Компенсация пострадавшим от утечек данных смягчит наказание для компаний
Если компания, допустившая утечку данных пользователей, компенсирует двум третям пострадавших нанесенный ущерб, она сможет рассчитывать на минимальное наказание. Об этом РБК рассказал министр цифрового развития, связи и массовых коммуникаций Максут Шадаев. Речь идет о регулировании и соответствующем законопроекте, над которым министерство работает с весны этого года. Разработка началась на фоне инцидентов, когда у российских компаний, в том числе сервисов «Яндекс.Еда», Delivery Club и медицинской лаборатории «Гемотест», произошли крупные утечки данных пользователей.
По словам Шадаева, главная сложность заключается в том, чтобы прописать в законопроекте конструкцию, которая будет предусматривать минимальный и максимальный проценты оборотного штрафа. «Мы пытаемся сказать, что смягчающим обстоятельством для назначения минимального порога будет урегулирование вопросов с пострадавшими. Это самое сложное, такой конструкции просто нет. Мы говорим: двум третям тех граждан, чьи данные утекли, пожалуйста, компенсируйте ущерб. Если вы подписали соглашение, что вы урегулировали с ними вопросы, то идете по нижней планке», — рассказал Максут Шадаев.
Представитель пресс-службы Минцифры не пояснил, каким образом будет проводиться расчет числа пострадавших, которым компенсировали ущерб. «Компания в добровольном порядке сможет выплатить компенсации и сообщить об этом в Роскомнадзор. Если данные подтвердятся в суде, штраф [за утечку] будет снижен. Это существенное послабление, так как в текущей версии законопроекта размер фиксированного штрафа для первого случая утечки может составлять до 10 млн руб.», — отметил он. При повторном нарушении, по его словам, будет применяться оборотный штраф в размере до 3%. «Сумма штрафа зависит от объема утекших данных. Чем он выше, тем больший штраф придется заплатить компании, — говорит представитель Минцифры. — Мы хотим, чтобы бизнес не только вкладывался в защиту данных, но и понимал свою ответственность перед гражданами». Он также подчеркнул, что в министерстве понимают, «насколько это сложная тема и сложный законопроект», и при его подготовке «стараются учесть мнения всех сторон».
Как планируют наказывать за утечки
В апреле Минцифры заявило о намерении ввести оборотные штрафы для компаний, допустивших утечку персональных данных. Обсуждалось, что штраф составит до 1% от оборота. Сейчас максимальный штраф за утечку персональных данных для бизнеса составляет 500 тыс. руб.
В июле представители бизнеса предложили трехступенчатую систему наказания за утечки: если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение; в случае повторной компрометации — заплатить крупный штраф; при третьей утечке — оборотный штраф. После этого Минцифры разъясняло, что при первой утечке персональных данных клиентов компания будет платить штраф, соразмерный объему попавшей в Сеть информации, при повторном случае будет налагаться оборотный штраф. При этом планируется учитывать смягчающие и отягчающие обстоятельства. Последним может стать сокрытие информации об утечке. Также в Минцифры заявили о вероятности появления компенсационного фонда, в который направлялись бы собранные штрафы для выплат компенсаций пострадавшим. В Минцифры заявляли, что фонд бы действовал по аналогии с Агентством по страхованию вкладов, выплачивающим возмещения вкладчикам банков при наступлении страховых случаев.
Но, как пояснил РБК Максут Шадаев, конструкция с компенсацией двум третям пострадавших обсуждается вместо создания компенсационного фонда.
Какая позиция у бизнеса
Предложенный вариант регулирования вызвал вопросы у экспертов. Ведущий эксперт по защите персональных данных консалтинговой компании Б-152 Максим Лагутин отметил, что непонятно то, как именно будут выявлять, кому принадлежат утекшие данные. «После утечки компаниям придется выяснять, чьи данные утекли, что это за люди, каким-то образом связываться с ними, а если данных недостаточно, искать способы, как с ними связаться, — указал он. — При этом у компаний не всегда есть простые способы массово выплатить компенсацию. Даже если удастся уточнить, куда переводить деньги, юридические департаменты компаний просто «сойдут с ума».
Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян отметил, что юристы компаний, допустивших утечки, могут «торговаться» с пострадавшими пользователями, «предлагать им копейки». По его мнению, любое усиление ответственности за утечки данных положительно повлияет на ситуацию, но введение степени ответственности и смягчающих обстоятельств приведет к усложнению и затягиванию процесса доказывания утечки и наказания виновного, что нивелирует положительный эффект нововведения.
Представитель пресс-службы Ozon заявил РБК, что законопроект является важной мерой, стимулирующей бизнес к укреплению кибербезопасности, но предложенные в новой версии формулировки состава правонарушения создают критические риски для ИТ-отрасли, а потенциальная нагрузка на бизнес от оборотных штрафов нуждается в корректировке с учетом текущей экономической обстановки. «Принятие законопроекта в текущей версии может иметь негативные последствия для российского ИТ-рынка и нивелировать позитивный эффект от уже реализованных мер его поддержки. Надеемся, что документ будет скорректирован в диалоге с бизнесом и не будет нести дополнительных рисков для отрасли», — подчеркнул собеседник.
Представители VK, «Яндекса», HeadHunter отказались комментировать новые предложения в законопроект. РБК направил запрос в «Гемотест».
