Минцифры планирует создать фонд материальных компенсаций для граждан, пострадавших от утечек персональных данных
Минцифры планирует создать фонд материальных компенсаций для граждан, пострадавших от утечек персональных данных из компаний. Предполагается, что в качестве финансовых средств в фонде будут использоваться оборотные штрафы, наложенные на компании за утечку данных. Инициатива по оборотным штрафам также находится на обсуждении.
Проблема в том, что только с начала года в общий доступ попали данные десятков миллионов пользователей разных сервисов из российских компаний. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
С другой стороны, доказать ущерб гражданам от утечки их персональных данных в суде даже в групповом иске непросто, так как компании после утечек максимально пытаются дистанцироваться от этой ситуации. В итоге суд может присудить символические компенсации.
В российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое надзорное ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов. В законе нет обозначения, что является новой утечкой и как понять, что это не предыдущая. Компаниям проще заявлять, что это старая утечка и прикрываться предупреждением от РКН или небольшим штрафом.
В Минцифры пояснили СМИ, что сейчас ведомство с рядом крупных IT-компаний прорабатывает механизм таких компенсаций. В том числе на обсуждении находится способ определения объёма выплат, условий получения компенсации и другие детали.
Эксперты отрасли считают эту инициативу правильной, так как сейчас все штрафы идут в бюджет. Они опасаются, что разработка и утверждение механизма компенсаций может затянуться на длительное время, а участники рынка будут стараться минимизировать свои риски даже в этой ситуации.
Представители IT-компаний рассказали СМИ, что «создание фонда в любом случае — шаг вперёд, при этом компенсация должна зависеть от реального или потенциального ущерба пользователя, но определить его бывает сложно, и практики для ориентира сейчас нет».
Юристы уточнили, что в данной ситуации неясно, придётся ли пострадавшим гражданам обосновывать ущерб от утечки и доказывать его со своей стороны. В этом случае только некоторые самые продвинутые пользователи смогут получить компенсацию. А вот если компенсация от утечки будет разделена поровну между всеми пострадавшими пользователями, то сумма выплаты одному человеку может оказаться совсем небольшой. При условии получения штрафа в 1 млрд рублей и утечки данных 2,5 млн пользователей выплаты каждому составят 400 рублей. Причём при этом не учитываются затраты на оказание таких выплат, сбора данных по утечкам, перечисление от компании денег в фонд и потом каждому пользователю. В итоге может оказаться, что компенсация в этом случае будет менее 100 рублей, а пользователь после её получения, например, не сможет обратиться в суд против компании по этой утечке как физлицо или группа пострадавших лиц.
18 августа московский суд оштрафовал Delivery Club на 80 тыс. рублей за утечку персональных данных более 2 млн пользователей сервиса и более 130 тыс. курьеров.
2 августа суд повторно оштрафовал «Яндекс.Еду» на 60 тыс. руб. за утечку персональных данных. Административное наказание было наложено за инцидент с утечкой информации о курьерах, а ранее аналогичный штраф был наложен судом на «Яндекс» за утечку данных пользователей. Фактически «Яндекс» получил второй административный штраф за одну ту же утечку, как заверяет компания.
В конце мая Минцифры согласовало законопроект с оборотным штрафом в 1% за утечки и 3%, если компания попытается скрыть инцидент.
В начале июля Минцифры сообщило, что работает над законопроектом, предусматривающим уголовную ответственность для представителей компаний, которые допустили утечку персональных данных с тяжкими последствиями.
12 июля Минцифры пояснило, что ведомство против предупреждения компаний за первую утечку персональных данных и предлагает сразу штрафовать, причем соразмерно объёму слитой информации. В случае повторной утечки компаниям будут грозить серьёзные оборотные штрафы.
В начале августа Госдума в третьем чтении проголосовала за поправки к ФЗ-152 «О персональных данных». Согласно законопроекту, операторы ПД будут обязаны отслеживать кибератаки и утечки личной информации пользователей, а также отчитываться о каждом инциденте в надзорные ведомства.