Механизм компенсации за ущерб при утечке персональных данных и установление факта самого нарушения вызвал у экспертов больше всего вопросов. Минцифры предлагает создать компенсационный фонд, из средств которого предполагается возмещать ущерб тем пользователям, кто столкнулся с убытками в результате утечки данных. О том, что Минцифры обсуждает с рядом крупных IT-компаний возможность создания фонда, сообщила газета «Коммерсант», информацией с которой поделились источники, близкие к диалогу. Как сказали изданию в ведомстве, механизм компенсаций пока прорабатывается, как и определяются условия, при которых можно претендовать на выплаты.

Персональные данные
Персональные данные

В конце мая, по сообщению издания, Минцифры согласовало законопроект, ужесточающий ответственность компаний за утечку персональных данных клиентов и предусматривающий введение оборотного штрафа в 1%, который может вырасти до 3% в случае, если допустившая утечку компания не уведомит Роскомнадзор об инциденте в течение суток. Как тогда сообщили источники издания, законопроект был на финальной стадии разработки. Но в середине июля ведомство сообщило на своем сайте, что по итогам обсуждений с отраслью, министерство готовит изменения в законопроект об оборотных штрафах за утечки персональных данных. Собственно здесь ведомство и обозначило «основные изменения» и разъяснило свою позицию, предполагающую, как говорится в сообщении, введение механизма «аккредитации и страхования, с помощью которого можно будет регулярно подтверждать соответствие компаний всем требованиям по уровню безопасности» и возможное создание спецфонда по аналогии с АСВ (Агентство по страхованию вкладов).

«Важно определить, куда будут расходоваться собранные штрафы. Один из вариантов — выплаты компенсаций гражданам, пострадавшим от утечек. Может быть создан специальный фонд, который будет действовать по аналогии с «Агентством по страхованию вкладов», выплачивающим возмещения вкладчикам банков при наступлении страховых случаев», — сообщалось 12 июля на сайте Минцифры.

В министерстве поясняли, что планируют определить, что именно является объектом утечки персональных данных, а также механизм установления вины конкретной компании.

«Например, оператор мобильной связи хранит данные, содержащие номер телефона и ФИО абонента, но «утечь» такие данные могут и из базы интернет-магазина. Кроме того, мошенники часто продают «склейки» из разных баз, выдавая их за утекшие из конкретных компаний данные», — говорилось в сообщении Минцифры.
Под защитой
Под защитой
(сс) TheDigitalWay

Тут же ведомство сообщало о том, что планируется установить соразмерность штрафов за утечки объемам и критичности персональных данных, появившихся в незаконном обороте, а также о том, что штрафы будут применяться в два этапа: на первом — штраф будет фиксированным, размер которого будет зависеть от объема утекших данных, второй этап предполагал оборотный штраф — в том случае, если компания допустила повторную утечку, при этом планировалось предусмотреть смягчающие и отягчающие обстоятельства, от которых будут отталкиваться при определении размера штрафа.

Как указывало Минцифры, если компания «приложила максимум усилий к защите информации, это будет расцениваться как смягчающее обстоятельство», но, если «скрывала факт утечки, это может стать отягчающим обстоятельством», что повлечет максимальное наказание. Предполагалось, что процедура добровольной аккредитации компаний по критериям информационной безопасности, которая, возможно, будет связана с механизмом страхования профессиональной ответственности, как раз и может стать подтверждением мер, принятых для защиты от утечек и рассматриваться в качестве смягчающего обстоятельства. При этом аккредитация, как отмечало Минцифры, «потребует проведения регулярных аудитов профессиональными компаниями, которые смогут подтвердить выполнение всех необходимых требований».

«Реальный уровень защиты, действующий в компаниях, сейчас определить сложно. Для этого Минцифры предлагает ввести механизм аккредитации и страхования, с помощью которого можно будет регулярно подтверждать соответствие компаний всем требованиям по уровню безопасности», — сообщалось на сайте ведомства.

Таким образом ведомство планирует стимулировать бизнес инвестировать в развитие инфраструктуры информационной безопасности и в защиту персональных данных пользователей. Со ссылкой на данные InfoWatch «Коммерсант» сообщает, что в первом полугодии в России на 45,9% увеличилось число случаев утечки данных по сравнению с аналогичным периодом прошлого года. Объем утекшей информации увеличился более чем в 16 раз, составив 187,6 млн записей. При этом, как отмечает Минцифры, статьей 13.11 Административного кодекса, которой регулируются нарушения в сегменте персональных данных, максимальное наказание предполагает штраф в 500 тыс. рублей для юридических лиц.

Например, напоминает издание, 18 августа московский суд оштрафовал Delivery Club на 80 тыс. рублей за утечку персональных данных более 2 млн пользователей сервиса и более 130 тыс. курьеров, а «Яндекс» ранее получил два штрафа в размере 60 тыс. руб. каждый. Оборотные штрафы, на введении которых настаивает Минцифры, как говорится на сайте ведомства, будут исчисляться в процентах от выручки компаний: так, оборотный штраф в 1% для компании с выручкой в 100 млрд рублей составит 1 млрд рублей. Введение оборотных штрафов за утечку персональных данных поддерживает и Комитет Госдумы по информполитике.

Delivery Club
Delivery Club
Руслан Шамуков © ИА REGNUM
«Бизнес должен быть мотивирован сохранять данные пользователей в безопасности, потому что штраф в 60 тыс. руб. за утечку «Яндекс. Еды» — это насмешка над здравым смыслом», — цитировало ранее издание «Коммерсант» главу комитета Александра Хинштейна, по мнению которого, принятие такого законопроекта заставит бизнес вкладывать больше средств в развитие своих систем информационной безопасности.

Напомним также, что 2 августа «Ведомости» сообщали о том, что перед уходом на летние каникулы Госдума в третьем чтении проголосовала за поправки к ФЗ-152 «О персональных данных», которыми операторов обяжут отслеживать кибератаки и утечки личной информации граждан, а также отправлять отчеты о таких случаях в контролирующие органы. Предполагается, что осенью Совет Федерации примет закон и после утверждения у президента он вступит в силу. В теории, как говорил руководитель отдела аналитики «Серчинформа» Алексей Парфентьев, это значит, что оборот и хранение наших данных станут безопаснее, а на практике — почти 80% операторов персональных данных могут столкнуться с проблемами: у бизнеса нет инструментов для выявления проблем с утечкой данных — средства подобного контроля, согласно исследованию компании, есть только чуть больше чем у трети таких операторов.

Персональные данные сейчас обрабатывают не только крупные IT-компании и банки, но и небольшие предприятия, например, из сферы услуг и ритейла, которые редко инвестируют в кибербезопасность, отмечал в мае этого года собеседник «Коммерсанта» на рынке информбезопасности. Если организация не вкладывается в защиту информации, оперативно провести расследование, по словам эксперта центра продуктов Dozor компании «РТК-Солар» Алексея Кубарева, будет значительно сложнее. Часто, как сказал эксперт, в таких случаях компания узнает об утечке из СМИ или соцсетей.

Персональные данные
Персональные данные
TheDigitalWay

Теперь же все те, кто обрабатывает или хранит персональные данные, по словам Парфентьева, должны будут устанавливать правила доступа к персональным данным, хранящимся или обрабатывающимся в инфраструктуре; регистрировать все операции с персональными данными, которые совершают процессы или пользователи; отслеживать факты утечек по вине сотрудников и неправомерного доступа к системам обработки данных извне; выявлять инциденты и сообщать о произошедшем — в случае кибератаки — в ГосСОПКА, а в случае утечки по вине сотрудника — в Роскомнадзор. И на это компаниям, по словам аналитика, отводятся одни сутки. Кроме того, необходимо будет определять виновных, причины, вред от инцидента и отправлять регуляторам результаты внутреннего расследования, которое нужно будет успеть провести за 72 часа.

«Главное — действовать, а не полагаться на русское «авось пронесет». Есть все основания полагать, что вслед за требованием отчетности об утечках государство начнет серьезно за них штрафовать — обсуждаются варианты штрафов в размере до 3% от оборота (в случае сокрытия факта слива). Пока это инициатива, но она активно прорабатывается на всех уровнях. У меня нет никаких сомнений — законодательство о защите персональных данных граждан РФ будет и дальше идти по пути ужесточения. Поэтому времени рассуждать, нужна ли вам защита, больше нет», — резюмировал Парфентьев в «Ведомостях».

Комментируя идею создания компенсационного фонда, глава комитета по информационной безопасности АРПП «Отечественный софт» Роман Карпов сказал «Коммерсанту», что это может повысить зрелость компаний в части организации защиты информации. Относительно же механизма реализации этой идеи, по его словам, важно предусмотреть создание соответствующего цифрового сервиса на «Госуслугах» для выплаты компенсаций. До сих пор неясно, придется ли гражданам, пострадавшим от утечки, обосновывать ущерб и доказывать его, «в этом случае компенсацию смогут получить единицы», заявил директор центра разработки Artezio Дмитрий Паршин. Если же компенсация будет разделена между всеми жертвами утечек, говорит он, то сумма на каждого может оказаться незначительной. По мнению GR-директора «СерчИнформ» Ольги Минаевой, компенсация должна зависеть от реального или потенциального ущерба пользователя, но определить его бывает сложно, и практики для ориентира сейчас нет.

Компенсация
Компенсация
Дарья Антонова © ИА REGNUM

Отметим, в начале ноября 2020 года «Российская газета» сообщала, что судебная практика по защите персональных данных в России только начала формироваться и ведущая роль в таких спорах принадлежит Роскомнадзору. При этом, как указывала газета, если в Европе предусмотрены штрафы до 4% от оборота компании, что заставляет организации ответственно подходить к вопросам защиты персональных данных, то штрафы Роскомнадзора за нарушение прав субъектов персональных данных доходят лишь до 75 000 рублей. Причем, чтобы взыскать через суд ущерб от утечки данных, нужно доказать не только факт нарушения, но и размер своих убытков от разглашения, а также причинно-следственную связь между нарушением и ущербом.

Как пояснял тогда Верховый суд (ВС РФ), Роскомнадзор не только имеет право обратиться в суд с иском в защиту субъектов персональных данных, в том числе и неопределенного круга лиц, но и представлять интересы пострадавших в порядке гражданского судопроизводства. Кроме того, ВС РФ со ссылкой на ст. 26 Гражданского процессуального кодекса (ГПК) отмечал, что иски о защите прав субъекта персональных данных, в том числе об убытках или компенсации морального вреда, можно предъявлять в суд по месту жительства истца. В свою очередь «Аргументы и Факты» в июне этого года сообщили, что пользователи также могут защитить свои права в суде с помощью закона «О защите прав потребителей». Свои интересы, пишет издание, граждане могут защищать самостоятельно или через организации, в том числе через Роспотребнадзор.