Минцифры, Совфед и Госдума обсуждают размер выплат для пострадавших от утечек персональных данных. Этими данными пользуются мошенники, которые в 2022 году, согласно данным ЦБ, сумели выманить только у клиентов банков более 14 миллиардов рублей. Если законопроект о наказании компаний за утечки будет принят с учетом поступивших предложений, то пострадавшие станут получать выплаты от нескольких десятков до нескольких сотен рублей, рассказали aif.ru эксперты.
Откуда возьмут деньги на выплаты
Сенатор Артем Шейкин предложил главе Минцифры РФ Максуту Шадаеву дополнить законопроект об оборотных штрафах для компаний за утечку персональных данных положением о выплате компенсации пострадавшим гражданам. По мнению сенатора, общий размер компенсации не должен быть меньше 20% от максимальной суммы штрафа, которая установлена на уровне 3% от годового оборота компании.
«В положениях [законопроекта] со смягчающими обстоятельствами в виде компенсации возможного вреда, нанесенного правам субъектов персональных данных, с целью пресечения злоупотреблений прошу рассмотреть установление минимального размера такой компенсации, которая составляет не менее 20% от максимальной суммы причитающегося нарушителю штрафа», — сказано в обращении сенатора Шейкина к Минцифры.
Информировать граждан о том, что их персональные данные были украдены, Артем Шейкин предлагает через портал «Госуслуги». Также сенатор заявил, что применять оборотные штрафы для компаний необходимо уже с первого случая крупной утечки. Кроме того, в самом Минцифры предлагают парламентариям обсудить нижнюю и верхнюю границы оборотного штрафа в пределах от 5 до 500 миллионов рублей.
Сколько денег выплатят за утечку
«Возьмем, к примеру, ретейлера „Спортмастер“, у которого в конце прошлого года случилась утечка персональных данных через одного из партнеров. Судя по числу утекших номеров телефонов, этот инцидент затронул 1 178 116 человек. Данных об обороте компании в публичном доступе нет, но в данном случае допустимо приравнять оборот к выручке. За 2022 год выручка ООО „Спортмастер“ составила без малого 140 миллиардов рублей», — рассказал Владимир Арлазаров.
«Минцифры предлагает установить максимальный штраф в 3% от оборота, то есть в данном случае штраф составил бы до 4,2 миллиарда рублей. Общий размер компенсации в 20% от оборота — это 840 миллионов рублей. Значит, каждый из пострадавших людей получил бы 713 рублей. В том случае, если максимальный штраф для любой компании будет ограничен 500 миллионами рублей, то в нашем примере жертвам утечки полагалась бы выплата лишь в 84 рубля и 88 копеек», — подсчитал эксперт.
По мнению Владимира Арлазарова, даже если законодатели отвергнут положение о верхней границе штрафа в 500 миллионов рублей, компенсация за утечку персональных данных все равно будет неадекватна тем рискам, которым подвергаются жертвы утечек.
«Замечательно, что государство наконец-то собралось принять решительные меры по борьбе с утечками информации, но размер компенсаций нуждается в обсуждении. Решая вопрос о том, сколько стоит набор персональных данных человека, следует принять во внимание тот ущерб, который могут нанести мошенники. Людей обманывают на десятки и сотни тысяч рублей, нередки случаи, когда обманутые граждане отдают преступникам вообще все свои сбережения, и часть вины за это лежит на допустивших утечку компаниях», — заметил он.
Что говорят в Госдуме
«Нет сомнений, что надеяться на добрую волю операторов персональных данных сегодня нельзя. Государство последовательно наводит порядок в этой сфере, но проблема утечек остается острой, а недавние скандалы вокруг „Леруа Мерлен“, „Буквоеда“ и „Твое“ — красноречивое тому подтверждение. Моя четкая позиция — компенсационный механизм, если такой и появится, не должен стать лазейкой для компаний по уходу от ответственности», — подчеркнул депутат.
Недавно Александр Хинштейн задал подписчикам своего Telegram-канала вопрос о том, согласны ли они, что компенсация является соразмерным наказанием для компаний, допустивших утечку? Из 4,5 тысячи человек большинство выбрали ответ «нет».
«Выборка не претендует на социологическое исследование, но общественный запрос очевиден — из 4530 человек, принявших участие в опросе, 38% ответили „нет“, а 32% выбрали пункт „в зависимости важности утекшей информации“. Иначе говоря, россияне устали от бесконечно „текущих“ баз данных компаний, и их мнение следует учесть», — отметил он.
«Также необходимо внимательно оценить — с какой по счету крупной утечки будет наступать ответственность в виде оборотного штрафа для компании. Уверен, что утечка хотя бы одной тысячи учетных записей — это достаточное основание для наложения ощутимых санкций. Пока операторы персональных данных очень часто относятся халатно и к фактам утечки, и к собственной информационной безопасности. Возможно, угроза значительных штрафов повлияет на их отношение к персональным данным россиян», — заключил Александр Хинштейн.