“Ъ” ознакомился с замечаниями РАЭК к поправкам к закону «О персональных данных», которые 6 апреля внесла в Госдуму группа депутатов во главе с председателем комитета Госдумы по информполитике Александром Хинштейном и сенатором Андреем Клишасом. Позиция РАЭК была направлена господину Хинштейну 4 мая.
Согласно предложенным поправкам, все операторы персональных данных обязаны информировать органы власти о любых утечках личной информации граждан, а также подключиться к госсистеме обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). По действующему законодательству к системе подключены только объекты критической информационной инфраструктуры (банки, операторы связи, организации ТЭКа и так далее). Операторы должны также информировать Роскомнадзор о любых фактах трансграничной передачи личных данных, которую ведомство может запретить.
РАЭК предлагает исключить норму о подключении операторов к ГосСОПКА. «Это потребует от операторов существенных затрат на строительство защищенных каналов связи со средствами криптографической защиты, причем коснется и всех бюджетных организаций»,— отмечается в письме. Утечки персональных данных по большей части происходят в результате действий злоумышленников из числа сотрудников, а не хакеров извне, подчеркивают в РАЭК. Неясно также, какое отношение к личной информации граждан имеет Национальный координационный центр по компьютерным инцидентам (НКЦКИ, оператор ГосСОПКА), вопросы обработки персональных данных находятся в компетенции Роскомнадзора, поясняют в ассоциации.
В Минцифры между тем уверены, что НКЦКИ «показал свою эффективность» в последние два месяца, «персональные данные требуют надежных механизмов защиты, поэтому требования по взаимодействию операторов персональных данных с ГосСОПКА обоснованны». Опасения РАЭК в отношении финансовых затрат при подключении к ГосСОПКА «стоит проработать напрямую с НКЦКИ», добавили в министерстве, отметив, что есть разные способы взаимодействия, в том числе «не влекущие расходы». Александр Хинштейн не ответил.
РАЭК также предлагает вернуть в законопроект оговорку, по которой оператор персональных данных может не уведомлять Роскомнадзор о начале обработки информации в соответствии с трудовым законодательством, а также если доступ к данным не предоставляется третьим лицам. Это исключение есть в действующей версии закона, но не в предложенных поправках. «Принятие инициативы в текущей версии приведет к тому, что все юрлица и частные предприниматели должны будут уведомлять Роскомнадзор о приеме на работу каждого нового сотрудника»,— считают в РАЭК.
Анастасия Гаврилюк
SIA.RU: Главное
