Лицензии на личные

Роскомнадзор берет на себя сертификацию операторов персональных данных

Как стало известно “Ъ”, Роскомнадзор предлагает ввести в готовящийся законопроект об оборотных штрафах за утечки персональных данных требование для компаний получать лицензию на обработку таких данных. Лицензированием должен заняться удостоверяющий центр регулятора. Сейчас компании-операторы данных должны только уведомлять ведомство о начале такой деятельности.

Фото: Олег Харсеев, Коммерсантъ

Фото: Олег Харсеев, Коммерсантъ

Роскомнадзор предлагает добавить в готовящийся законопроект об оборотных штрафах за утечки персональных данных понятие «спецоператора», который станет удостоверяющим центром для компаний-операторов персональных данных, рассказали “Ъ” два собеседника, знакомых с ходом разработки проекта: «Эту роль регулятор хочет взять на себя».

Таким образом, операторы должны будут не только уведомлять Роскомнадзор о том, что обрабатывают личную информацию граждан, но и получать «лицензию» регулятора на их обработку, объясняют собеседники “Ъ”.

Предполагается, что для этого регулятор будет проводить аудит IT-инфраструктуры компании на соответствие определенным критериям, поясняет один из собеседников. Источник, близкий к Минцифры, уточнил, что инициативу могут распространить только на компании, обрабатывающие большой объем данных: «Но пока показатели не детализируются». В аппарате главы комитета Госдумы по информполитике, связи и IT Александра Хинштейна подтвердили, что «такое предложение есть», добавив, что законопроект находится «на финальной стадии». В Минцифры сообщили, что знакомы с этим предложением и обсуждают его с отраслью.

В Роскомнадзоре сообщили, что предложения в законопроект обоснованы необходимостью повышения ответственности операторов, обрабатывающих значительные объемы данных — свыше 1 млн. записей: «Для таких "больших" операторов считаем необходимым установить следующие критерии: оператор должен быть российским юридическим лицом, иметь в штате не менее 5 работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора, иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн руб., а также использовать для обработки персональных данных базы данных только на территории РФ, подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению кибербезопасности».

С 1 сентября 2022 года, согласно изменениям в закон «О персональных данных», компании-операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением ряда случаев, например, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка. Лицензированием в части защиты информации на данный момент занимается ФСБ и ФСТЭК, они сертифицируют средства защиты данных.

Александр Хинштейн, глава комитета Госдумы по связи и IT, в своем Telegram-канале 7 июня:

«На фоне растущей волны утечек персданных такую инициативу стоит воспринимать крайне осторожно — не будет ли компаниям дешевле откупаться мизерными компенсациями, чем усиливать внутреннюю систему информационной безопасности».

Законопроект об оборотных штрафах для юрлиц за утечки персональных данных сотрудников или клиентов разрабатывается с начала 2022 года. Инициатива предполагает внесение поправок в КоАП, по которым компания, допустившая утечку, может быть оштрафована на 1% от годового оборота. Позже стало известно, что обсуждается введение диапазона штрафов от 5 млн до 500 млн руб. (см. “Ъ” от 26 декабря 2022 года).

Утечки данных, в том числе персональных, остаются значимой проблемой: по подсчетам Positive Technologies, за первые два квартала 2023 года 51% киберинцидентов привел именно к этому событию, причем во втором квартале число утечек уже превысило показатели первого на 4% (см. “Ъ” от 16 июня).

«Самые критичные утечки происходят у крупнейших операторов больших данных: телеком, банки и финтех, ритейл и страховщики»,— отмечает главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов.

Если предлагаемую Роскомнадзором норму о лицензировании деятельности примут, то она, скорее всего, будет касаться всех обработчиков персональных данных, в противном случае «ее политический эффект будет стремиться к нулю».

Но если речь идет о полноценном аудите архитектуры средств обработки данных Роскомнадзором, то это сильно повысит «стоимость» процесса для небольших компаний, отмечает он: «Они будут вынуждены покупать готовые, "коробочные" решения для хранения и обработки у сторонних провайдеров».

Сложность реализации такой инициативы зависит от подхода регулятора, а именно — как будет приниматься решение, давать ли компании лицензию на обработку данных, считает эксперт по кибербезопасности Axenix Евгений Качуров: «Например, неясно, как быть, если Роскомнадзор посчитает избыточным состав персональных данных, необходимых для ведения бизнеса». Собеседник “Ъ” на рынке кибербезопасности считает, что инициатива может привести к тупиковому сценарию, когда получить лицензию должно будет любое российское юрлицо, так как оно обрабатывает данные собственных сотрудников: «Это превратится в дополнительное бюрократическое ограничение».

Татьяна Исакова, Юлия Тишина

Зарегистрируйтесь или войдите, чтобы дочитать статью

Это бесплатно и вы сможете читать все закрытые статьи «Ъ»

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...