Российское правительство предоставило Роскомнадзору разрешение на проведение внеплановых проверок аккредитованных компаний, которые осуществляют деятельность в сфере IT, в случае утечки у них персональных данных пользователей и клиентов, сообщает издание «Интерфакс». Соответствующее подписанное премьером Михаилом Мишустиным постановление было представлено вечером 6 февраля на официальном интернет-портале правовой информации.
В рамках этого постановления уточняется, что Роскомнадзор при согласовании с прокурорскими органами имеет право на осуществление внеплановых контрольных надзорных мероприятий за обработкой персональных данных в отношении операторов ПДн, которые являются в том числе аккредитованными ИТ-компаниями, осуществляющими свою деятельность в этой отрасли.
Условием для осуществления в таких компаниях внеплановых проверочных мероприятий выступает установление факта распространения в открытом доступе баз с личными данными пользователей и клиентов, в том числе и тех, которые имеют признаки принадлежности к аккредитованным ИТ-компаниям.
Журналисты уточняют, что в конце 2022 года Министерство цифрового развития РФ представило проект этого постановления на общественное обсуждение. Документ был подготовлен, как было указано в пояснительной записке, для предотвращения проблем, которые связаны с массовым утечками конфиденциальной информации российских граждан.
Также стоит напомнить, что в конце марта 2022 года российское правительство одобрило постановление, которое устанавливало на ближайший трёхлетний период освобождение от проведения проверок аккредитованных ИТ-организаций. Запрет на внеплановые проверки до 2025 года был включён в список мер поддержки отечественной ИТ-отрасли, указ о которых в начале марта прошлого года подписал президент России.
Владислав Михайлов, Начальник отдела внедрения “Астрал.Безопасность”, заявил, что внеплановые выездные проверки в случае выявления утечек персональных данных выглядит как разумная идея. Остается вопрос — как будут проходить данные проверки и как контролирующий орган будет оценивать меры по защите ПДН?
«Рассмотрим пример, в котором все требования законодательства соблюдены – а именно документы в наличии и установлены необходимые СЗИ. Но произошла утечка. Что в итоге – никто не виноват? Что делать дальше? Целью проверки должно быть не только наказание, но и выдача рекомендаций по практической защите персональных данных. А также организациям будет полезно получить разбор в обезличенном виде инцидентов с утечками, рассматривая какие ошибки были допущены и как их можно было избежать», — резюмировал эксперт.
