Роскомнадзор сообщил, что намерен направить запрос российскому интернет-магазину Ozon в связи с тем, что в компании произошла утечка персональных данных более 450 тыс. пользователей. При этом сервис своевременно не предупредил об инциденте своих клиентов. Регулятор также заявил о необходимости внесения поправок в законодательство, согласно которым виновный должен будет извещать об утечке надзорный орган.
Эксперт по информационной безопасности компании Cisco Systems Алексей Лукацкий считает такую законодательную инициативу РКН своевременной.
Регулятор весьма обеспокоен действиями интернет-магазина, поставившего под угрозу безопасность своих клиентов.
«Роскомнадзор как уполномоченный орган направит письмо в Ozon для получения разъяснений от компании по возникшей утечке», — говорится в официальном сообщении ведомства.
В РКН считают, что адрес электронной почты и пароль дают доступ к аккаунту клиента, что позволяет взломщикам получать информацию о пользователях и совершать от их имени различные действия. Значит, такой набор личных сведений нужно отнести к персональным данным россиян.
В связи с участившимися случаями утечек персональных данных Роскомнадзор заявил о необходимости внести изменения в законодательство, которые бы обязывали компании извещать обо всех утечках надзорный орган. В ведомстве убеждены, что эти поправки расширят права пользователей на получение информации о несанкционированном доступе третьих лиц к их персональным данным.
Эксперт по информационной безопасности компании Cisco Systems Алексей Лукацкий считает законодательную инициативу Роскомнадзора своевременной.
«В законе о персональных данных есть норма, согласно которой в случае нанесения ущерба персональным данным оператор обязан сообщить субъектам (в этом случае — пользователям) о том, что с их данными что-то произошло. Такая норма существует, правда, ее мало кто применяет. Роскомнадзор тоже о таких инцидентах никто не оповещает, потому что в законе такое требование не прописано. Поэтому я считаю, что инициатива ведомства правильная. В Европейском регламенте по защите персональных данных такая норма существует уже давно, и в случае утечки компания обязана оповестить всех пострадавших. Такие же нормы действуют и в американском законодательстве о персональных данных. Гражданин должен знать, что с его данными что-то произошло», — подчеркнул Лукацкий.
