МОСКВА, 22 июня. /ЭКСКЛЮЗИВ ТАСС/. Зампред Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин направил обращение главе Минцифры России Максуту Шадаеву, в котором просит определить в предлагаемом министерством проекте закона об оборотных штрафах для компаний за утечку персональных данных размер минимальной компенсации для пострадавших граждан. Также сенатор считает, что необходимо применять оборотные штрафы уже с первого случая крупной утечки.
"В положениях [законопроекта] со смягчающими обстоятельствами в виде компенсации возможного вреда, нанесенного правам субъектов персональных данных, с целью пресечения злоупотреблений прошу рассмотреть установление минимального размера такой компенсации, которая составляет не менее 20% от максимальной суммы причитающегося нарушителю штрафа", - говорится в обращении сенатора, имеющемся в распоряжении ТАСС.
В беседе с корреспондентом ТАСС Шейкин отметил, что подготовленный министерством законопроект предусматривает возможность для оператора, допустившего утечку персональных данных, получить минимальный размер штрафа, если он компенсирует ущерб большинству пострадавших. "Однако в проекте закона не прописана конкретная минимальная сумма этих компенсаций. Чтобы не допустить в будущем злоупотреблений с компенсационным механизмом от компаний, который может стать своеобразной лазейкой, нужно четко установить размер минимальной компенсации - 20% от максимального оборотного штрафа для привлекаемого к ответственности оператора. Это означает, что компания может избежать крупного штрафа только тогда, когда она выплатит компенсацию в объеме не менее 20% от максимальной суммы возможного штрафа", - уточнил парламентарий.
Другой важный, по его словам, аспект, такой как информирование граждан, пострадавших от утечки, "требует установления доступного порядка, поскольку лица, чья персональная информация была скомпрометирована, как правило, даже не знают о том, что их данные утекли". "Поэтому важно уведомлять граждан о произошедших утечках и полагающейся компенсации. Полагаю, способ оповещения через портал "Госуслуги" будет проверяемым механизмом, однако необходимо предусмотреть разумный срок для такой компенсационной работы нарушителя и связать его с объемом утекших персональных данных, поскольку можно предположить, что уведомить две трети от 1 млн субъектов персональных данных за 45 дней вряд ли реализуемо", - отметил зампред Совета по развитию цифровой экономики при Совфеде.
Кроме того, Шейкин отметил, что в разработанном Минцифры законопроекте за крупные утечки персональных данных более 100 тыс. субъектов и базы данных более 1 млн идентификаторов персональных данных предусматриваются штрафы для юридических лиц от 5 до 10 млн рублей, а оборотные штрафы - от 0,1% до 3% от оборота компании за предшествующий год - предлагается применять в случае, если такая ситуация повторится.
"Считаю, что необходимо применять оборотный штраф сразу за первую утечку, в случае если она крупная или же если эта утечка специализированной категории данных или биометрических данных. На примере состоявшейся утечки данных из сервиса "Яндекс.Еда" мы видим, что масштаб персональных данных и с первого раза может быть таким значительным, что повторная утечка может и не понадобиться. Компании должны четко понимать, что нельзя халатно относиться к персональным данным", - сказал парламентарий.
Шейкин в своем обращении просит Шадаева рассмотреть эти предложения и предоставить ответ до 1 июля.
Доработка законопроектов
Глава думского комитета по информационной политике, информационным технологиям и связи Александр Хинштейн рассказал ТАСС, что итоговый вариант законопроектов, усиливающих ответственность за утечки персональных данных вплоть до уголовной, сейчас дорабатывают. "Рассчитываем, что это произойдет максимально быстро. Задача - внести [законопроекты] в весеннюю сессию", - сказал депутат.
По его словам, в обсуждаемой редакции законодательной инициативы предусматриваются смягчающие обстоятельства для компаний в случае утечек. "Но дальше уже детали, как эти обстоятельства будут работать, и они являются предметом нашего сегодняшнего диспута, потому что здесь крайне важно, чтобы это не являлось попыткой откупиться малой кровью. То есть, если людям будут предлагать купон на скидку, как ранее, и за это штрафы будут кратно снижены, мне кажется, это будет несправедливо", - считает Хинштейн. Он рассчитывает, что подходящие решения всех спорных моментов будут найдены в ближайшее время.
Президент России Владимир Путин ранее поручил рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных, в срок до 1 июля. В декабре 2022 года Шадаев сообщал, что министерство подготовило законопроект, согласно которому штраф может составить до 3% от оборота компании. В середине марта он говорил, что в министерстве рассчитывают на рассмотрение законопроекта в комитете Госдумы по информационным технологиям в апреле. Шадаев подчеркивал, что финальная версия документа уже готова.
Замглавы Роскомнадзора Милош Вагнер сообщал в интервью ТАСС, что операторы персональных данных, которые выявили у себя утечки данных, а потом выплатили компенсации пострадавшим пользователям, смогут платить штрафы в минимальном размере. Ранее замглавы Роскомнадзора сообщал о проработке механизма получения компенсаций через госуслуги для пострадавших от утечек данных. По словам Вагнера, в случае выявления утечек данных операторы должны сами через портал "Госуслуги" сообщать своим клиентам и пользователям о случившемся и предлагать компенсацию.