Минцифры предлагает позволить ведомству внепланово проверять ИТ-компании, которые допустили утечку личных данных клиентов или сотрудников. Но сперва понадобится согласование с прокуратурой.
Расширенные полномочия
Проект постановления министерства разрешает Роскомнадзору проводить внеплановые мероприятия по контролю за обработкой персональных данных в отношении операторов ПД. Требование распространяется и на организации, получившие аккредитацию в Минцифры.
В пояснительной записке сказано, что документ подготовлен для предотвращения проблем, связанных с массовыми утечками персональных данных. Для того, чтобы начать внеплановую проверку, нужно установить факт распространения в интернете баз персональных данных (или их части), в том числе имеющих признаки принадлежности к аккредитованной в Минцифры организации. Также Роскомнадзору будет нужно предварительно получить ободрение прокуратуры.
В РКН сообщили, что с начала 2022 года в России значительно возросло число случаев утечки персональных данных граждан. По данным ведомства, зафиксировано более 140 таких случаев, в свободный доступ попали примерно 600 млн записей о россиянах. Инциденты касались в том числе и медицинских сведений. Основным источником «сливов» Роскомнадзор считает иностранные ресурсы.
Сложности проверки
Сейчас в случае обнаружения утечки данных Роскомнадзор не имеет возможности провести расследование инцидента. Причина в установленном моратории на проведение контрольных мероприятий, который допускает проверки только после разрешения от прокурора, премьер-министра или президента. Без этой процедуры компания не может быть привлечена к административной ответственности за утечку, а РКН не может запрашивать материалы для расследования.
1 сентября 2022 года вступили в силу поправки к закону «О персональных данных», которые обязывают оператора в течение 24 часов уведомлять Роскомнадзор об утечке, а за 72 часа представить результаты внутреннего расследования с указанием причины инцидента и списка причастных лиц.
14 декабря 2022 года Минцифры опубликовало законопроект, который устанавливает оборотные штрафы для компаний, виновных в утечке данных пользователей. Взыскание может составлять до 3% от выручки. Министерство уточнило, что обновление законодательства необходимо из-за сложности и серьезности ситуации со «сливами» информации.
