UPD. Пресс-служба Роскомнадзора опровергла ТАСС информацию о том, что ведомство предложило дополнить готовящийся законопроект об оборотных штрафах для компаний за утечки персональных данных требованием получать лицензию на обработку такой информации.
«Предложения в законопроект не предусматривают необходимость лицензирования или введения дополнительных разрешительных процедур. Речь идёт о повышении уровня защиты данных граждан для операторов, обрабатывающих значительные объёмы таких данных», — сообщили в ведомстве.
Регулятор планирует установить несколько других обязанностей. В частности, компания-оператор персональных данных должна иметь юрлицо, зарегистрированное в России, штат из как минимум пяти сотрудников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора, а также финансовую возможность покрыть убытки из-за возможной утечки данных (не менее чем 100 млн руб.).
Кроме того, такие операторы должны использовать для обработки персональных данных базы данных только на территории РФ и подтвердить, что обработка личной информации граждан осуществляется с учётом требований по обеспечению информационной безопасности.
Роскомнадзор (РКН) предлагает внести в готовящийся законопроект об оборотных штрафах за утечки персональных данных (ПД) требование для компаний-операторов получать лицензию на обработку личных данных россиян. Лицензированием должен заняться удостоверяющий центр регулятора. Для него в документ предлагается ввести понятие «спецоператора». Об этом «Коммерсанту» рассказали два собеседника, знакомых с ходом разработки проекта.
Сейчас компании-операторы ПД должны лишь уведомить РКН о начале такой деятельности. Однако, если поправки включат в законопроект, операторы должны будут не только уведомлять регулятор о том, что обрабатывают личную информацию граждан, но и получать «лицензию» РКН на их обработку, пояснили собеседники издания. Один из них добавил, что для этого, как предполагается, регулятор будет проводить аудит IT-инфраструктуры компании на соответствие «определённым критериям».
Близкий к Минцифры источник «Ъ» уточнил, что инициативу могут распространить только на компании, обрабатывающие большой объём данных. «Но пока показатели не детализируются», — подчеркнул он.
В аппарате главы комитета Госдумы по информполитике, связи и IT Александра Хинштейна подтвердили изданию, что «такое предложение есть». Там также уточнили, что разработка самого законопроекта находится «на финальной стадии». Роскомнадзор и Минцифры на запросы не ответили.
Законопроект об оборотных штрафах для компаний за утечки ПД сотрудников или клиентов разрабатывается с начала 2022 года. Инициатива предполагает внесение поправок в Кодекс об административных правонарушениях РФ, согласно которым компания, допустившая утечку, может быть оштрафована на 1% от годового оборота. В конце 2022 года стало известно, что Минцифры обсуждает введение диапазона штрафов от 5 млн до 500 млн руб.
По подсчётам Positive Technologies, за первые два квартала 2023 года 51% киберинцидентов привёли к утечкам ПД, причём во втором квартале их число превысило показатели первого на 4%.
«Самые критичные утечки происходят у крупнейших операторов больших данных: телеком, банки и финтех, ритейл и страховщики», — сказал изданию главный юрисконсульт практики интеллектуальной собственности юридической компании ЭБР Кирилл Ляхманов. Он считает, если предлагаемую РКН норму о лицензировании деятельности примут, то она, скорее всего, будет касаться всех обработчиков ПД, в противном случае «её политический эффект будет стремиться к нулю».