Интернет-компании высказались против внесудебных компенсаций за утечки персональных данных
Ассоциация больших данных (АБД; входят интернет-компании, операторы связи и банки) раскритиковала разработанные на площадке Минцифры поправки в законопроект об оборотных штрафах за утечки персональных данных. Замечания ассоциация направила в Минцифры, пишут «Ведомости».
Минцифры обсуждает новый закон об оборотных штрафах за утечки ПД с весны 2022 года. В первой версии для компании, допустившей утечку, предусмотривали штраф в размере 1% от годовой выручки и до 3%, если компания своевременно не сообщила об утечке в Роскомнадзор. В начале октября ведомство доработало законопроект. В новой версии предусмотрены штрафы и для должностных лиц.
«В ходе обсуждения мы отказались от первоначальной идеи с созданием специального фонда для компенсаций пострадавшим от утечек, куда компании делали бы взносы. При этом мы считаем, что механизм компенсации для пострадавших обязательно должен быть тщательно проработан», — говорится в комментарии пресс-службы Минцифры. Предлагаемый механизм будет носить для компаний добровольный характер, добавил представитель министерства.
«Считаем, что смягчающие обстоятельства должны быть исполнимы, ответственность — соразмерна», — прокомментировал представитель АБД. Законопроект должен стимулировать компании инвестировать в информационную безопасность и содержать перечень выполнимых мер, при реализации которых компания будет освобождаться от ответственности при отсутствии вины, добавил он.
Механизм добровольных компенсаций включён в версию законопроекта, представленную 24 ноября, следует из письма АБД. Согласно этой версии, если компания возместит вред от утечки во внесудебном порядке не менее чем 60% пользователей, которых затронул инцидент, это расценят как смягчающее обстоятельство при определении размера штрафа. Об этой мере также говорил министр цифрового развития Максут Шадаев.
«Проектируемая норма создаст предпосылки для развития потребительского экстремизма и приведёт к перегрузке судов жалобами на неадекватный, по мнению пользователя, размер предложенной оператором компенсации», — считают в АБД. Там отмечают, что речь будет идти о компенсации именно морального вреда, величина которого индивидуальна, и «усилиями оператора заранее установить размер такого вреда невозможно».
«Таким образом, указанное условие нереализуемо на практике в силу индивидуальности восприятия ущерба субъектом, что делает всю конструкцию смягчающих обстоятельств неработоспособной», — отмечают авторы письма. Принятие этой меры создаст риски мошенничества и обмана пользователей в интернете, прогнозируют в АБД.
Также ассоциация в письме попросила снизить размер штрафов. В актуальной версии законопроекта компании, допустившей утечку данных 1–10 тыс. граждан, грозит штраф до 5 млн рублей, а должностным лицам — до 600 тыс. рублей. Если «утекло» свыше 10 тыс. записей, штраф для компании составит до 10 млн рублей, а для должностных лиц — до 800 тыс. рублей. Повторные утечки будут стоить компаниям уже 0,5–3% от выручки за год.
Штрафы «очевидно завышены и могут привести к закрытию ряда предприятий либо к невозможности дальнейших инвестиций», пишет АБД. Ассоциация предлагает установить «максимальный фиксированный предел оборотного штрафа». Также АБД хочет конкретизировать срок повторности в один год.
Ранее московский суд постановил выплатить в качестве компенсации 13 пользователям сервиса доставки «Яндекс Еда» по 5 тыс. рублей за утечку их персональных данных. Заявители иска требовали через суд от «Яндекса» компенсации в размере 100 тыс. рублей за утечку данных каждого пользователя.
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.
Сейчас компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
