Компании заплатят за утечки персональных данных

Размер компенсаций гражданам за слитую информацию о них обсуждают в Совете Федерации

Компании, которые работают с персональными данными, могут обязать иметь финансовое обеспечение для выплат компенсаций клиентам, если сведения о них попадут в открытый доступ. Соответствующие поправки в законодательство прорабатывают в Совете по развитию цифровой экономики при Совете Федерации. Эксперты пока не пришли к единому мнению о сумме, на которую смогут рассчитывать пострадавшие, разброс предложений — от 100 рублей до 5 тысяч рублей на человека либо нематериальное возмещение вреда, например удаление данных из открытого доступа. «Парламентская газета» узнала подробности.

Активистов мало, суммы невелики

Парламентарии и эксперты Совета по «цифре» при Совфеде обсуждают возможности сокращения утечек персональных данных, повышения уровня ответственности операторов и защищенности обладателей этих данных, то есть клиентов компаний самого разного профиля, в том числе путем использования инструментов страхования. Сенаторы разработали законопроект, которым предлагается ввести механизм страхования на случай утечек персональных данных в России, рассказал «Парламентской газете» первый зампред Комитета Совфеда по конституционному законодательству и госстроительству Артем Шейкин. Центробанк, по его словам, поддержал создание системы вмененного страхования ответственности операторов, работающих с персональными данными.

Случаи, когда людям удавалось защитить свои права на неприкосновенность личных сведений о них, в нашей стране уже есть, но их мало, а суммы, которые люди получали по суду, — несущественные, отметил Шейкин. В результате подачи коллективного иска активным гражданам удавалось отсудить у компаний сто тысяч рублей, тогда как последствия утечки могли нанести пострадавшим куда больший вред.

Сколько же на самом деле стоят персональные данные? Реальная цена набора данных — датасета, невелика, отметил директор по аналитике АНО «Цифровая экономика» Карен Казарьян. В расчете на человека может оказаться, что каждая строка личных сведений стоит не больше ста рублей. «Но, если задаться вопросом, что стало с утекшими данными, каковы были последствия, в том числе репутационные или материальные, сумма может кратно увеличиться», — заключил эксперт.

Сначала — докажи

Свои расчеты провели во Всероссийском союзе страховщиков (ВСС). Там разделили операторов по количеству данных, которые они обрабатывают. Крупные банки, операторы связи, цифровые экосистемы могут хранить сведения о миллионах людей, причем это будет весьма чувствительная финансовая информация. Маленькие региональные компании, оказывающие специфические услуги, тоже собирают персональные данные, но их объем куда меньше. В связи с этим в ВСС предложили варьировать размер страховой премии от пяти миллионов для мелких до одного миллиарда рублей для самых крупных участников рынка, рассказал председатель рабочей группы союза по страхованию информационных рисков Владимир Новиков.

Что касается ущерба гражданам, то его предложили возмещать в зависимости от категории утекших данных. Дороже всего оценили биометрию: в пять тысяч рублей на человека за факт утечки. За специальные данные, то есть особо чувствительные сведения о людях, например медицинские или данные детей, могут назначить компенсацию в две тысячи рублей. Во всех остальных случаях выплата будет составлять тысячу рублей. Если в результате утечки был причинен вред жизни, здоровью или имуществу третьих лиц, то компенсации подлежит фактический ущерб, но не больше 50 тысяч рублей, добавил Новиков.

Для назначения компенсации Роскомнадзор должен будет зафиксировать факт утечки данных, а пострадавшему придется доказать, что сведения о нем были в слитом наборе, и подать заявление в страховую организацию. После этого выплата будет произведена в автоматическом режиме.

Сначала штрафы, потом компенсации

Россия — не единственная страна, где прорабатывают компенсации за утечки. Проблема актуальна для большинства развитых государств, подчеркнул Артем Шейкин. На совещании в Совфеде эксперты проанализировали международный опыт. Эффективнее всего взыскивают ущерб в США. Там действуют серьезные штрафы за утечки, например, если в открытый доступ попадут медицинские данные, компания может заплатить до 1,5 миллиона долларов. А если хотя бы один ее клиент выиграет дело против этой компании и ему назначат компенсацию, то к иску смогут присоединиться и другие пострадавшие.

В Евросоюзе действуют уже оборотные штрафы за утечки, предполагающие выплату до четырех процентов от оборота компании, но не больше 20 миллионов евро. Такую же долю с оборота могут заплатить провинившиеся в Великобритания, но там потолок — 8,7 миллиона фунтов стерлингов. В Бразилии максимальный размер оборотного штрафа — 10 миллионов долларов США, в Индии — два миллиона.

В России крупные штрафы — только в проекте, который сейчас готовится ко второму чтению в Госдуме, там верхняя граница — 500 миллионов рублей. Ранее глава думского IT-комитета Александр Хинштейн сказал, что рассчитывает на принятие закона до конца 2024 года, а глава Минцифры Максут Шадаев на форуме SOC Forum 2024 подтвердил, что решение будет принято в этом году.

Находящийся в Госдуме законопроект не содержит поправок о компенсациях, их очевидно будут рассматривать в дальнейшем, уже после введения новых штрафов, заключил Артем Шейкин.