Юрист корпоративной практики Вадим Ковалёв для SecureNews о поправках в законе «О персональных данных» и последствиях для малого и среднего бизнеса

ЗАКОН МОЖЕТ СТАТЬ ОБРЕМЕНИТЕЛЬНЫМ ДЛЯ МАЛОГО И СРЕДНЕГО БИЗНЕСА

Предлагаемые изменения согласуются с общей тенденцией развития зарубежного законодательства в данной области. В частности, в Европейском Союзе в сфере телекоммуникаций к провайдерам услуг связи предъявляется требование уведомлять клиентов и уполномоченные органы власти о нарушениях безопасности, которые неблагоприятным образом затронут персональные данные таких пользователей. Дополнительно к этому весной 2018 года в ЕС вступают в силу Общие положения о защите данных (GDPR), которые не только напрямую обязывают сообщать об утечках властям и пользователям, но и содержат суровые наказания для компаний, умолчавших о разглашении данных. Обязанность по сообщению об утечках персональных данных также существует почти во всех штатах США.

Российский законопроект также предписывает операторам уведомлять Роскомнадзор о факте утечки персональных данных пользователей неопределенному кругу лиц. В то же время текущий законопроект не обязывает операторов сообщать об утечках самим пользователям, что несомненно является значительным упущением, поскольку пользователь не имеет возможности предпринять должные меры по минимизации последствий разглашения личных данных. К слабой стороне законопроекта также относится отсутствие процедуры и конкретных сроков уведомления Роскомнадзора об утечках. Тем не менее, уже известно, что авторы намерены доработать законопроект и внести в него соответствующие поправки ко второму чтению.

В целом, идею законопроекта можно оценить как положительную и в дальнейшем следить за его доработкой и ходом рассмотрения в Государственной думе.

Данный законопроект в случае его принятия не должен оказать существенного влияния на российский ИБ-рынок. Крупные и технологичные компании уже сейчас тратят значительные средства на обеспечение безопасности данных, включая персональные данные своих клиентов, сотрудников и пользователей. Более того для многих компаний уже понятна ценность защиты данных, так как их утечка или несанкционированный доступ к ним чреваты значительными репутационными рисками.

Для малого же и среднего бизнеса данный законопроект может быть более обременительным, однако, ввиду, как правило, небольшого объема обрабатываемых персональных данных, они вряд ли будут представлять ценность для злоумышленников и по сравнению с крупными организациями подвержены меньшему риску утечек.

В целом, более предметно о последствиях принятия законопроекта можно будет говорить после того, как в него будут внесены все поправки и дополнения, уточнена процедура и сроки уведомления об утечках персональных данных.

Подробнее в статье по ссылке: https://securenews.ru/personal_data_operators/