Юристы предлагают штрафовать на 5 млн рублей за утечки данных
10 марта 2020 года
Возглавляемая советником спикера Госдумы и экс-главой комитета по конституционному законодательству Владимиром Плигиным АЮР подготовила предложения по изменению закона «О персональных данных» (копия есть у “Ъ”). Они направлены руководителю Роскомнадзора Александру Жарову и председателю комитета Госдумы по информполитике Александру Хинштейну. Юристы хотят обязать операторов персональных данных (то есть все госорганы, компании и физические лица, обрабатывающие такие данные) по требованию граждан выплачивать им по решению суда в случае утечки компенсацию в размере от 500 тыс. до 5 млн руб. Если утечка данных произошла по вине пользователя, оператор освобождается от ответственности.
Возможность взыскать компенсацию с компании в случае утечки теоретически есть и сейчас, но, по мнению АЮР, она сильно затруднена.
«Чтобы взыскать убытки от утечки персональных данных через суд, гражданину необходимо доказать не только факт нарушения, но и размер убытков, а также причинно-следственную связь между допущенным оператором нарушением и такими убытками»,— поясняет председатель комиссии по правовому обеспечению цифровой экономики московского отделения АЮР Александр Журавлев. При этом обычно гражданин не знает, кем, в каком объеме и зачем обрабатывались его персональные данные, после того как первоначальный оператор передал их дальше, полагает господин Журавлев.
Существующие штрафы Роскомнадзора за нарушение прав субъектов персональных данных до 75 тыс. руб. «не создают достаточных финансовых стимулов для операторов», суды же присуждают «крайне невысокие суммы» в качестве компенсации морального ущерба, добавляет он.
Гендиректор платформы для управления данными HFLabs Дмитрий Журавлев предупреждает, что ужесточение регулирования может, наоборот, повысить риски. Чтобы получить выплаты в случае утечки, гражданину придется идентифицироваться, то есть, например, заполняя обычную анкету на дисконтную карту, указать еще и паспортные данные, поясняет он. Базы данных с паспортами клиентов представляют намного более высокую ценность, и вероятность утечки таких данных серьезно повышается, уверен господин Журавлев. Кроме того, если штрафы будут существенными, это создаст условия для недобросовестной конкурентной борьбы, «фактически, украв данные, можно будет и клиентов переманить, и утопить бизнес конкурента через штрафы», опасается он. В долгосрочной же перспективе ужесточение скорее плюс, признает господин Журавлев.
Доцент факультета права НИУ ВШЭ, зампред комиссии по правовому обеспечению цифровой экономики московского отделения АЮР Александр Савельев отмечает:
|
.
Существующие ныне инструменты, считает он, не эффективны:
убытки нельзя взыскать по причине крайне тяжелого бремени доказывания (размер убытков, причинно-следственная связь между нарушением и убытками), моральный вред если и взыскивается в этой сфере, то в крайне мизерных размерах.
административные штрафы низкие и идут при этом в бюджет, а не потерпевшему субъекту.
Ситуацию могло бы кардинальным образом исправить введение, по аналогии с законодательством об авторских правах, компенсации за нарушение прав субъектов персональных данных. При доказанности факта нарушения права (например, факта утечки данных или факта неисполнения оператором каких-либо своих обязанностей перед субъектом, например, по уточнению или удалению данных), гражданин вправе будет получить компенсацию от 10 000 до 1 млн. рублей (размеры обсуждаемы), размер которой устанавливается судом с учетом всех обстоятельств дела. При массовых нарушениях прав граждан можно будет объединяться и подавать коллективные иски.
«Гражданин будет обращаться за компенсацией через суд, это гражданское судопроизводство, в рамках которого действительно придется себя идентифицировать, — также отмечает он. — Но, по идее, здесь уже работают другие нормы. Здесь ситуация не станет хуже по сравнению с той, которая уже есть. Вполне предсказуемо, что крупные операторы восприняли такую инициативу несколько в штыки. Однако некоторые из них все-таки признают, что законодательство надо реформировать».
Эти меры, считает Савельев, будут стимулировать операторов обеспечивать комплаенс не на бумаге, а на деле; разгрузит Роскомнадзор и переместит акцент споров с операторами по поводу персональных данных из административной в частноправовую плоскость. Кроме того, это будет стимулировать и иностранных операторов, ведущих бизнес в рунете, соблюдать законодательство РФ в области персональных данных, поскольку решение о взыскании компенсации в пользу частного лица может быть исполнено за рубежом, в отличие от взыскания административных штрафов. Эксперт уверен, что:
|
.
В Европе штрафы за утечку персональных данных более высокие — до 4% оборота компании. Это заставляет организации серьезнее подходить к защите данных пользователей. Предложенные меры сильно ситуацию в России не изменят, считает эксперт по информационной безопасности компании Cisco Systems Алексей Лукацкий.
«Это не совсем задача Роскомнадзора — заниматься именно расследованиями правонарушений, была ли утечка, по чьей вине произошла утечка, — говорит он. — Этим должны заниматься правоохранительные органы. А правоохранительные органы этим заниматься сейчас не могут, потому что в Уголовном кодексе отсутствуют соответствующие статьи. А вот вводить ли уголовную статью за утечки персональных данных — это очень непростой вопрос, это может привести к поиску ведьм и наказанию непричастных за возможные утечки. У нас нет штрафов за утечку, у нас есть наказание только за несоблюдение требований самого закона, то есть за отсутствие каких-то согласий, за отсутствие или нарушение правил обработки персональных данных. Ее пытались много лет назад внести, но тогда регуляторы сказали, что у них нет ни ресурсов, ни возможности реагировать на каждое заявление потенциальной жертвы. Здесь надо бороться с причиной, почему эти данные появляются, увеличивать активность именно правоохранительных органов в части проведения контрольных закупок, в части выявления тех, кто эти данные сливает, в части наказания тех, кто эти данные заказывает, приобретает, а потом ими торгует. И когда число дел возрастет и преступники увидят, что за торговлю персональными данными можно получить вполне реальные сроки, тогда ситуация сдвинется с мертвой точки»....
Источники
правитьЭта статья содержит материалы из статьи «Юристы предлагают штрафовать на 5 млн рублей за утечки данных», опубликованной на сайте Роскомсвободы и распространяющейся на условиях лицензии Creative Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.