Российская ассоциация электронных коммуникаций (РАЭК) раскритиковала поправки к закону «О персональных данных», по которым все их операторы должны подключиться к системе обнаружения кибератак. Это не поможет защитить частную информацию граждан, но приведет к финансовым и административным издержкам для бизнеса и муниципальных организаций, считают эксперты. Главная проблема утечек персональных данных в России, по мнению юристов, низкие штрафы за их компрометацию.
Согласно предложенным поправкам, все операторы персональных данных обязаны информировать органы власти о любых утечках личной информации граждан, а также подключиться к госсистеме обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). По действующему законодательству к системе подключены только объекты критической информационной инфраструктуры (банки, операторы связи, организации ТЭКа и так далее). Операторы должны также информировать Роскомнадзор о любых фактах трансграничной передачи личных данных, которую ведомство может запретить.
РАЭК предлагает исключить норму о подключении операторов к ГосСОПКА.
«Это потребует от операторов существенных затрат на строительство защищенных каналов связи со средствами криптографической защиты, причем коснется и всех бюджетных организаций»,— отмечается в письме. Утечки персональных данных по большей части происходят в результате действий злоумышленников из числа сотрудников, а не хакеров извне, подчеркивают в РАЭК. Неясно также, какое отношение к личной информации граждан имеет Национальный координационный центр по компьютерным инцидентам (НКЦКИ, оператор ГосСОПКА), вопросы обработки персональных данных находятся в компетенции Роскомнадзора, поясняют в ассоциации.
В Минцифры между тем уверены, что НКЦКИ «показал свою эффективность» в последние два месяца, «персональные данные требуют надежных механизмов защиты, поэтому требования по взаимодействию операторов персональных данных с ГосСОПКА обоснованны». Опасения РАЭК в отношении финансовых затрат при подключении к ГосСОПКА «стоит проработать напрямую с НКЦКИ», добавили в министерстве, отметив, что есть разные способы взаимодействия, в том числе «не влекущие расходы».
РАЭК также предлагает вернуть в законопроект оговорку, по которой оператор персональных данных может не уведомлять Роскомнадзор о начале обработки информации в соответствии с трудовым законодательством, а также если доступ к данным не предоставляется третьим лицам. Это исключение есть в действующей версии закона, но не в предложенных поправках. «Принятие инициативы в текущей версии приведет к тому, что все юрлица и частные предприниматели должны будут уведомлять Роскомнадзор о приеме на работу каждого нового сотрудника»,— считают в РАЭК.
Новая норма об уведомлении Роскомнадзора создаст огромную административную нагрузку на бизнес, согласен член Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России Вадим Перевалов. «Передавать требуется достаточно подробные сведения об обработке данных в короткие сроки — десять дней».
Подробнее: https://www.kommersant.ru/doc/5347373