Власти определились с размером наказаний для бизнеса за утечки персональных данных, но не могут договориться о компенсациях для пострадавших. Поправки, которые предполагают многомилионные штрафы, уже направлены на согласование в правительство, пишет РБК. По информации издания, их сумма будет зависеть от нескольких факторов. Но самый большой штраф составит 500 млн руб. или 3% от годового оборота компании. Подробности — у Владислава Викторова.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
Больше года властям потребовалось на то, чтобы разработать окончательный вариант законопроекта о штрафах для бизнеса за утечку персональных данных. Документ, который поступил в правительство, предполагает, что размер наказания будет зависеть от масштаба скомпрометированных данных. Так, если в результате кражи информации пострадали до 10 тыс. граждан, штраф будет варьироваться от 3 млн руб. до 5 млн руб.
До 15 млн руб. грозит за утечку сведений более 100 тыс. россиян. Строже хотят наказывать за утечку биометрических данных — до 20 млн руб. И хотя на первый взгляд кажется, что в документе сформулирован гибкий подход, на практике все может оказаться иначе, что и не устраивает бизнес, говорит президент Ассоциации компаний интернет-торговли Артем Соколов:
«Сам законопроект с бизнесом не обсуждался, несмотря на неоднократные соответствующие просьбы. Текст мы до сих пор не видели. По имеющейся информации, в законопроекте остались нерешенными ключевые проблемы.
Это безвиновная ответственность, когда компания выполнила все требования по обеспечению защищенности, но хакер все равно добился своего — вскрыл базу данных. В таких случаях организация понесет наказание. Более того, там нет порядка верификации баз данных, когда любую из них, в том числе открытых данных, например, из соцсетей, можно объявить утечкой».
Наибольшие опасения бизнеса вызывает пункт об оборотных штрафах. Он будет применяться только при повторной утечке данных более тысячи пользователей. В этом случае размер наказания может достигать 3% от оборота компании, но не больше 500 млн руб. В апреле прошлого года глава Минцифры Максут Шадаев отдельно оговаривал, что власти будут учитывать смягчающие обстоятельства. Например, если компания приложила всевозможные усилия для защиты информации.
Поскольку кража данных нередко происходит у небольших компаний, то оборотный штраф может оказаться для них очень серьезным ударом. Поэтому учитывать степень вины необходимо, уверен эксперт по информационным технологиям Сергей Кулешов:
«Если произошло какое-то ЧП, причинен ущерб, независимо от того, были приняты все меры или нет, определенная ответственность наступать должна. Какая именно, должно зависеть в том числе от того, были ли использованы все необходимые средства для защиты, нет ли умысла, халатности при хранении и обработке персональных данных. Но, по идее, этим всегда занимается суд.
Законодательная мера должна давать возможность суду определить, какова доля ответственности конкретного субъекта».
Авторы законопроекта объясняют необходимость введения строгого наказания за утечки статистикой компании «Лаборатория Касперского». Там подсчитали, что в прошлом году было зафиксировано почти 200 случаев публикации в открытом доступе чувствительных баз данных российских компаний. В сети оказалось свыше 2 млрд записей. Но итоговый документ не предусматривает никаких компенсаций для пострадавших, что не устраивает Минцифры, пишут «Ведомости».
Хотя сейчас у россиян есть возможность получить компенсации, говорит руководитель практики интеллектуальной собственности юридической фирмы DRC Владимир Ожерельев: «Я не помню ни одной страны, где была бы конкретно прописана компенсация пострадавшим субъектам. Она взыскивается в общем порядке гражданского законодательства, исходя из причиненных убытков и морального ущерба.
В России сейчас так, можно получить какое-то возмещение, но, как правило, оно крайне мало. Утечкой и в принципе причиненным моральным вредом очень сложно обосновать большой размер компенсации. В отношении нее можно менять подход, по которому, может быть, субъекты получали бы больше. Формально все механизмы есть».
На этот случай в документе еще может появиться пункт об обязательном страховании пользователей от утечек, пишут «Ведомости». Хотя эксперты сомневаются, что бизнес согласится, ведь тогда в случае инцидента ему придется признавать свою вину. А на это готовы далеко не все компании.
С нами все ясно — Telegram-канал "Ъ FM".