К протекающим придут проверяющие
Роскомнадзор навестит нерадивых хранителей персональных данных
На фоне участившихся утечек персональных данных граждан Минцифры предложило отменить введенный мораторий на внеплановые проверки бизнеса Роскомнадзором в случае, если компания допустила утечку информации. По мнению участников рынка, при определенных условиях эта мера поможет борьбе с использованием данных в незаконных целях, которое уже стало отдельным бизнес-направлением для некоторых недобросовестных операторов.
Проект постановления правительства, отменяющий в определенных случаях мораторий на внеплановые проверки бизнеса, размещен Минцифры на портале правовых актов 15 декабря. Из документа следует, что Роскомнадзор при условии согласования с органами прокуратуры получит право проводить внеплановые контрольные проверки компаний, если был зафиксирован факт утечки их базы данных. Проверки проводятся «по решению руководителя или заместителя руководителя Роскомнадзора», сказано в проекте. Он касается всех операторов персональных данных, уточнили “Ъ” в Минцифры.
«С начала военной операции резко увеличилось количество утечек персональных данных: более 140 случаев, в сеть попали около 600 млн записей о гражданах»,— сообщили представители Роскомнадзора.
Но с марта 2022 года правительством введен мораторий на внеплановые проверки, и сейчас они могут проводиться в случае существенных угроз жизни и здоровью, а также по требованию прокурора, поручению председателя правительства или президента России. По словам собеседника “Ъ”, близкого к разработке инициативы, поправки позволят снять мораторий с конкретного сегмента нарушений — утечек данных.
Внеплановая проверка Роскомнадзора — выездное мероприятие, в рамках которого сотрудники ведомства приезжают в организацию и требуют предоставить доступ не только к документам, регламентирующим обработку данных, но и к техническим средствам обработки информации: серверам или облачным хранилищам, объясняет главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов. «Во время проверки, по моему опыту, ведомство особенно внимательно изучает все, что связано с обработкой специальных категорий личных данных: биометрических, сведений о национальности и вероисповедании, состоянии здоровья и политических взглядах. Также изучается изолированность помещения, в котором находятся серверы с данными, и хранение документов, связанных с персональными данными субъектов»,— рассказал эксперт.
В конце октября Роскомнадзор подписал приказ «Об утверждении требований к оценке вреда, который может быть причинен их субъектам в случае нарушения закона "О персональных данных"». Он вводит три уровня вреда: высокий, средний и низкий. К высокому, например, отнесена биометрия. «Уровни будут учитываться при проведении проверки и избрании меры административного наказания судом»,— поясняли в ведомстве (см. “Ъ” от 16 декабря).
Существуют предприятия, которые рассматривают несанкционированную передачу личной информации третьим лицам в качестве бизнес-модели, говорит аналитик R-Style Softlab Александр Шолохов, внеплановые проверки позволят минимизировать недобросовестные практики. Впрочем, руководитель аналитического центра компании Zecurion Владимир Ульянов не видит, почему конкретно эта инициатива сможет существенно поменять ситуацию. Одна из причин, почему утечки продолжают случаться с завидной регулярностью, банальна — серьезно вкладываться в защиту данных часто нецелесообразно для бизнеса, притом что сейчас «реальная ответственность за утечку минимальна», считает господин Ульянов. Как писал “Ъ”, Минцифры готовит к внесению в Госдуму законопроект об оборотных штрафах (до 3%) в том случае, если компания допустит утечку данных пользователей (см. “Ъ” от 24 октября).
«Нельзя забывать, что Роскомнадзор не уполномочен проводить технические проверки — это вотчина ФСТЭК, а Роскомнадзор может лишь проверить то, что касается процесса обработки персональных данных»,— напоминает руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев. Конкретная польза проекта проявится тогда, когда будет четко описано, как будут происходить проверки, какой объем полномочий получит Роскомнадзор и, главное, какое количество ресурсов на это выделят, считает господин Коростелев.