Если компания, допустившая утечку данных пользователей, компенсирует двум третям пострадавших нанесенный ущерб, она сможет рассчитывать на минимальное наказание. Об этом РБК рассказал министр цифрового развития, связи и массовых коммуникаций Максут Шадаев. Речь идет о регулировании и соответствующем законопроекте, над которым министерство работает с весны этого года. Разработка началась на фоне инцидентов, когда у российских компаний, в том числе сервисов «Яндекс.Еда», Delivery Club и медицинской лаборатории «Гемотест», произошли крупные утечки данных пользователей.
По словам Шадаева, главная сложность заключается в том, чтобы прописать в законопроекте конструкцию, которая будет предусматривать минимальный и максимальный проценты оборотного штрафа. «Мы пытаемся сказать, что смягчающим обстоятельством для назначения минимального порога будет урегулирование вопросов с пострадавшими. Это самое сложное, такой конструкции просто нет. Мы говорим: двум третям тех граждан, чьи данные утекли, пожалуйста, компенсируйте ущерб. Если вы подписали соглашение, что вы урегулировали с ними вопросы, то идете по нижней планке», — рассказал Максут Шадаев.
Представитель пресс-службы Минцифры не пояснил, каким образом будет проводиться расчет числа пострадавших, которым компенсировали ущерб. «Компания в добровольном порядке сможет выплатить компенсации и сообщить об этом в Роскомнадзор. Если данные подтвердятся в суде, штраф [за утечку] будет снижен. Это существенное послабление, так как в текущей версии законопроекта размер фиксированного штрафа для первого случая утечки может составлять до 10 млн руб.», — отметил он. При повторном нарушении, по его словам, будет применяться оборотный штраф в размере до 3%. «Сумма штрафа зависит от объема утекших данных. Чем он выше, тем больший штраф придется заплатить компании, — говорит представитель Минцифры. — Мы хотим, чтобы бизнес не только вкладывался в защиту данных, но и понимал свою ответственность перед гражданами». Он также подчеркнул, что в министерстве понимают, «насколько это сложная тема и сложный законопроект», и при его подготовке «стараются учесть мнения всех сторон».
В апреле Минцифры заявило о намерении ввести оборотные штрафы для компаний, допустивших утечку персональных данных. Обсуждалось, что штраф составит до 1% от оборота. Сейчас максимальный штраф за утечку персональных данных для бизнеса составляет 500 тыс. руб.
В июле представители бизнеса предложили трехступенчатую систему наказания за утечки: если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение; в случае повторной компрометации — заплатить крупный штраф; при третьей утечке — оборотный штраф. После этого Минцифры разъясняло, что при первой утечке персональных данных клиентов компания будет платить штраф, соразмерный объему попавшей в Сеть информации, при повторном случае будет налагаться оборотный штраф. При этом планируется учитывать смягчающие и отягчающие обстоятельства. Последним может стать сокрытие информации об утечке. Также в Минцифры заявили о вероятности появления компенсационного фонда, в который направлялись бы собранные штрафы для выплат компенсаций пострадавшим. В Минцифры заявляли, что фонд бы действовал по аналогии с Агентством по страхованию вкладов, выплачивающим возмещения вкладчикам банков при наступлении страховых случаев.
Но, как пояснил РБК Максут Шадаев, конструкция с компенсацией двум третям пострадавших обсуждается вместо создания компенсационного фонда.
Предложенный вариант регулирования вызвал вопросы у экспертов. Ведущий эксперт по защите персональных данных консалтинговой компании Б-152 Максим Лагутин отметил, что непонятно то, как именно будут выявлять, кому принадлежат утекшие данные. «После утечки компаниям придется выяснять, чьи данные утекли, что это за люди, каким-то образом связываться с ними, а если данных недостаточно, искать способы, как с ними связаться, — указал он. — При этом у компаний не всегда есть простые способы массово выплатить компенсацию. Даже если удастся уточнить, куда переводить деньги, юридические департаменты компаний просто «сойдут с ума».
Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян отметил, что юристы компаний, допустивших утечки, могут «торговаться» с пострадавшими пользователями, «предлагать им копейки». По его мнению, любое усиление ответственности за утечки данных положительно повлияет на ситуацию, но введение степени ответственности и смягчающих обстоятельств приведет к усложнению и затягиванию процесса доказывания утечки и наказания виновного, что нивелирует положительный эффект нововведения.
Представитель пресс-службы Ozon заявил РБК, что законопроект является важной мерой, стимулирующей бизнес к укреплению кибербезопасности, но предложенные в новой версии формулировки состава правонарушения создают критические риски для ИТ-отрасли, а потенциальная нагрузка на бизнес от оборотных штрафов нуждается в корректировке с учетом текущей экономической обстановки. «Принятие законопроекта в текущей версии может иметь негативные последствия для российского ИТ-рынка и нивелировать позитивный эффект от уже реализованных мер его поддержки. Надеемся, что документ будет скорректирован в диалоге с бизнесом и не будет нести дополнительных рисков для отрасли», — подчеркнул собеседник.
Представители VK, «Яндекса», HeadHunter отказались комментировать новые предложения в законопроект. РБК направил запрос в «Гемотест».
Екатерина Ясакова