В Роскомнадзоре подготовили рекомендации операторам персональных данных на фоне массовых утечек в этом году

В Роскомнадзоре подготовили рекомендации операторам персональных данных (ПД) на фоне массовых утечек информации о пользователях различных сервисов и компаний в этом году.

Регулятор раскрыл, что в России не менее 5,5 млн структур, которые зарегистрированы в ЕГРЮЛ и ЕГРИП как имеющие доступ к частной информации пользователей и работающие как операторы ПД.

В РКН не считают возросшее количество утечек исключительно виной операторов ПД, поскольку с начала 2022 года многие компании стали объектами усиленного внимания со стороны хакеров.

Надзорное ведомство напомнило, что в 2021 году было четыре серьёзные утечки данных, в 2022 году более 140 инцидентов, а за первые семь месяцев 2023 года регулятор зафиксировал свыше 150 утечек. В сеть попали около 177 млн записей о гражданах. Для сравнения: за первое полугодие 2022 года в открытый доступ попали около 45 млн записей пользователей.

Роскомнадзор разработал рекомендации для всех операторов, осуществляющих обработку персональных данных:

• регулятор настаивает на «дроблении» личных сведений, то есть хранении каждой конкретной информации о человеке — имя, номер телефона, покупка — в разных базах вместо одной ячейки. Это уменьшит шансы мошенников привязать данные к конкретному физическому лицу в случае утечки сведений из нескольких баз;

• в РКН также предлагают сократить перечень персональных данных, используя лишь ту информацию, которая действительно необходима для оказания услуги, продажи товаров и иной деятельности;

• операторам ПД также стоит отказаться от накопления сведений о своих клиентах «на всякий случай» и от формирования их профилей, «если это не жизненно нужно для организации»;

• в РКН отдельно настаивают на своевременном уничтожении персональных данных после «достижения цели обработки» — к примеру, после оказания услуги. Среди других рекомендаций — использование технических и программных средств, принадлежащих самому оператору, а не третьим лицам.

В настоящее время в случае выявления факта утечки РКН может составить и передать в суд административный протокол по ч. 1 ст. 13.11 КоАП. В этом случае за нарушение законодательства в области персональных данных компании грозит административный штраф в размере от 60 тыс. рублей до 100 тыс. рублей, а при повторном правонарушении — до 500 тыс. рублей.

Новый законопроект об оборотных штрафах для IT‑компаний, допустивших утечки ПД, предполагает введение в КоАП поправок, по которым такая компания может быть оштрафована на 1% годового оборота.

С начала года Минцифры и комитет по информполитике Госдумы не могут договориться о компенсациях за утечки данных. Минцифры и комитет по информационной политике Госдумы продолжают обсуждение как минимум двух механизмов действия законопроекта: с денежными выплатами пострадавшим и без каких‑либо компенсаций.