Как стало известно “Ъ”, Роскомнадзор предлагает ввести в готовящийся законопроект об оборотных штрафах за утечки персональных данных требование для компаний получать лицензию на обработку таких данных. Лицензированием должен заняться удостоверяющий центр регулятора. Сейчас компании-операторы данных должны только уведомлять ведомство о начале такой деятельности.
Фото: Олег Харсеев, Коммерсантъ
Роскомнадзор предлагает добавить в готовящийся законопроект об оборотных штрафах за утечки персональных данных понятие «спецоператора», который станет удостоверяющим центром для компаний-операторов персональных данных, рассказали “Ъ” два собеседника, знакомых с ходом разработки проекта: «Эту роль регулятор хочет взять на себя».
Таким образом, операторы должны будут не только уведомлять Роскомнадзор о том, что обрабатывают личную информацию граждан, но и получать «лицензию» регулятора на их обработку, объясняют собеседники “Ъ”.
Предполагается, что для этого регулятор будет проводить аудит IT-инфраструктуры компании на соответствие определенным критериям, поясняет один из собеседников. Источник, близкий к Минцифры, уточнил, что инициативу могут распространить только на компании, обрабатывающие большой объем данных: «Но пока показатели не детализируются». В аппарате главы комитета Госдумы по информполитике, связи и IT Александра Хинштейна подтвердили, что «такое предложение есть», добавив, что законопроект находится «на финальной стадии». В Минцифры сообщили, что знакомы с этим предложением и обсуждают его с отраслью.
В Роскомнадзоре сообщили, что предложения в законопроект обоснованы необходимостью повышения ответственности операторов, обрабатывающих значительные объемы данных — свыше 1 млн. записей: «Для таких "больших" операторов считаем необходимым установить следующие критерии: оператор должен быть российским юридическим лицом, иметь в штате не менее 5 работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора, иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн руб., а также использовать для обработки персональных данных базы данных только на территории РФ, подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению кибербезопасности».
С 1 сентября 2022 года, согласно изменениям в закон «О персональных данных», компании-операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением ряда случаев, например, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка. Лицензированием в части защиты информации на данный момент занимается ФСБ и ФСТЭК, они сертифицируют средства защиты данных.
Александр Хинштейн, глава комитета Госдумы по связи и IT, в своем Telegram-канале 7 июня:
«На фоне растущей волны утечек персданных такую инициативу стоит воспринимать крайне осторожно — не будет ли компаниям дешевле откупаться мизерными компенсациями, чем усиливать внутреннюю систему информационной безопасности».
Законопроект об оборотных штрафах для юрлиц за утечки персональных данных сотрудников или клиентов разрабатывается с начала 2022 года. Инициатива предполагает внесение поправок в КоАП, по которым компания, допустившая утечку, может быть оштрафована на 1% от годового оборота. Позже стало известно, что обсуждается введение диапазона штрафов от 5 млн до 500 млн руб. (см. “Ъ” от 26 декабря 2022 года).
Утечки данных, в том числе персональных, остаются значимой проблемой: по подсчетам Positive Technologies, за первые два квартала 2023 года 51% киберинцидентов привел именно к этому событию, причем во втором квартале число утечек уже превысило показатели первого на 4% (см. “Ъ” от 16 июня).
«Самые критичные утечки происходят у крупнейших операторов больших данных: телеком, банки и финтех, ритейл и страховщики»,— отмечает главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов.
Если предлагаемую Роскомнадзором норму о лицензировании деятельности примут, то она, скорее всего, будет касаться всех обработчиков персональных данных, в противном случае «ее политический эффект будет стремиться к нулю».
Но если речь идет о полноценном аудите архитектуры средств обработки данных Роскомнадзором, то это сильно повысит «стоимость» процесса для небольших компаний, отмечает он: «Они будут вынуждены покупать готовые, "коробочные" решения для хранения и обработки у сторонних провайдеров».
Сложность реализации такой инициативы зависит от подхода регулятора, а именно — как будет приниматься решение, давать ли компании лицензию на обработку данных, считает эксперт по кибербезопасности Axenix Евгений Качуров: «Например, неясно, как быть, если Роскомнадзор посчитает избыточным состав персональных данных, необходимых для ведения бизнеса». Собеседник “Ъ” на рынке кибербезопасности считает, что инициатива может привести к тупиковому сценарию, когда получить лицензию должно будет любое российское юрлицо, так как оно обрабатывает данные собственных сотрудников: «Это превратится в дополнительное бюрократическое ограничение».