Минцифры России совместно с Советом Федерации и представителями отрасли ИБ обсуждают возможность исключить ИТ-специалистов по безопасности из-под действия закона «О персональных данных».
Это предложение возникло на фоне ужесточения наказания за утечку ПД, которое может затронуть широкий круг специалистов — от тех, кто занимается расследованием киберпреступлений, до тех, кто проверяет системы на уязвимости.
В ноябре 2024 года был принят закон, усиливающий ответственность за нарушение правил обработки персональных данных. Однако нововведения поставили под угрозу деятельность многих специалистов, работающих с ПД в рамках своей профессии, таких как форензики, пентестеры и эксперты по OSINT, чьи действия могут включать доступ к персональной информации.
Это вызвало опасения по поводу уголовной ответственности, даже если доступ к данным был получен законным путем и не повлек за собой их утрату или использование в несанкционированных целях.
Возможно, для решения этого вопроса будет разработан отдельный законопроект, который бы защитил ИТ-безопасников от юридических рисков в случае работы с персональными данными в рамках служебных обязанностей. Несмотря на это, многие участники рынка считают, что риски были завышены, а проблемы можно решить с помощью соответствующих договоров и соглашений, как это уже делается в случае с пентестами и форензикой.
Тем не менее, отсутствие четких критериев для законной работы с ПД и неясности в правоприменительной практике создают неопределенность для специалистов. Вопрос защиты экспертов по ИБ остаётся актуальным, и лишь более конкретное законодательство способно прояснить, какие действия являются законными, а какие могут повлечь ответственность.
Это предложение возникло на фоне ужесточения наказания за утечку ПД, которое может затронуть широкий круг специалистов — от тех, кто занимается расследованием киберпреступлений, до тех, кто проверяет системы на уязвимости.
В ноябре 2024 года был принят закон, усиливающий ответственность за нарушение правил обработки персональных данных. Однако нововведения поставили под угрозу деятельность многих специалистов, работающих с ПД в рамках своей профессии, таких как форензики, пентестеры и эксперты по OSINT, чьи действия могут включать доступ к персональной информации.
Это вызвало опасения по поводу уголовной ответственности, даже если доступ к данным был получен законным путем и не повлек за собой их утрату или использование в несанкционированных целях.
Возможно, для решения этого вопроса будет разработан отдельный законопроект, который бы защитил ИТ-безопасников от юридических рисков в случае работы с персональными данными в рамках служебных обязанностей. Несмотря на это, многие участники рынка считают, что риски были завышены, а проблемы можно решить с помощью соответствующих договоров и соглашений, как это уже делается в случае с пентестами и форензикой.
Тем не менее, отсутствие четких критериев для законной работы с ПД и неясности в правоприменительной практике создают неопределенность для специалистов. Вопрос защиты экспертов по ИБ остаётся актуальным, и лишь более конкретное законодательство способно прояснить, какие действия являются законными, а какие могут повлечь ответственность.
