МОСКВА, 19 января. /ТАСС/. Роскомнадзор получил уже порядка 100 уведомлений от российских компаний, которые столкнулись с утечками персональных данных, с сентября 2022 года. Об этом в четверг сообщил начальник управления по защите прав субъектов персональных данных Роскомнадзора Юрий Контемиров.
"С 1 сентября вступили изменения в закон о персональных данных, согласно которым операторы обязаны уведомлять и ФСБ России, и Роскомнадзор о всех инцидентах, которые произошли, с результатами внутреннего расследования. Далее ведомства уже принимают меры реагирования. Начиная с 1 сентября таких уведомлений поступило около 100", - рассказал он, выступая в Общественной палате РФ.
По словам Контемирова, сейчас проблема, связанная с утечками персональных данных, вышла на первый план, так как их стало существенно больше в сравнении с прошлыми годами. При этом в отдельных случаях виноваты в таких происшествиях лица, которые работают в компаниях на аутсорсинге.
"Мы отмечаем, что увеличилось число случаев, когда инциденты и причины [утечек] лежат не на стороне оператора, а на стороне третьих лиц, привлекаемых по договору об аутсорсинге. Они обеспечивают техническую поддержку, оказывают иные услуги. В этом плане мы рассчитываем на то, что операторы <…>, если они привлекают сторонних третьих лиц для оказания услуг, будут обеспечивать контроль и аудит их деятельности, оценивать их возможности на предмет обеспечения уровня защиты персональных данных", - добавил представитель ведомства. По его словам, сейчас законодательство позволяет операторам на период действия договора с сотрудниками получать всю необходимую информацию о соблюдаемых мерах по пресечению утечек.
О законе
С 1 сентября в России вступил в силу обновленный закон, направленный на усиление защиты персональных данных. Документ предусматривает, что оператор персональных данных должен в два этапа сообщить уполномоченным органам власти об утечке. Так, в течение суток с момента выявления утечки оператор обязан предоставить "описание скомпрометированных данных и контактное лицо", а в течение трех суток - сообщить "о результатах внутренней проверки" и при наличии - об ответственных за утечку. Кроме того, закон исключает из договоров, в том числе пользовательских соглашений, дискриминирующие условия, например невозможность отказаться от передачи данных третьим лицам или получения рекламы, если это не нужно для предмета договора.
Еще одна поправка касается срока предоставления человеку информации о целях и причинах сбора персональных данных, их составе и источниках получения. С 1 сентября срок ответа на такие запросы не должен превышать 10 рабочих дней с оговоркой, что срок ответа может быть увеличен еще на пять рабочих дней.
Законом предусматривается также применение российского законодательства о персональных данных за пределами страны. В частности, совершенствуется порядок их трансграничной передачи, в том числе "устанавливается обязанность операторов информировать уполномоченные органы власти о намерении трансграничной передачи персональных данных".