Тему ответственности за такие утечки поднял эксперт по цифровой безопасности Шухрат Курбанов. Он напомнил, что ещё в 2017 году в отечественных СМИ выходила статья, в которой говорилось о рисках беспечного отношения к персональным данным.

Главная идея тогда была довольно простой: стране нужен закон о персональных данных, где особое внимание должно уделяться ответственности организаций, которые собирают и хранят информацию о гражданах. Речь шла о защите данных, обязательном уведомлении людей о сборе их информации и получении согласия на её хранение.

Спустя два года такой закон действительно появился. В 2019 году был принят закон о персональных данных, который позже даже получил громкое дополнение – требование хранить данные граждан на серверах внутри Узбекистана. Сейчас в документ вновь готовят изменения.

Но, по словам эксперта, ключевая проблема так и не решена. Закон практически не работает в части ответственности за утечки данных, а также не объясняет, что именно должны делать организации, если утечка всё-таки произошла.

Для сравнения Курбанов привёл европейское регулирование GDPR (General Data Protection Regulation). Там всё устроено куда строже: за утечку персональных данных компании могут получить штраф до 4% годового оборота или до 20 миллионов евро в зависимости от того, какая сумма больше.

Кроме того, организации обязаны в течение 72 часов уведомить регулятор о случившейся утечке. А если есть риск для прав и свобод граждан, то необходимо сообщить и самим пользователям, чьи данные могли попасть в чужие руки. Причём уведомление должно быть максимально прозрачным с объяснением, какие именно данные утекли, чем это может грозить и какие меры нужно принять.

По словам эксперта, в наших реалиях всё чаще происходит другая история.

«А мы, к сожалению, получаем игру под названием «вы все врете, ничего не было». И даже признав, что утекло «всего лишь 60 тысяч записей», вряд ли кто то уведомил лиц, зафиксированных в этих записях, что их данные утекли», – отметил Курбанов, вспоминая самую громкую хакерскую атаку, которая произошла в конце января этого года.

Есть и ещё один важный момент. По словам эксперта, наш закон в основном сосредоточен на том, где должны храниться данные, тогда как европейское регулирование делает акцент на ответственности за их сохранность, независимо от того, где находятся серверы.

Возможно, и нам стоит сместить фокус именно в эту сторону. Потому что пока получается странная ситуация: закон вроде бы есть, а персональные данные граждан продолжают гулять по сети практически бесконтрольно.

И ещё одна проблема – люди часто вообще не знают, кто запрашивает их данные и зачем.

По мнению Курбанова, решить это можно довольно просто: пользователь должен получать уведомление вида «ваши данные запрашивает такая-то организация. Разрешить? Да / Нет».

Но пока всё выглядит иначе: данные собираются, базы периодически всплывают в интернете, а люди часто узнают об этом уже постфактум. И то – если узнают.

Сообщение Закон есть, а данные гуляют: эксперт поднял неудобный вопрос о защите персональной информации в Узбекистане появились сначала на Vaib.uz.