Супероператорам персональных данных готовят суперштрафы
Компании, которые хранят сведения о миллионах людей, могут обязать иметь финансовую подушку безопасности
Персональные данные россиян могут разместить в особо защищенных крупных информационных системах, откуда организации, которым они необходимы, будут получать сведения о людях по защищенным каналам. Создание таких специальных баз обсуждают в Госдуме и Минцифры, подтвердили нашему изданию знакомые с ходом этой работы эксперты. Как будут работать супероператоры и получится ли с их помощью победить утечки персональных данных, разбиралась «Парламентская газета».
От крупных — мелким
О введении категории специальных операторов обработки персональных данных на ПМЭФ -2024 сообщил глава IT-Комитета Госдумы Александр Хинштейн. Работать это будет по принципу банковского хранилища, объяснил он: «Отдаешь персональные данные, и дальше ты спокоен за то, что их обрабатывает тот, кто в состоянии их защищать. Какие данные тебе требуются по защищенному каналу — они тебе предоставляются».
Для реализации предложения понадобятся законодательные изменения, добавил Хинштейн, не уточнив, когда такие поправки будут внесены. Механизм могут прописать в законопроекте об оборотных штрафах за утечки персональных данных, который находится на рассмотрении Госдумы и готовится ко второму чтению. Об этом «Парламентской газете» сказал член президентского Совета по правам человека Игорь Ашманов. Поправки, по его словам, обсуждали еще перед внесением законопроекта.
«Речь идет о создании профессиональных операторов данных, — отметил Ашманов. — Суть в том, чтобы сделать персональные данные чем-то вроде радиоактивных материалов, доступ к которым будет иметь только очень ограниченный круг лиц. Профессиональные операторы будут хранить данные под надежной защитой, а более мелкие компании смогут запрашивать у них необходимые сведения».
Высокий статус — высокая ответственность
Специальные операторы в обязательном порядке будут проходить аккредитацию и получать право на работу с данными только при соответствии определенным критериям, сообщил нашему изданию член думского IT-Комитета Антон Немкин. В частности, они должны иметь надежную инфраструктуру для хранения и обработки данных, квалифицированных сотрудников и в целом не быть замеченными в киберинцидентах.
«В таком случае другие компании, которые понимают, что не могут обеспечить безопасность данных своих клиентов на должном уровне, могли бы передавать их обработку и хранение таким доверенным операторам, — объяснил депутат. — Сейчас по схожей схеме работает Единая биометрическая система (ЕБС), в которой хранятся все биометрические данные наших граждан, а компании работают только с их векторами».
Впрочем, к ЕБС, оператором которой является государство, у бизнеса периодически возникают вопросы. В частности, были претензии от банков относительно стабильности и продуктивности системы: иногда ответа на запрос приходилось ждать сутками, рассказал «Парламентской газете» соучредитель Ассоциации профессионалов в области приватности (RPPA) Алексей Мунтян. «В связи с этим я не думаю, что относительно всех персональных данных государство пойдет по пути чрезмерной централизации, — отметил он. — То есть не будет какой-то единой базы, скорее, речь идет о присвоении специального статуса уже существующим крупным операторам».
Такой статус могут получить около сотни российских компаний — те, в распоряжении которых есть данные более чем миллиона людей. Именно такой порог обсуждали парламентарии и эксперты, рассказал участвовавший в этой работе Мунтян. К супероператорам, сообщил он, могут предъявить не только повышенные требования с точки зрения безопасности, но и установить для них особую ответственность, более суровую, чем для других компаний.
Платить или нет
Еще одна тема, о которую уже сломали немало копий, — возможная выплата компенсаций пострадавшим от утечек персональных данных. Вопросов здесь много: кто и по каким правилам будет определять размер компенсации, как ее будут выплачивать, не приведет ли это к валу обращений от людей, данные которых уже свободно гуляют по Сети, а таких, к слову, большинство. Тем не менее тема остается в повестке парламентариев, подтвердил Антон Немкин.
«Речь идет о необходимости иметь доверенными операторами своего рода страховку на случай утечки, то есть у них должна быть возможность выплатить назначенные административные штрафы и возможные компенсации, — сказал депутат. — Это нужно для того, чтобы избежать ситуации, когда компании назначен штраф до 15 миллионов рублей, а она ничего, кроме как банкротства и ликвидации, не может предложить. Этим, к слову, обеспокоены сегодня почти 70 процентов компаний из сегмента малого и среднего бизнеса».
Над поправками в закон о персональных данных, которые позволят создать механизм компенсаций пострадавшим от утечек, работает и сенатор Артем Шейкин, о чем он рассказал «Парламентской газете»: «Предлагаю рассмотреть финансовое обеспечение, которое должен иметь оператор на постоянной основе при осуществлении обработки персональных данных». Об утечке люди смогут заявить через портал госуслуг, там же получить информацию по итогам разбирательства, и данные о положенной выплате, если будет принято такое решение.
Читайте также:
3560
Ещё материалы: Антон Немкин , Александр Хинштейн
