С 1 сентября 2022 года, согласно изменениям в закон «О персональных данных», компании-операторы должны уведомлять Роскомнадзор о начале или осуществлении любой обработки персональных данных за исключением ряда случаев, например, работы в целях защиты безопасности государства и общественного порядка. Лицензированием в части защиты информации сегодня занимаются ФСБ и ФСТЭК — они сертифицируют средства защиты данных.

Роскомнадзор предлагает добавить в готовящийся законопроект об оборотных штрафах за утечки персональных данных понятие «спецоператора», который станет удостоверяющим центром для компаний-операторов персональных данных. Эти функции Роскомнадзор хочет взять на себя. Лицензированием должен заняться удостоверяющий центр регулятора, пишет «Коммерсант».

Операторы должны будут не только уведомлять Роскомнадзор о том, что обрабатывают личную информацию граждан, но и получать лицензию регулятора на их обработку. Предполагается, что для этого регулятор будет проводить аудит ИТ-инфраструктуры компании на соответствие целому ряду критериев.

В Роскомнадзоре сообщили, что предложения в законопроект обоснованы необходимостью повышения ответственности операторов, обрабатывающих значительные объемы данных — свыше 1 млн записей. Для получения лицензии оператор больших данных должен будет удовлетворять следующим критериям: быть российским юридическим лицом, иметь в штате не менее пяти работников с высшим образованием в области защиты информации, ответственных за защиту баз ПДн оператора, иметь финансовое обеспечение ответственности за убытки вследствие возможной утечки данных в сумме не менее чем 100 млн руб., использовать для обработки ПДн базы данных только на территории РФ и подтвердить, что обработка данных граждан осуществляется с учётом требований по обеспечению кибербезопасности.

Источники издания уточнили, что инициативу могут распространить только на компании, обрабатывающие большой объём данных. Вопрос обсуждают с отраслью. Однако у опрошенных «Коммерсантом» экспертов сложилось неоднозначное мнение по поводу инициатив РКН.

Законопроект об оборотных штрафах для юрлиц за утечки персональных данных сотрудников или клиентов разрабатывается с начала 2022 года. Изначально предполагалось внесение поправок в КоАП, по которым компания, допустившая утечку, может быть оштрафована на 1% от годового оборота. Позже стало известно, что обсуждается введение диапазона штрафов от 5 млн до 500 млн руб.

Утечки данных остаются значимой проблемой: по подсчётам Positive Technologies, за первые два квартала 2023 года 51% киберинцидентов привёл к утечкам ПДн. Во втором квартале число утечек уже превысило показатели первого на 4%.