27.09.2016 14:26
Digital

В ЕС интернет-компании обяжут сообщать об утечках персональных данных

Новые требования ЕС о персональных данных коснутся и российских интернет-компаний
Текст:  Ольга Бухарова
Российская газета - Спецвыпуск: Информационные технологии №218 (7086)
Многим знакомо чувство незащищенности, когда приходится указывать свои данные, к примеру, при заказе товара в Сети. Принимаются все новые законы и регламенты, которые должны максимально обезопасить предоставляемую нами информацию. Так, новые правила о защите персональных данных были приняты Европейским парламентом в апреле этого года, и в 2018 году вступает в силу новое требование ЕС - EU General Data Protection Regulation (GDPR). Оно станет обязательным для исполнения в странах - членах ЕС. По словам гендиректора компании по информационной безопасности Pointlane Павла Мельникова, западные компании, находящиеся за пределами Европы, но виртуально влияющие на пользователей, должны будут в обязательном порядке информировать контролирующие органы и в некоторых случаях сами субъекты в случае утечки персональных данных в течение 72 часов. Опрошенные "РГ" эксперты уверены, что нормы регламента будут иметь далеко идущие последствия и для российских организаций, особенно для интернет-компаний, которые работают с европейскими пользователями.
Читать на сайте RG.RU

- Регламент, принятый Европейским парламентом, коснется всех компаний, которые имеют выход на европейский рынок, - рассказала "РГ" юрист "Конструктор документов FreshDoc.ru" Алина Тухватуллина. - Но есть оговорки: чтобы быть "подведомственной" Регламенту, организация должна продавать товары или услуги европейцам, используя при этом язык соответствующей страны ЕС или принимая платежи в ее валюте.

Оператора, в зависимости от характера нарушения, ждет штраф до 20 миллионов евро

Косвенно новые правила затронут и другие страны, чьи компании имеют активы на территории ЕС или ведут бизнес, предполагающий трансграничную передачу и обработку персональных данных граждан ЕС (интернет-торговля, "облачные" услуги и т.п.), уточнил эксперт по информационной безопасности компании КРОК Евгений Дружинин.

По словам эксперта, компании и организации, подпадающие под действие этого закона, должны будут обеспечить соответствие новым требованиям по защите персональных данных, что неминуемо повлечет за собой необходимость внедрения дополнительных технических и организационных мер защиты.

Антитеррористический пакет законов стал катализатором роста IT-рынка

К примеру, правилами предусматривается, что для использования персональных данных должно быть получено согласие пользователя, а в отношении детей до 16 лет обязательное согласие требуется со стороны родителей. "Персональные данные принадлежат пользователю, и он должен иметь возможность упрощения доступа к ним, а также возможность забрать свои данные у одного поставщика и передать их другому, - уточняет Алина Тухватуллина. - Кроме того, уточняется "право на забвение": у пользователей появится возможность стереть данные, ранее предоставленные сервису.

Основной целью новых регламентов является унификация технологии обработки и хранения персональных данных, уверен аналитик "Доктор Веб" Павел Шалин. Он считает, что стандарты были разработаны в первую очередь с акцентом на социальных сетях и облачных технологиях.

За несоответствие требованиям GDPR компании ждут серьезные штрафы. "Оператора, в зависимости от характера нарушения, ждет штраф до 20 миллионов евро", - пояснила Алина Тухватуллина. Компании будут нести и репутационные риски, когда публично станет известно, что у них произошла утечка информации. "А репутационные риски хуже, чем финансовые, - сообщил "РГ" управляющий компании "Телеком-Биржа" Александр Вахтин. - Внедрение новых правил будет болезненно для бюджета компаний. С точки зрения критериев безопасности они пока содержат общие нормы, которые еще не позволяют говорить о реальной информационной защите".

Пользователь получит возможность стереть данные, ранее предоставленные сервису

Существенная новация GDPR - это ужесточение ответственности за инциденты и привязка ее к доходу компании. Директор по развитию бизнеса Stack Group Владимир Лебедев уверен, что если в рамках этой директивы в России будут приняты нормативные акты, ужесточающие ответственность подобным образом, то это скажется на инвестициях операторов персональных данных в проекты по защите, а также увеличится спрос на услуги по аутсорсингу защиты персональных данных со стороны профессиональных сервис-провайдеров ИТ-инфраструктуры.

Правила ЕС не являются чем-то принципиально новым, уверенно заявляет ведущий вирусный аналитик ESET Russia Артем Баранов. По его словам, схожие инициативы рассматриваются или уже приняты в России, США, Китае и других странах.

Российский бизнес обяжут перейти на онлайн-кассы

Ряд экспертов полагает, что Европейский регламент о защите персональных данных может вступить в коллизию с действующими российскими нормами. Для соответствия новому законодательству компаниям придется решить массу организационных вопросов. Возможно, ввести многоступенчатую аутентификацию для доступа к сервисам. В России защите личных сведений тоже уделяется серьезное внимание, как рассказала управляющий партнер BLS Елена Кожемякина, все организации и компании любого вида деятельности и собственности в нашей стране являются операторами персональных данных. Причем персональными данными, как сообщил Павел Мельников, являются не имейл или адрес пользователя, а ФИО, должность и дата рождения человека. Каждый человек имеет право отозвать указанную им информацию о себе. "Если вдруг человек передумает и захочет отозвать свое согласие на обработку персональных данных, то для этого ему придется отправить письменный запрос на адрес оператора в порядке, установленном ст. 21 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", - пояснил Павел Мельников. Оператор в течение 30 дней с даты получения отзыва от пользователя должен уничтожить персональные данные субъекта".

По мнению Павла Шалина, российские компании без давления со стороны регуляторов не всегда должным образом заботятся о защите своей информационной инфраструктуры. Новации в законодательстве заставят компании незамедлительно сообщать о кибератаках и компрометации данных. Эксперты сходятся в одном: обязанность информировать об утечках данных должна привести к радикальным мерам защиты обработки персональных данных.

Технологии