В России будут выплачивать компенсацию за утечку персональных данных
Размер выплат для пострадавших от утечек персональных данных обсуждается в Минцифре, Совфеде и Госдуме. Мошенники активно используют эти данные, и только в 2022 году они сумели выманить более 14 миллиардов рублей у клиентов банков, согласно данным ЦБ. Если законопроект о наказании компаний за утечки будет принят с учетом предложений, пострадавшие смогут получать компенсации в размере от нескольких десятков до нескольких сотен рублей, сообщили эксперты, на которых ссылается издание «Аргументы и Факты».
Откуда будут брать деньги на выплаты
Сенатор Артем Шейкин предложил главе Минцифры РФ, Максуту Шадаеву, дополнить законопроект об оборотных штрафах для компаний, допустивших утечку персональных данных, положением о выплате компенсации пострадавшим гражданам. По мнению сенатора, общая сумма компенсации не должна быть меньше 20% от максимального размера штрафа, который составляет 3% от годового оборота компании, — передаёт pronedra.ru.
«Прошу рассмотреть внесение положений в законопроект со смягчающими обстоятельствами, включая компенсацию возможного вреда, нанесенного правам субъектов персональных данных, с целью пресечения злоупотреблений. Предлагается установить минимальный размер компенсации, составляющей не менее 20% от максимального размера штрафа, который предусмотрен для нарушителя», — заявил сенатор Шейкин в своем обращении к Минцифре.
Артем Шейкин также предлагает информировать граждан о краже их персональных данных через портал «Госуслуги». Он также подчеркнул необходимость применения оборотных штрафов для компаний уже с первого случая крупной утечки. В самом Минцифре предлагается обсудить нижнюю и верхнюю границы оборотных штрафов, которые могут составлять от 5 до 500 миллионов рублей, с участием парламентариев.
Сколько будут выплачивать за утечку персональных данных
Если законопроект о наказании за утечку персональных данных будет принят с учетом предложений сенатора Шейкина, то каждый пострадавший сможет рассчитывать на компенсацию в размере от нескольких десятков до нескольких сотен рублей. Генеральный директор компании Smart Engines и кандидат технических наук, Владимир Арлазаров, привел некоторые расчеты.
Давайте рассмотрим пример ретейлера ‘Спортмастер’, у которого в конце прошлого года произошла утечка персональных данных через одного из партнеров. Судя по количеству утекших номеров телефонов, этот инцидент затронул 1 178 116 человек. Данных об обороте компании в публичном доступе нет, но мы можем принять выручку компании за 2022 год как приближенное значение оборота. В случае ООО ‘Спортмастер’ выручка составила около 140 миллиардов рублей», — говорит Владимир Арлазаров.
«Минцифры предлагает установить максимальный штраф в размере 3% от оборота, то есть в данном случае штраф может достигать 4,2 миллиарда рублей. Общая сумма компенсации в 20% от оборота составляет 840 миллионов рублей. Таким образом, каждому пострадавшему полагается выплата в размере 713 рублей. Если максимальный штраф для любой компании будет ограничен 500 миллионами рублей, то пострадавшим в нашем примере будет выплачено всего 84 рубля и 88 копеек», — привел свои расчеты эксперт.
По мнению Владимира Арлазарова, даже если законодатели отклонят предложение о верхней границе штрафа в 500 миллионов рублей, компенсация за утечку персональных данных все равно будет непропорциональной рискам, с которыми сталкиваются жертвы таких утечек.
«Замечательно, что государство намерено принять решительные меры по борьбе с утечками информации, но размер компенсаций требует дальнейшего обсуждения. При определении стоимости набора персональных данных человека следует учитывать возможный ущерб, который мошенники могут причинить. Людей обманывают на десятки и сотни тысяч рублей, и нередки случаи, когда обманутые граждане лишаются всего своего сбережения, частично ответственность за это лежит на компаниях, допустивших утечку», — подчеркнул он.
Разговоры в Госдуме
Законопроект об оборотных штрафах еще не внесен в Государственную Думу, он проходит активную доработку в профильном комитете и Минцифре. Как заявил глава комитета Государственной Думы по информационной политике, информационным технологиям и связи, Александр Хинштейн, внесение законопроекта планируется на весеннюю сессию.
«Не сомневаюсь, что нельзя полагаться на добрую волю операторов персональных данных. Государство последовательно вводит порядок в этой сфере, но проблема утечек все еще актуальна, и недавние скандалы с ‘Леруа Мерлен’, ‘Буквоедом’ и ‘Твое’ лишь подтверждают это. Моя четкая позиция заключается в том, что компенсационный механизм, если он будет введен, не должен стать укрытием для компаний, и они не должны избегать ответственности», — отметил депутат.
Недавно Александр Хинштейн обратился к подписчикам своего Telegram-канала с вопросом о том, считают ли они, что компенсация является соразмерным наказанием для компаний, допустивших утечку. Из 4,5 тысячи участников опроса большинство выбрало вариант ответа «нет».
«Эта выборка не претендует на социологическое исследование, но общественный запрос очевиден. Из 4530 участников опроса 38% ответили ‘нет’, а 32% выбрали вариант ‘в зависимости от важности утекшей информации’. Другими словами, россияне устали от бесконечных утечек баз данных компаний, и их мнение должно быть учтено», — отметил он.
«Также необходимо тщательно оценить, с какой по счету крупной утечки будет применяться оборотный штраф для компании. Я уверен, что утечка хотя бы тысячи учетных записей является достаточным основанием для наложения серьезных санкций. В настоящее время операторы персональных данных часто относятся небрежно как к фактам утечки, так и к своей собственной информационной безопасности. Возможно, угроза значительных штрафов повлияет на их отношение к персональным данным россиян», — заключил Александр Хинштейн.
