В Минцифры готовят законопроект, которым регулируется наказание для компаний, допустивших утечку персональных данных. Сейчас в ведомстве обсуждают предложение поставить размер оборотного штрафа в зависимость от стремления компании компенсировать убытки пострадавшим от утечки — если она возместит ущерб двум третям пострадавших, то штраф будет минимальным.
Источник изображения: Pixabay
Об этом пишет РБК со ссылкой на интервью министра цифрового развития, связи и массовых коммуникаций Максута Шадаева. Глава ведомства отметил, что законопроект должен содержать алгоритм, который бы предусматривал смягчающие обстоятельства при определении размера оборотного штрафа.
«Мы пытаемся сказать, что смягчающим обстоятельством для назначения минимального порога будет урегулирование вопросов с пострадавшими. Это самое сложное, такой конструкции просто нет. Мы говорим: двум третям тех граждан, чьи данные утекли, пожалуйста, компенсируйте ущерб. Если вы подписали соглашение, что вы урегулировали с ними вопросы, то идёте по нижней планке», — рассказал Максут Шадаев.
В пресс-службе Минцифры отметили сложность темы и подчеркнули стремление ведомства учесть мнения всех сторон. «Компания в добровольном порядке сможет выплатить компенсации и сообщить об этом в Роскомнадзор. Если данные подтвердятся в суде, штраф [за утечку] будет снижен. Это существенное послабление, так как в текущей версии законопроекта размер фиксированного штрафа для первого случая утечки может составлять до 10 млн руб.», — сообщил представитель пресс-службы. Он добавил, что при повторном нарушении будет взыскиваться оборотный штраф в размере до 3 %.
В настоящее время максимальный штраф за утечку персональных данных для бизнеса составляет 500 тыс. руб. Работа над законопроектом началась весной после целого ряда утечек данных у российских компаний, в том числе у сервисов «Яндекс.Еда», Delivery Club и медицинской лаборатории «Гемотест».
По мнению экспертов, реализация законопроекта в предлагаемом варианте столкнётся с рядом сложностей. Например, у ведущего эксперта по защите персональных данных консалтинговой компании Б-152 Максима Лагутина вызывает вопросы процесс выявления тех, кому принадлежат утекшие данные. «После утечки компаниям придётся выяснять, чьи данные утекли, что это за люди, каким-то образом связываться с ними, а если данных недостаточно, искать способы, как с ними связаться», — указал он, добавив, что даже если удастся уточнить, куда переводить деньги, сделать это с учётом требований законодательства будет непросто — «юридические департаменты компаний просто “сойдут с ума”».
Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян отметил, что любое усиление ответственности за утечки данных положительно отразится на положении дел, однако введение механизма определения степени ответственности за утечку и корректировки с учётом смягчающих обстоятельств приведёт к усложнению и затягиванию процесса наказания виновного, что сведёт на нет положительный эффект предлагаемых мер.
