Плата за утечку персональных данных
Размер компенсации морального ущерба гражданам, пострадавшим от утечки персональных данных, может зависеть от типа данных и составлять от 100 до 5 тыс. руб. на одного человека, пишут «Ведомости».
Компании, которые работают с персональными данными, могут обязать иметь финансовое обеспечение для выплат компенсаций клиентам, если сведения о них попадут в открытый доступ. Соответствующие поправки в законодательство прорабатывают в Совете по развитию цифровой экономики при Совете Федерации.
Эксперты пока не пришли к единому мнению о сумме, на которую смогут рассчитывать пострадавшие, разброс предложений - от 100 до 5 тыс. руб. на человека либо нематериальное возмещение вреда, например удаление данных из открытого доступа.
Со слов первого зампреда Комитета Совфеда по конституционному законодательству и госстроительству Артема Шейкина, Центробанк России уже поддержал создание системы вмененного страхования ответственности операторов, работающих с персональными данными. Случаи, когда людям удавалось защитить свои права на неприкосновенность личных сведений о них, в нашей стране уже есть, но их мало, а суммы, которые люди получали по суду - несущественные, отметил Шейкин. В результате подачи коллективного иска активным гражданам удавалось отсудить у компаний 100 и более тыс. руб., тогда как последствия утечки могли нанести пострадавшим куда больший вред.
Цена вопроса
Свои расчеты провели во Всероссийском союзе страховщиков (ВСС). Там разделили операторов по количеству данных, которые они обрабатывают. Крупные банки, операторы связи, цифровые экосистемы могут хранить сведения о миллионах людей, причем это будет весьма чувствительная финансовая информация. Маленькие региональные компании, оказывающие специфические услуги, тоже собирают персональные данные, но их объем куда меньше. В связи с этим в ВСС предложили варьировать размер страховой премии от 5 млн руб. для мелких до 1 млрд руб. для самых крупных участников рынка, рассказал председатель рабочей группы союза по страхованию информационных рисков Владимир Новиков.
Директор по аналитике АНО «Цифровая экономика» Карен Казарьян рассказал о том, что в расчете на человека может оказаться, что каждая строка личных сведений стоит не больше ста рублей. Но, если задаться вопросом, что стало с утекшими данными, каковы были последствия, в том числе репутационные или материальные, сумма может кратно увеличиться, заключил эксперт.
Согласно данным «Ведомостей», что касается ущерба россиянам, то его предложили возмещать в зависимости от категории утекших данных. Дороже всего оценили биометрию: в 5 тыс. руб. на человека за факт утечки. За специальные данные, то есть особо чувствительные сведения о людях, например за медицинские или данные детей, могут назначить компенсацию в 2 тыс. руб. Во всех остальных случаях выплата будет составлять 1 тыс. руб. Если в результате утечки был причинен вред жизни, здоровью или имуществу третьих лиц, то компенсации подлежит фактический ущерб, но не больше 50 тыс. руб.
Назначение компенсации и выплаты
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) России должен будет зафиксировать факт утечки данных, а пострадавшему придется доказать, что сведения о нем были в слитом наборе, и подать заявление в страховую организацию. После этого выплата будет произведена в автоматическом режиме.
Международный опыт
Россия - не единственная страна, где прорабатывают компенсации за утечки. Проблема актуальна для большинства развитых государств. На совещании в Совфеде эксперты проанализировали международный опыт.
На текущий момент максимальный размер штрафа за утечки информации в Великобритании и Евросоюзе (ЕС) составляет: Общий регламент Великобритании по защите данных (GDPR) и Закон о защите данных 2018 г. (DPA 2018) за утечку информации устанавливает штраф размером до 4% от годового оборота. Так, в 2019 г. British Airways за утечку персональных данных заплатила штраф более 183 млн фунтов стерлингов. GDPR ЕС устанавливает максимальный штраф также до 4% от годового оборота организации. В Великобритании не все нарушения GDPR приводят к штрафам. Управление комиссара по информации может предпринимать и другие действия, в том числе: вынести предупреждение; наложить временный или постоянный запрет на обработку данных; предписать удалить данные.
Эффективнее всего взыскивают ущерб в Соединенных Штатах. Там действуют серьезные штрафы за утечки, например, если в открытый доступ попадут медицинские данные, компания может заплатить до $1,5 млн, а если хотя бы один ее клиент выиграет дело против этой компании и ему назначат компенсацию, то к иску смогут присоединиться и другие пострадавшие. В США штрафовать могут несколько регулирующих органов, например, Федеральная торговая комиссия (FTC) может накладывать штраф до $40 тыс. за нарушение, и каждый последующий день несоблюдения закона считается отдельным нарушением. Так, в 2019 г. Facebook* (принадлежит организации Meta, которая признана экстремистской на территории России) была оштрафована на $5 млрд за нарушение конфиденциальности информации о своих пользователях.
Таким образом, такие меры наказания за утечки информации, как оборотные штрафы, в зарубежном законодательстве практикуются уже не один год. Введение оборотных штрафов в России с условием рассмотрения каждого случая индивидуально, с учетом всех смягчающих факторов и соразмерностью самих штрафов может стать для организаций эффективной и стимулирующей мерой развития информационной безопасности (ИБ) для шагов по защите себя и своих клиентов.
*Facebook (принадлежит организации Meta, которая признана экстремистской на территории России).
Поделиться
