По сообщению New York Times, Европейская комиссия рассмотрит новый закон, который обяжет все коммерческие компании, агентства и организации в Европе сообщать потребителям о факте утечки/утери конфиденциальных данных их клиентов. Комиссия будет добиваться расширения сферы действия мандата об уведомлениях потерпевших о факте компрометации их персональных данных к 2012 г. (большинство штатов США и Япония приняли подобные законы еще в 2003 г.).

Сначала европейские законодатели рассмотрят законопроект для компаний, работающих в сфере телекоммуникаций, который в первую очередь обяжет уведомлять об утечке данных операторов связи и Интернет-провайдеров Европы.

Большинство европейских стран, включая Великобританию, не имеет действующего закона, обязывающего компании уведомлять пострадавших клиентов в случае утечки их персональных данных, хотя некоторые делают это по собственной инициативе. Однако некоторые компании все же подвергаются штрафам за особо крупные инциденты с утечкой данных. К примеру, Британский финансовый контроллер в 2007 г. наложил штраф в 980 тыс. фунтов или (1,5 млн долл.) на ипотечного брокера Nationwide Building Society из-за утери ноутбука, в котором содержалась приватная информация миллионов клиентов.

По мнению экспертов российской компании InfoWatch, уведомление потерпевших об утечке их персональных данных действительно полезно в тех случаях, когда субъект данных в состоянии предпринять какие-то действия для нивелирования последствий. Например, при компрометации данных банковской карты держатель может ее заблокировать и заказать перевыпуск. Но в каких-то случаях у потерпевшего нет возможностей повлиять на последствия: например, при разглашении домашнего адреса вряд ли кто-то будет переезжать. Здесь обязательное уведомление об утечке бесполезно и даже вредно, поскольку, как известно из практики США (где уведомления обязательны), более или менее масштабное уведомление граждан неизбежно попадает в прессу и может повлечь за собой дополнительный моральный ущерб.

С другой стороны, неизбежная огласка утечки означает ущерб деловой репутации компании, и предвидя это, фирмы будут лучше защищать персональные данные. Впрочем, компаниям-монополистам и государственным органам их деловая репутация безразлична, поэтому механизм не сработает.

Вопрос, смогут ли европейские законодатели установить более строгие правила защиты информации, чем, например, действующие на сегодняшний день в Бельгии, остается открытым. Согласно закону, который будет рассмотрен в ближайшие дни, у стран ЕС есть время до 2010 г. для одобрения применения требований закона к телекоммуникационным компаниям и Интернет-провайдерам. Однако уже сейчас европейские коммерческие компании обеспокоены новой инициативой Еврокомиссии.