Российская Ассоциация больших данных (АБД) выступила против инициативы Минцифры по созданию фонда для выплат компенсаций пострадавшим от утечек персональных данных пользователям.
В АБД входят «Яндекс», VK, «Сбер», «Ростелеком» и другие IT-компании. Представители бизнеса считают, что компенсационный фонд Минцифры потребует бюджетных вложений для ведения своей деятельности, а объём выплат из него каждому пострадавшему пользователю окажется незначительным. Причём при условии такой выплаты пользователи не смогут обратится в суд с иском против компании для взыскания компенсации за моральный вред.
Ассоциация пояснила, что для предотвращения утечек компаниям нужно проводить аудит своих информационных систем, модернизировать системы защиты, а не тратить собственные средства для перечисления в такой фонд.
В АБД добавили, что Минцифры даже не предложило единую методику расчёта компенсации. Экспертам непонятно, как ведомство будет учитывать реальную степень защищённости данных и виновность компании в утечке. В ассоциации опасаются, что после введения фонда компании не будут инвестировать в кибербезопасность, а займутся отписками в сторону регуляторов и поиском любых способов избежать ответственности за утечки, списав их на партнёров, уволенных ранее сотрудников или атаки хакеров.
Проблема в том, что только с начала года в общий доступ попали данные десятков миллионов пользователей разных сервисов из российских компаний. Штрафы за эти утечки сейчас составляют по ч. 1 ст. 13.11 КоАП РФ (за нарушение законодательства в области персональных данных) от 60 тыс. рублей до 100 тыс. рублей. Фактически операторы персональных данных сейчас ничем не рискуют, если потеряют базы данных тысячи и более пользователей.
Компании после подтверждения факта утечек не выплачивают пострадавшим пользователям компенсации. Роскомнадзор считает, что клиенты компаний, пострадавшие от компрометации персональных данных, имеют право требовать от виновного лица соразмерной компенсации как в досудебном, так и в судебном порядке.
С другой стороны, доказать ущерб гражданам от утечки их персональных данных в суде даже в групповом иске непросто, так как компании после утечек максимально пытаются дистанцироваться от этой ситуации. В итоге суд может присудить символические компенсации.
В российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое надзорное ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов. В законе нет обозначения, что является новой утечкой и как понять, что это не предыдущая. Компаниям проще заявлять, что это старая утечка и прикрываться предупреждением от РКН или небольшим штрафом. В Минцифры пояснили СМИ, что сейчас ведомство с рядом крупных IT-компаний прорабатывает механизм таких компенсаций. В том числе на обсуждении находится способ определения объёма выплат, условий получения компенсации и другие детали.
В начале октября Минцифры предложило ввести персональную ответственность для должностных лиц за утечки персональных данных (ПД) пользователей. В новой версии законопроекта об оборотных штрафах за утечки персональных данных предусмотрены штрафы не только для компаний, но и для их должностных лиц. Так, для руководителей компании, допустившей утечку данных от 10 тыс. до 100 тыс. субъектов ПД, штраф составит 200 тыс. – 400 тыс. рублей. Для ИП и юрлиц штраф за такой же инцидент составит 0,02% от оборота, но не менее 1 млн рублей.
29 августа Минцифры предложило ввести оборотные штрафы для компаний за утечку персональных данных более 10 тыс. клиентов и предложить проведение добровольного ежегодного аудита для операторов персональных данных.
19 августа Минцифры сообщило, что ведомство планирует создать фонд материальных компенсаций для граждан, пострадавших от утечек персональных данных из компаний. Предполагается, что в качестве финансовых средств в фонде будут использоваться оборотные штрафы, наложенные на компании за утечку данных.
Эксперты отрасли считают эту инициативу правильной, так как сейчас все штрафы идут в бюджет. Они опасаются, что разработка и утверждение механизма компенсаций может затянуться на длительное время, а участники рынка будут стараться минимизировать свои риски даже в этой ситуации.
Представители IT-компаний рассказали СМИ, что «создание фонда в любом случае — шаг вперёд, при этом компенсация должна зависеть от реального или потенциального ущерба пользователя, но определить его бывает сложно, и практики для ориентира сейчас нет».
Юристы уточнили, что в данной ситуации неясно, придётся ли пострадавшим гражданам обосновывать ущерб от утечки и доказывать его со своей стороны. В этом случае только некоторые самые продвинутые пользователи смогут получить компенсацию. А вот если компенсация от утечки будет разделена поровну между всеми пострадавшими пользователями, то сумма выплаты одному человеку может оказаться совсем небольшой. При условии получения штрафа в 1 млрд рублей и утечки данных 2,5 млн пользователей выплаты каждому составят 400 рублей. Причём при этом не учитываются затраты на оказание таких выплат, сбора данных по утечкам, перечисление от компании денег в фонд и потом каждому пользователю. В итоге может оказаться, что компенсация в этом случае будет менее 100 рублей, а пользователь после её получения, например, не сможет обратиться в суд против компании по этой утечке как физлицо или группа пострадавших лиц.
18 августа московский суд оштрафовал Delivery Club на 80 тыс. рублей за утечку персональных данных более 2 млн пользователей сервиса и более 130 тыс. курьеров.
2 августа суд повторно оштрафовал «Яндекс.Еду» на 60 тыс. руб. за утечку персональных данных. Административное наказание было наложено за инцидент с утечкой информации о курьерах, а ранее аналогичный штраф был наложен судом на «Яндекс» за утечку данных пользователей. Фактически «Яндекс» получил второй административный штраф за одну ту же утечку, как заверяет компания.
В конце мая Минцифры согласовало законопроект с оборотным штрафом в 1% за утечки и 3%, если компания попытается скрыть инцидент.
В начале июля Минцифры сообщило, что работает над законопроектом, предусматривающим уголовную ответственность для представителей компаний, которые допустили утечку персональных данных с тяжкими последствиями.
12 июля Минцифры пояснило, что ведомство против предупреждения компаний за первую утечку персональных данных и предлагает сразу штрафовать, причем соразмерно объёму слитой информации. В случае повторной утечки компаниям будут грозить серьёзные оборотные штрафы.
