По инициативе Роскомнадзора (далее РКН) в законопроект об оборотных штрафах введено требование о лицензировании деятельности по обработке ПД.
Рекомендации направлены на операторов, которые обрабатывают свыше 1 млн записей, РКН считает необходимым установить обязательные требования:
- регистрация в качестве российского юридического лица;
- min. 5 штатных работников с профильным высшим образованием, ответственных за защиту персональных данных;
- min. 100 млн. руб. в качестве обеспечения ответственности за убытки вследствие возможной утечки.
Кроме того, РКН предлагает использовать базы данных, находящиеся на территории России, и обязать операторов подтверждать соответствие обработки ПДн требованиям информационной безопасности.
—
В соответствии с положением Роскомнадзор – уполномоченный по защите прав субъектов персональных данных. В территориальных управлениях Роскомнадзора даже отделы с полномочиями по ПД называются в стиле “Отдел по защите прав субъектов персональных данных” (например, в УРКН по Калининградской области). На открытых семинарах Роскомнадзор всегда ссылался на “коллег” из ФСТЭК и ФСБ при вопросах о соблюдении требований в области информационной безопасности. Сейчас Роскомнадзор отвечает позицией по усилению мер ИБ без отсылок к правам субъекта.
В действительности Роскомнадзор имеет право говорить и о мерах ИБ. По тому же положению за Роскомнадзором функции по контролю и надзору за соответствием обработки персональных данных требованиям законодательства РФ в области персональных данных. С широким толкованием сюда можно отнести и меры по обеспечению безопасности при обработке ПД по ст. 19 152-ФЗ.
Уже в УРКН по ЦФО выделены 2 независимых отдела, которые показывают различия в понимании Роскомнадзором прав субъекта ПД и контрольно-надзорной деятельности за ПД-законодательством:
- отдел по защите прав субъектов персональных данных;
- отдел контроля и надзора за соблюдением законодательства в сфере персональных данных.