Vaib.uz (новости Узбекистана. 10 марта). Складывается ощущение, что персональные данные в Узбекистане живут собственной жизнью. Они регулярно где-то «утекают», всплывают в базах и чатах хакеров, но виновных в этих историях почти никогда нет. А дальше начинается знакомая игра: «ничего не было, всё безопасно».
Тему ответственности за такие утечки поднял эксперт по цифровой безопасности Шухрат Курбанов. Он напомнил, что ещё в 2017 году в отечественных СМИ выходила статья, в которой говорилось о рисках беспечного отношения к персональным данным.
Главная идея тогда была довольно простой: стране нужен закон о персональных данных, где особое внимание должно уделяться ответственности организаций, которые собирают и хранят информацию о гражданах. Речь шла о защите данных, обязательном уведомлении людей о сборе их информации и получении согласия на её хранение.
Спустя два года такой закон действительно появился. В 2019 году был принят закон о персональных данных, который позже даже получил громкое дополнение – требование хранить данные граждан на серверах внутри Узбекистана. Сейчас в документ вновь готовят изменения.
Но, по словам эксперта, ключевая проблема так и не решена. Закон практически не работает в части ответственности за утечки данных, а также не объясняет, что именно должны делать организации, если утечка всё-таки произошла.
Для сравнения Курбанов привёл европейское регулирование GDPR (General Data Protection Regulation). Там всё устроено куда строже: за утечку персональных данных компании могут получить штраф до 4% годового оборота или до 20 миллионов евро в зависимости от того, какая сумма больше.
Кроме того, организации обязаны в течение 72 часов уведомить регулятор о случившейся утечке. А если есть риск для прав и свобод граждан, то необходимо сообщить и самим пользователям, чьи данные могли попасть в чужие руки. Причём уведомление должно быть максимально прозрачным с объяснением, какие именно данные утекли, чем это может грозить и какие меры нужно принять.
По словам эксперта, в наших реалиях всё чаще происходит другая история.
«А мы, к сожалению, получаем игру под названием «вы все врете, ничего не было». И даже признав, что утекло «всего лишь 60 тысяч записей», вряд ли кто то уведомил лиц, зафиксированных в этих записях, что их данные утекли», – отметил Курбанов, вспоминая самую громкую хакерскую атаку, которая произошла в конце января этого года.
Есть и ещё один важный момент. По словам эксперта, наш закон в основном сосредоточен на том, где должны храниться данные, тогда как европейское регулирование делает акцент на ответственности за их сохранность, независимо от того, где находятся серверы.
Возможно, и нам стоит сместить фокус именно в эту сторону. Потому что пока получается странная ситуация: закон вроде бы есть, а персональные данные граждан продолжают гулять по сети практически бесконтрольно.
И ещё одна проблема – люди часто вообще не знают, кто запрашивает их данные и зачем.
По мнению Курбанова, решить это можно довольно просто: пользователь должен получать уведомление вида «ваши данные запрашивает такая-то организация. Разрешить? Да / Нет».
Но пока всё выглядит иначе: данные собираются, базы периодически всплывают в интернете, а люди часто узнают об этом уже постфактум. И то – если узнают.
