Минцифры обсуждает с крупными IT-компаниями возможность создания в России фонда материальной компенсации жертвам утечек баз данных, сообщил «Коммерсантъ». Средства на эти цели предполагается выделять из оборотных штрафов компаний, допустивших такие утечки. Однако эксперт юридической фирмы DRС, юрист «Роскомсвободы» Евгений Кравченко в беседе с RTVI выразил сомнения в том, что механизм фонда лишит граждан нарушения их неимущественных прав.
«Во-первых, в России уже существует механизм компенсации морального вреда. В большинстве стран пользователям, чьи данные утекли в открытый доступ, удается взыскать моральный вред с определенной компании. Для оптимизации процессов в России даже появились групповые иски. Если у пользователей одна проблема и один и тот же ответчик — они могут подать иск против компании и потребовать выплат», — пояснил юрист.
По его мнению, такая процедура упрощает работу как для судов, так и для истцов, однако в действительности выходит иначе, поскольку судьи не знают как работать с групповыми исками. К тому же, из-за высокой нагрузки у них нет времени разбираться с проблематикой персональных данных.
«На выходе мы получаем, что судьи разделяют групповой иск на самостоятельные иски, потому что у каждого человека свои уникальные персональные данные, поэтому требование каждого истца надо рассматривать отдельно. Это, конечно же, большие издержки как для истцов, так и для государства в лице суда», — считает Кравченко.
Он полагает, что в случае, если сторонам удастся договориться о создании такого фонда, для его функционирования потребуются целый аппарат, а также система учета и распределения компенсаций. Все это требует дополнительных издержек, отмечает эксперт.
Кроме того, Кравченко считает непрозначной процедуру определения граждан, пострадавших от утечек.
«В судебной процедуре все ясно: те, кто обратился и смогут получить компенсацию в случае успеха в суде. Тут же предполагается внесудебная процедура. Фонд каким-то способом будет определять кому выплачивать, а кому нет. Представляем, что после этого будут дела, где люди будут судиться с фондом из-за того, что его данные утекли, но пользователь компенсации не получил», — сказал он.
Юрист предложил не усложнять инициативу, а работать с уже существующими механизмами:
- Повысить размеры штрафов за утечки персональных данных;
- Усилить ответственность лиц, из-за кого утекли данные;
- Увеличить значимость дел о компенсации морального вреда, чтобы каждый пользователей мог группой лиц потребовать компенсацию из-за утечки данных в публичный доступ.
«После нескольких высоких штрафов, миллионных взысканий и репутационных потерь компании сами будут улучшать процессы работы и безопасность персональных данных», — уверен Кравченко.
Ужесточение ответственности за утечку личных данных
В мае Минцифры согласовало законопроект, ужесточающий ответственность компаний за утечку персональных данных клиентов. Ведомство предложило ввести для юрлиц оборотный штраф в 1% от годового оборота, а в случае выявления попыток скрыть инцидент, увеличить размер штрафа до 3%.
В Минцифры полагают, что только многомиллионные оборотные штрафы за утечки персональных данных российских пользователей смогут заставить компании усилить безопасность и механизмы хранения ПД.
Поводом для разработки инициативы послужили произошедшие весной 2022 года случаи масштабных утечек данных в «Ростелекоме», СДЭКе, «Яндекс.Еде», Delivery Club и других. Последнюю 18 августа суд оштрафовал на 80 тысяч рублей.
В мае 2022 года сервис допустил утечку данных с фамилиями и именами клиентов, зашифрованными паролями, а также адресами электронной почты и телефонами курьеров компании. Тогда служба безопасности Delivery Club заверила, что утечка банковских реквизитов не коснулась. Но избежать штрафа службе доставки еды не удалось.
Сейчас штраф за утечку персональных данных составляет от 2 до 6 тысяч рублей для физических лиц, от 10 до 120 тысяч рублей — для должностных и от 20 до 100 тысяч рублей — для юридических.