В Минцифры хотят уменьшить штрафы за утечку данных
Для этого компания, допустившая утечку, должна скомпенсировать ущерб двум третям пострадавших. Но пока не ясно, как подсчитывать количество жертв
Издание РБК сообщило со ссылкой на министра цифрового развития, связи и массовых коммуникаций Максута Шадаева, что в Минцифры работают над законопроектом, который позволит компаниям, допустившим утечку данных, получить штраф меньшего размера. По словам министра, работа над законопроектом ведётся с весны этого года, она началась на фоне инцидентов, когда у российских компаний, в том числе у сервисов «Яндекс Еда», Delivery Club и медицинской лаборатории «Гемотест», произошли крупные утечки данных пользователей. Предполагается, что если компания компенсирует двум третям пострадавших нанесённый в результате утечки персональных данных ущерб, то она сможет получить минимальный размер оборотного штрафа.
По словам Шадаева, главная сложность заключается в том, чтобы прописать в законопроекте конструкцию, которая будет предусматривать минимальный и максимальный проценты оборотного штрафа. Министерство предлагает считать компенсацию ущерба смягчающим обстоятельством: если с двумя третями граждан, чьи данные утекли, вопрос был урегулирован и подписано соответствующее соглашение, то компания «идёт по нижней планке», то есть, может отделаться минимальным штрафом. Министр отметил, что компании необходимо в добровольном порядке выплатить компенсации и сообщить об этом в Роскомнадзор. Если данные подтвердятся в суде, штраф будет снижен. Шадаев также обратил внимание, что это существенное послабление, поскольку в текущей версии законопроекта размер фиксированного штрафа для первого случая утечки может составлять до 10 млн рублей, а при повторном нарушении будет применяться штраф в размере до 3% от оборота компании. Кроме того, сумма штрафа зависит от объёма утёкших данных — чем он выше, тем больший штраф придётся заплатить.
При этом пока не ясно, каким образом будет проводиться расчёт числа пострадавших, которым компенсировали ущерб. У экспертов к такому варианту регулирования имеются вопросы, пишет РБК. К примеру, непонятно, как именно будут выявлять, кому принадлежат утекшие данные. После утечки компаниям придётся выяснять, чьи данные попали в открытый доступ и как связаться с этими людьми, также, с юридической точки зрения, могут возникнуть трудности с массовой выплатой компенсаций. Кроме того, юристы компаний, допустивших утечки, могут торговаться с пострадавшими, предлагая им «копейки», а это может привести к усложнению и затягиванию процесса доказывания утечки и наказания виновных. В Минцифры, в свою очередь, считают, что бизнес должен не только вкладываться в защиту данных, но и понимать свою ответственность перед гражданами.