В ближайшее время в России начнут действовать новые правила, касающиеся персональных данных — в том числе их удаления и оценки вреда при утечке. Соответствующие приказы обнародовал Роскомнадзор, пишут «Известия».
Порядок обращения с персональными данными и случаи его нарушения сегодня регулирует Федеральный закон № 152-ФЗ «О персональных данных». Согласно документу, каждой информационной системе, в которой хранятся и обрабатываются личные сведения, присваивается определенный класс защиты.
Закон вышел еще в 2006 году, однако некоторые его положения до сих пор вызывают вопросы в части реализации и толкования, отмечают эксперты.
Так, летом были приняты изменения, согласно которым компании и предпринимателей обязаны информировать органы власти о компьютерных атаках на сайт и утечке персональных данных. Также необходимо оповещать Роскомнадзор, если личные сведения планируют передать за рубеж.
Ведомство утвердило два приказа, которые должны облегчить для россиян решение споров, если компания отказывается удалять персональную информацию. Приказ от 27.10.2022 № 178 разъясняет, как оценить вред, причиненный при утечке. Ущерб в документе разделили на несколько степеней тяжести, также в нем прописали, кто может быть уполномочен оценивать вред, причиненный пострадавшему. Предыдущая редакция закона также обязывала оператора проводить экспертизу, но не связывала оценку с какими-либо требованиями Роскомнадзора, пояснили эксперты.
В другом приказе, от 28.10.2022, Роскомнадзор утвердил требования к уничтожению персональных данных. Организация обязана удалить личные сведения человека по его первому требованию. Оба документа вступят в силу с марта 2023 года и будут действовать шесть лет.
По мнению экспертов, принятые нормы являются логичной и давно ожидаемой мерой. Однако полагают, что глобально изменить ситуацию в лучшую сторону вряд ли удастся.
Источник: SecurityLab