21 сентября. Interfax-Russia.ru - Около 80% операторов самостоятельно направляют уведомления об утечках персональных данных в установленные законом сроки; передача полной информации об инциденте может помочь оператору избежать ответственности по статье о повторном правонарушении, сообщил заместитель руководителя Роскомнадзора (РКН) Милош Вагнер.
"Практически в 80% случаев, когда произошла утечка, оператор достаточно добровольно и быстро, в сроки, установленные законом, нас информирует. Для оставшихся 20%, к сожалению, всё ещё приходится напоминать об этом. Мы направляем требования, после этого получаем уведомления", - сказал Вагнер в четверг на пленарной дискуссии BIS Summit 2023.
Замглавы регулятора напомнил, что для исполнения норм законодательства, согласно которым оператор персональных данных в течение 48 часов обязан уведомить РКН об утечке персональных данных, был создан специальный сервис на сайте РКН.
Вагнер сообщил, что, если оператор в своём уведомлении об инциденте ограничивается только информацией, которая стала доступна об утечке в интернете, и не раскрывает полных деталей, то в случае появления в открытом доступе новых утекших у него персданных, считать их относящимися к предыдущей утечке будет проблематично. Таким образом, операторам следует сразу сообщать всю информацию в полном объеме.
"В уведомлении (об инциденте - ИФ) пишут, что "я увидел в сети интернет на таком-то сайте или в телеграм-канале, что такой-то объем данных у меня скомпрометирован", и "да, действительно такой объем у меня "угнали", и я уведомляю вас об этом". Но когда в следующий раз те же хакеры выкладывают следующий дамп (файл - ИФ) из этой утечки и говорят, что "вот ещё раз мы обнесли этого товарища". В такое случае слова оператора о том, что "это всё ещё первая утечка, меня взломали один раз", звучат уже неубедительно", - сказал Вагнер.
"То есть если тебе сразу понятно, что был доступ ко всем информационным ресурсам или ко всей базе данных с большим количеством (данных - ИФ), чем объявили те, кто публикует эти сообщения, значит, сразу нужно прямо и откровенно об этом сказать. Тогда, возможно, можно вести речь о том, что, действительно, не было повторной утечки", - отметил он.
Председатель комитета Госдумы по информполитике Александр Хинштейн отметил, что вопрос уведомления оператором персональных данных уполномоченных органов об инциденте - это "не вопрос его личной жизни".
"Это вопрос личной жизни как раз людей, которые становятся жертвами этой беспечности. Поэтому закон обязал это сделать. Здесь это его прямая обязанность. При этом мы понимаем, что речь идёт о ситуации, где само явление или правонарушение не может быть сокрыто, потому что, в конечном счёте, это всё равно где-то всплывает. И затем, когда начинается разбирательство, то факт неуведомления оператором о произошедшем инциденте будет отягчающим обстоятельством и приведет к увеличению ответственности за содеянное: уже его будут наказывать и за утечку, и за несоблюдение обязанности оператора уведомить (об утечке - ИФ)", - сказал Хинштейн.
Ранее Хинштейн сообщил, что правительством подготовлен проект положительного отзыва на законопроект о введении оборотных штрафов до 3% от годового оборота компании за повторные утечки персональных данных, его планируется рассмотреть в осеннюю сессию Госдумы.
Проектом вводятся штрафы за повторность утечки, устанавливаются критерии величины утечки, рассказал депутат.
В случае, если оказались вскрыты от 1 до 10 тыс. записей персональных данных для юрлиц предлагается установить штраф от 3 до 5 млн руб., от 10 до 100 тыс. записей - от 5 до 10 млн руб. для юрлиц, более 100 тыс. записей - от 10 до 15 млн рублей. В случае повторности нарушения вводятся оборотные штрафы в зависимости от масштаба - минимально 0,1% совокупной выручки за предыдущий год, максимально - 3%, но не менее 15 млн и не более 500 млн руб.