Материал раздела Основной

Какими бывают ИТ-инциденты по российским и европейским законам

Российское законодательство о персональных данных (152-ФЗ) и европейское (GDPR) отличаются в том, что считать ИТ-инцидентом. В чем разница, как это сказывается на защите данных и почему стоит прислушаться к зарубежному опыту — поясняет журнал IT-Expert
Фото: Shutterstock
Фото: Shutterstock

Правовые аспекты

Персональные данные (ПД) — это любые сведения, на основании которых можно идентифицировать физическое лицо.

В соответствии с российским законодательством (152-ФЗ) с 1 сентября 2022 года компании обязаны уведомлять Роскомнадзор и ГосСОПКА (ФСБ) о фактах неправомерной или случайной передачи ПД с целью защиты прав и интересов граждан. Такая формулировка не соответствует европейскому Генеральному регламенту о защите данных (GDPR), где нарушение безопасности ПД (personal data breach) охватывает уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к ПД. Таким образом, условно теряется 30% инцидентов, которые негативно влияют на конфиденциальность, целостность и доступность ПД.

Европейские регуляторы рассматривают намного больше инцидентов по сравнению с Роскомнадзором, при этом дают подробные рекомендации по уведомлениям, а также техническим и организационным мерам.

Скорее всего, российские государственные структуры со временем будут перенимать западный опыт. Поэтому целесообразно уже сейчас задуматься об оптимизации внутренних систем, алгоритмов обработки и удаления собранных сведений.

ChatGPT и другие темы — в опции Абонемент на интенсивы

Примеры инцидентов