Минцифры предлагает разрешить Роскомнадзору проводить внеплановые проверки IT-компаний в случае утечки ПД клиентов
Минцифры предложило разрешить Роскомнадзору проводить внеплановые проверки аккредитованных IT-компаний в случае утечки у них персональных данных сотрудников и клиентов.
«Документ подготовлен в целях предотвращения проблем, связанных с массовыми утечками персональных данных», — говорится в пояснительной записке Минцифры. Условием для начала внеплановой проверки будет установление факта распространения в интернете баз персональных данных (или их части), в том числе имеющих признаки принадлежности к аккредитованной в Минцифры организации.
В случае принятия постановления Роскомнадзор по согласованию с прокуратурой сможет проводить внеплановые мероприятия по контролю за обработкой персональных данных в отношении операторов ПД, являющихся в том числе аккредитованными организациями, которые осуществляют деятельность в области информационных технологий.
В марте правительство ввело мораторий на проверку компаний по фактам утечки персональных данных клиентов (постановление о моратории №336). Теперь для проведения внеплановой проверки нужно требование прокурора, премьера или президента. Без неё невозможно привлечь компанию к административной ответственности за утечку.
В настоящее время даже после признания факта утечки в компании надзорное ведомство не имеет полномочий расследовать утечки персональных данных. Причина — мораторий на проверки бизнеса, который действует до конца года. Из-за этого РКН не вправе даже запрашивать материалы об утечках самостоятельно.
Согласно изменениям в законе «О персональных данных», вступившим в силу 1 сентября 2022 года, в случае утечки данных оператор обязан в течение 24 часов уведомить об этом Роскомнадзор, а в течение 72 часов — предоставить ведомству результаты внутреннего расследования с указанием причины и виновных лиц. Максимальный штраф для бизнеса за утечку данных составляет 500 тыс. рублей (ст. 13.11 КоАП РФ).
В начале декабря СМИ сообщили, что подведомственный Минцифры НИИ «Интеграл» будет искать утечки данных через публикации в Telegram, GitHub, Tor и Twitter. Ведомство заказало тендер на доработку системы мониторинга фишинговых сайтов и утечки персональных данных за 170,6 млн рублей. Исполнитель должен доработать существующее ИБ-решение и создать систему мониторинга, которая должна помочь оперативно выявлять утечки данных, предоставляя место выявления, время, уникальность, сведения о характере персональных данных, сведения о порядке распространения утекших данных.
14 декабря Минцифры разработало законопроект об оборотных штрафах для компаний за утечку персональных данных пользователей. Они могут составить до 3% от оборота организации. В Минцифры считают текущую ситуацию с утечками персональных данных «серьёзной» и «сложной».
