В Министерстве экономического развития России и Роскомнадзоре (РКН) поддержали предложение о введении специальной аккредитации для операторов персональных данных.
Минэкономразвития и Роскомнадзор поддержали идею введения специальной аккредитации для операторов, занимающихся обработкой большого количества персональных данных, сообщает ТАСС со ссылкой на зампреда Совета по развитию цифровой экономики при Совете Федерации, сенатора Артема Шейкина.
«Ранее в ряд заинтересованных министерств и ведомств было направлено решение секции по обеспечению технологического суверенитета и информационной безопасности РФ с рекомендацией рассмотреть целесообразность введения специальной аккредитации для операторов, обрабатывающих большое количество персональных данных, которая даст им право на такую работу. Эту меру эксперты и законодатель считают необходимой в условиях роста числа утечек персональных данных. Министерство экономического развития, как и Роскомнадзор, это предложение поддержали и представили свои механизмы по его реализации», – рассказал Артем Шейкин.
Шейкин отмечает, что в Минэкономразвития предложили исключить необходимость получения аккредитации социально-ориентированным некоммерческим организациям (НКО) и субъектам малого и среднего предпринимательства (МСБ). «Исключение этих организаций из числа тех, кто может быть аккредитован в качестве операторов персональных данных, связано с тем, что извлечение прибыли не является их основной целью, а также с тем, что они осуществляют деятельность, направленную на решение социальных вопросов и развитие гражданского общества. Дополнительная административная нагрузка, как считают в министерстве, снизит эффективность решения указанных задач», – пояснил парламентарий.
«В части введения специальной аккредитации операторов, обрабатывающих большое количество персональных данных, выражаем поддержку целесообразности проработки такого нововведения и готовность рассмотреть соответствующие предложения о внесении изменений в нормативно-правовые акты Российской Федерации в установленном порядке», – говорится в письме заместителя министра экономического развития Максима Колесникова, направленного на имя Шейкина.
В РКН отметили, что к деятельности аккредитованных специализированных операторов больших данных необходимо установить особые требования и повышенную ответственность за нарушения законодательства в области обработки ПД. «Оператор должен быть российским юридическим лицом; иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз персональных данных оператора; иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки персональных данных в сумме не менее 100 млн рублей», – считают в РКН.
Помимо этого, для обработки информации оператор ПД должен использовать базы данных только на территории Российской Федерации, а также подтвердить, что обработка личных данных граждан осуществляется с учетом требований по обеспечению информационной безопасности.
Идею введения аккредитации операторов данных следует рассматривать как ответ на участившиеся случаи утечек, поясняет член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. «По данным компании в сфере информационной безопасности InfoWatch, в первой половине 2024 года в России в сеть «утекло» 986 млн строк персональных данных, что на 33,8% больше, чем за аналогичный период 2023 года. При этом выросло и количество зарегистрированных инцидентов – 415 утечек данных в 2024 году против 377 утечек в 2023 году», – напомнил депутат.
При этом, отмечает Немкин, в текущих условиях оператором персональных данных может считаться любое лицо, так или иначе связанное с обработкой информации. «По сути, никакие требования к техническому оснащению, квалификации лиц, непосредственно задействованных в обработке ПД, не предъявляются. Все это развязывает руки недобросовестному бизнесу, который в отсутствие регуляторных требований самостоятельно не занимается инвестициями в повышение защищенности данных. С учетом роста числа утечек такой подход просто недопустим», – считает депутат.
Ранее в Госдуме также предлагали создать институт уполномоченных операторов персональных данных. Как пояснял председатель комитета по информполитике Александр Хинштейн, далеко не каждая компания, которая обрабатывает персональные данные, готова вкладываться в их защиту. Ввиду этого комитет по информполитике выступил с предложением о формировании института уполномоченных операторов ПД, которым бизнес сможет отдавать на хранение персональные сведения.
«Сегодня мы наблюдаем рост числа утечек данных в секторе МСБ – в общей структуре они уже превысили 30%. Нужно понимать, что МСБ даже при всем желании не всегда может обеспечить достаточный уровень защиты информации. На это потребуются большие инвестиции, которые сектор просто не может себе позволить. Формирование института уполномоченных операторов как раз направлено на решение этой проблемы: такие операторы просто заберут на себя функции по хранению ПД у тех, кто физически не может обеспечить должный уровень защиты», – пояснил Немкин.
Кроме того, предложенный механизм позволит поддержать российский бизнес на фоне готовящегося ужесточения ответственности за допущение утечек, отмечает Немкин. Напомним, соответствующий законопроект предлагает установить штрафные санкции в отношении компаний, допустивших утечки данных в размере от 3 до 15 млн рублей. Допущение повторных утечек может привести к оборотным штрафам. Законопроект может быть принят до конца этого года.
