2017 года. Максимальные штрафные санкции для граждан составят 5 тысяч рублей, для должностных лиц и индивидуальных предпринимателей – 20 тысяч, для юридических лиц – 75 тысяч.