По данным «Коммерсанта» в РФ может появиться фонд материальной компенсаций для граждан, пострадавших от утечек их персональных данных из компаний. Минцифры обсуждает с рядом крупных ИТ-компаний возможность создания такого фонда для выплаты гражданам, ставших жертвами утечек баз данных. Деньги на компенсации предполагается брать из оборотных штрафов для компаний, которые допустили утечки персональных данных.
Компенсация ущерба
С сентября вступает в силу поправки в закон №152 «О защите персональных данных», которые вводят ответственность операторов ПДн за утечки. Однако нужно не просто наказывать провинившиеся компании, но и компенсировать ущерб, нанесенный из деятельностью. Поэтому логично создать механизм и закрепить его в КоАП, с помощью которого пострадавшие от утечек пользователи смогут получить компенсацию полученного вреда.
Собственно, пострадавшие граждане уже пытаются получить компенсации. Так, клиенты сервиса экспресс-доставки СДЭК подали к компании коллективный иск на 2,2 млн руб., в связи с тем, что в феврале в сеть попали ФИО клиентов, номера телефонов, адресами и другие «чувствительные данные». В марте аналогичный иск подали пострадавшие от утечки клиенты «Яндекс.Еды», каждый истец требовал по 100 тыс. руб.
В Минцифры уточнили, что сейчас прорабатывается механизм компенсаций: «Нужно определить, как будет высчитываться объем, при каких условиях можно будет претендовать на выплаты, другие детали». Минцифры приступило к обсуждению законопроекта о введении наказаний для компаний, допустивших утечки данных, в конце мая. Идея предполагает введение в КоАП поправок, по которым компания, где произошла утечка, может быть оштрафована на 1% от годового оборота. Размер штрафа вырастет до 3%, если компания попыталась скрыть проблему.
Статистика утечек
По данным InfoWatch, в РФ в первом полугодии «утекли» 305 баз данных, что на 45,9% больше, чем за тот же период 2021 года. Объем похищенной информации увеличился более чем в 16 раз, составив 187,6 млн записей. Сейчас максимальный штраф за утечку персональных данных для организаций ограничивается 100 тыс. руб. Delivery Club, например, 18 августа назначен административный штраф в размере 80 тыс. руб., «Яндекс» ранее получил два штрафа в размере 60 тыс. руб. каждый. Естественно, что стимулировать развитие систем защиты персональных данных с такими штрафами не получиться — компаниями проще выплатить положенную сумму, чем строить дорогостоящую защиту. Возможно, новый законопроект сможет изменить ситуацию.
