Штрафы за утечку персональных данных было бы логично перечислять пострадавшим лицам в качестве компенсации ущерба, а не в непонятный фонд. Но против этой идеи выступают представители цифровой индустрии.
Создание фонда материальной компенсации для пострадавших от утечек данных россиян по предложению Минцифры нецелесообразно, поскольку фактические суммы будут непредсказуемы, а деятельность аппарата чиновников потребует регулярного финансирования из федерального бюджета. Такую позицию в отношении предложений министерства заняли в Ассоциации больших данных (АБД), объединяющей «Яндекс», VK, Сбербанк, «Ростелеком» и другие IT-компании.
Минцифры предлагало пополнять фонд из оборотных штрафов компаний, допустивших утечки данных. Однако в ассоциации считают более разумным для компаний направить средства на аудиты своих информационных систем. По мнению IT -компаний, единая методика расчета компенсации не будет учитывать реальную степень защищенности информации и виновности компании, что «демотивирует инвестировать в кибербезопасность».
IT -компании, конечно, лукавят. Ведь достаточно ввести простые правила. Например, 10 МРОТ при первой утечке данных и 100 МРОТ при повторной. Это сразу закроет вопрос небрежного хранения баз личных данных.
По мнению юристов, альтернативой может стать взыскание компенсации морального вреда, размер которой установит суд.
Минцифры предлагает создать фонд выплат компенсаций жертвам утечек персональных данных, пополняемый из оборотных штрафов компании, допустившей инцидент, — 1% от годового оборота. О возможном введении оборотных штрафов стало известно весной, для реализации механизма предлагается внести поправки в КоАП. Законопроект предусматривает наложение штрафа, если в сеть попала база с 10 тыс. записей, из которых минимум 1 тыс. человек можно точно установить. В случаях, когда в базе больше 100 тыс. строк, руководство компании оштрафуют, если удастся идентифицировать 10 тыс. человек.
АБД полагает, что компаниям было бы целесообразнее инвестировать в аудиты своих информсистем, нежели переводить средства в фонд.
Возможность избежать оборотного штрафа в случае нарушения будет стимулировать компании, работающие с данными, проводить добровольный аудит систем безопасности, считает президент АБД Серебряникова.
Специально созданный административный аппарат потребует постоянного бюджетного финансирования и будет стремиться максимально расширить состав правонарушений для взимания штрафов для наполнения фонда, полагают в Ozon: «При этом компенсации для пострадавших в случае массовых утечек окажутся незначительными на фоне причиненного ущерба».
Представители АБД приводят в пример Российское авторское общество, которое за 2021 год собрало 3,8 млрд рублей, но выплатило правообладателям лишь 65% из них, взяв за свои услуги порядка 35% от собранных средств.
В 2022 году утечки персональных данных в России резко возросли. По данным InfoWatch, в РФ в первом полугодии попали в сеть 305 баз данных, что на 45,9% больше, чем за тот же период 2021 года. Объем похищенной информации увеличился более чем в 16 раз, составив 187,6 млн записей. Сейчас максимальный штраф за утечку персональных данных для организаций ограничивается 100 тыс. рублей.
