Какими бывают ИТ-инциденты по российским и европейским законам
![](https://s0.rbk.ru/v6_top_pics/resized/Wx64/media/img/3/55/755937723614553.png)
![Фото: Shutterstock](https://s0.rbk.ru/v6_top_pics/media/img/1/51/756752856301511.jpg)
Правовые аспекты
Персональные данные (ПД) — это любые сведения, на основании которых можно идентифицировать физическое лицо.
В соответствии с российским законодательством (152-ФЗ) с 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор и ГосСОПКА (ФСБ) о фактах неправомерной или случайной передачи ПД с целью защиты прав и интересов граждан. Такая формулировка не соответствует европейскому Генеральному регламенту о защите данных (GDPR), где нарушение безопасности ПД (personal data breach) охватывает уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к ПД. Таким образом, условно теряется 30% инцидентов, которые негативно влияют на конфиденциальность, целостность и доступность ПД.
Европейские регуляторы рассматривают намного больше инцидентов по сравнению с Роскомнадзором, при этом дают подробные рекомендации по уведомлениям, а также техническим и организационным мерам.
Скорее всего, российские государственные структуры со временем будут перенимать западный опыт. Поэтому целесообразно уже сейчас задуматься об оптимизации внутренних систем, алгоритмов обработки и удаления собранных сведений.