Минцифры и комитет по информполитике Госдумы не могут договориться о компенсациях за утечки данных
Обсуждаемый в течение года законопроект об оборотных штрафах для компаний за утечки персональных данных пользователей вызвал споры среди его разработчиков. Минцифры и комитет по информационной политике Госдумы продолжают обсуждение как минимум двух механизмов действия законопроекта: с денежными выплатами пострадавшим и без каких‑либо компенсаций. Об этом пишут «Ведомости» со ссылкой на пятерых собеседников, знакомых с ходом обсуждения документа или участвовавших в его разработке.
В связи с этим законопроект, который планировали внести в Госдуму ещё весной, удастся согласовать не ранее осенней сессии. По словам одного из собеседников, окончательного и утвержденного всеми участниками варианта законопроекта на данный момент нет.
Законопроект об оборотных штрафах для IT‑компаний, допустивших утечки ПД, предполагает введение в КоАП поправок, по которым такая компания может быть оштрафована на 1% годового оборота. Размер штрафа вырастет до 3%, если организация пыталась скрыть проблему. Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц в размере от 60 тыс. до 100 тыс. рублей, при повторном правонарушении — до 500 тыс. рублей.
Минцифры проработало смягчающие обстоятельства для провинившихся, заявлял в декабре 2022 года министр цифрового развития Максут Шадаев. Например, штраф может быть ниже, если компания проведёт сертификацию своей инфраструктуры в соответствии с требованиями безопасности. Также рассматривали вопрос компенсации ущерба двум третям пострадавших от утечки. Для этого Минцифры планировало создать фонд материальных компенсаций, который будет наполняться за счёт средств, полученных в виде оборотных штрафов.
По словам собеседника «Ведомостей» в Минцифры, в июне из законопроекта убрали возможность компенсации вреда пострадавшим пользователям при помощи бонусов и скидок компании. От механизма пришлось отказаться, потому что проверить получение пользователем той или иной компенсации невозможно, пояснил источник. Вместо этого решили оставить только механизм денежных компенсаций, говорит он.
Источник «Ведомостей» в Минцифры утверждает, что предпочтительным для министерства механизмом действия законопроекта был бы такой порядок: «В случае утечки данных компания должна будет публично обнародовать информацию о ней и уведомить Роскомнадзор, после чего у пользователей будет время на подачу заявлений на компенсацию через портал госуслуг. По истечении этого срока компания должна будет предложить пострадавшим компенсацию, и если она устроит не менее 80% из них, то оборотный штраф для компании будет определяться «по нижней границе» — 0,1% от годовой выручки».
Если же компенсация не будет предложена или же число удовлетворённых пользователей будет менее 80%, то оборотный штраф будет рассчитан как 3% от оборота компании за год, добавил он.
По словам другого собеседника издания, стороны также обсуждают возможность полного отказа от компенсаций. «От этого [компенсаций], скорее всего, откажутся», — подтверждает источник в Совете Федерации.
Но такой вариант законопроекта — без компенсаций — категорически не устраивает Минцифры, настаивает собеседник в министерстве. «Минцифры не поддержит его в таком виде», — говорит он.
Против компенсаций выступает и глава комитета Госдумы по информполитике Александр Хинштейн. «Я против механизма компенсаций, так как это приведёт к нарушениям прав пользователей», — заявил он «Ведомостям». Дальнейших деталей по обсуждению законопроекта он не привёл.
