Работа с персональными данными потребует лицензии

'/upload/iblock/6d6/34re7km2z46p9bxldw61nz8x7mipqbop/per_d_19_7.jpg'

В законопроект об оборотных штрафах за утечки персональных данных Роскомнадзор предлагает добавить понятие «спецоператор», который станет удостоверяющим центром для компаний-операторов персональных данных. Им хочет стать регулятор, сообщает «Коммерсантъ» со ссылкой на источники, знакомые с ходом разработки законопроекта.

Операторы должны будут не только уведомлять Роскомнадзор о том, что обрабатывают личную информацию граждан, но и получать «лицензию» регулятора на их обработку, для чего последний будет проводить аудит IT-инфраструктуры компании на соответствие определенным критериям. Источник, близкий к Минцифры, уточнил, что инициативу могут распространить только на компании, обрабатывающей большой объем данных, «но пока показатели не детализируются».

В аппарате главы комитета Госдумы по информполитике, связи и IT Александра Хинштейна подтвердили, что «такое предложение есть», добавив, что законопроект находится «на финальной стадии». В Минцифры сообщили, что знакомы с этим предложением и обсуждают его с отраслью.

В Роскомнадзоре полагают, что предложения в законопроект обоснованы необходимостью повышения ответственности операторов, обрабатывающих значительные объемы данных – свыше 1 млн. записей.

– Для таких «больших» операторов считаем необходимым установить следующие критерии: оператор должен быть российским юридическим лицом, иметь в штате не менее 5 работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора, иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн рублей, а также использовать для обработки персональных данных базы данных только на территории РФ, подтвердить, что обработка персональных данных граждан осуществляется с учетом требований по обеспечению кибербезопасности, – проинформировали в ведомстве.

С 1 сентября 2022 года, согласно изменениям в закон «О персональных данных», компании–операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением ряда случаев, например, когда данные обрабатываются в целях защиты безопасности государства и общественного порядка. Лицензированием в части защиты информации на данный момент занимается ФСБ и ФСТЭК, которые сертифицируют средства защиты данных.

Согласно подсчетам Positive Technologies, за первые два квартала 2023 года 51% киберинцидентов привел именно к этому событию, причем во втором квартале число утечек уже превысило показатели первого на 4%.

Если предлагаемую Роскомнадзором норму о лицензировании деятельности примут, то она, скорее всего, будет касаться всех обработчиков персональных данных, но если речь идет о полноценном аудите архитектуры средств обработки данных Роскомнадзором, то это сильно повысит стоимость процесса для небольших компаний, считают эксперты.

Сложность реализации такой инициативы зависит от подхода регулятора, а именно – как будет приниматься решение, давать ли компании лицензию на обработку данных.

– Неясно, как быть, если Роскомнадзор посчитает избыточным состав персональных данных, необходимых для ведения бизнеса, – утверждает эксперт по кибербезопасности Axenix Евгений Качуров.

Источник на рынке кибербезопасности добавил, что инициатива может привести к тупиковому сценарию, когда получить лицензию должно будет любое российское юрлицо, так как оно обрабатывает данные собственных сотрудников, что «превратится в дополнительное бюрократическое ограничение».

Напомним, Минцифры в обновленной версии законопроекта об оборотных штрафах за утечки персональных данных предложило ввести верхний предел штрафа для компании в 500 млн рублей, нижний – в 5 млн рублей. LR