Минцифры предложило задействовать «Госуслуги» для компенсаций за утечки данных
Компании смогут платить пострадавшим скидками и бонусами с согласия пострадавшихМинистерство цифрового развития предложило задействовать портал «Госуслуги» в качестве третьей стороны при распределении компенсаций за утечки персональных данных. Об этом министр Максут Шадаев сообщил 26 апреля 2023 г. на пленарной сессии телеком-конференции «Ведомостей».
Вопрос компенсаций пользователям, чьи данные оказались в открытом доступе, поднимается в контексте законопроекта об оборотных штрафах для ИТ-компаний, допустивших утечки персональных данных (ПД). Законопроект обсуждается с весны 2022 г. Ранее документ предусматривал возможность создания фонда помощи пострадавшим, из которого будут выплачиваться денежные компенсации за утечки, но в актуальной версии законопроекта этого положения нет, сообщил Шадаев на сессии «Ведомостей». Сам же проект находится в финальной стадии обсуждения и в ближайшее время будет внесен в Госдуму, отметил он.
«В случае подтверждения утечки со стороны оператора он размещает об этом информацию, потом дается определенное количество времени, когда пострадавшие могут обратиться через “Госуслуги” с заявлением о получении компенсации», – пояснил Шадаев механизм действия закона.
По его словам, размер компенсации может определить сам оператор и предложить ее пользователям, данные которых утекли. «Соответственно, если две трети из обратившихся через портал "Госуслуги" за получением этой компенсации ее подтверждают, считается, что применяется смягчающий фактор для оператора, который допустил утечку персональных данных», – отметил Шадаев. Фонда помощи пострадавшим, исходя из этого, не будет, добавил министр. По его словам, такая конструкция обсуждалась со всеми участниками рынка, включая операторов связи, интернет-компании и др.
Отвечая на вопрос «Ведомостей», Шадаев добавил, что компенсация может выражаться не в деньгах – это могут быть скидки на услуги, бонусы и т. п. Главное, чтобы эти условия приняли две трети владельцев утекших ПД. Если же они эти условия не примут, то к компании не будет применяться понижающий коэффициент при определении величины оборотного штрафа за утечку, пояснил министр.
Как устроен законопроект об оборотных штрафах за утечки
Проект предполагает введение в КоАП поправок, по которым компания, допустившая утечку ПД, может быть оштрафована на 1% годового оборота. Размер штрафа вырастет до 3%, если компания попыталась скрыть проблему. Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц в размере от 60 000 до 100 000 руб., при повторном правонарушении — до 500 000 руб.
Минцифры также проработало смягчающие обстоятельства для провинившихся, заявлял в декабре 2022 г. Шадаев. Например, штраф может быть ниже, если компания проведет сертификацию своей инфраструктуры в соответствии с требованиями безопасности. Также рассматривался вопрос компенсации ущерба двум третям пострадавших от утечки. Для этого Минцифры планировало создать фонд материальных компенсаций, который будет наполняться за счет средств, полученных в виде оборотных штрафов.
Портал «Госуслуги» может стать удобным способом подачи заявления и контроля за прохождением обращения, считает гендиректор аналитического агентства Telecom Daily Денис Кусков. «Это очень здравая идея», – согласен с ним эксперт по защите персональных данных консалтинговой компании Б-152 Максим Лагутин.
В операционном плане без «Госуслуг» было бы крайне сложно вычленить тех людей, которые пострадали от утечек, поясняет он.
«Отлично, что министр отметил, что компенсации могут быть осуществлены не только в финансовом плане, а это могут быть скидки, баллы лояльности и т. д. Для компаний это, естественно, большой плюс», – добавил Лагутин. Правда, для многих пользователей выплата компенсации в денежном эквиваленте является более предпочтительным способом возмещения вреда, рассуждает Кусков. Но очевидно, что осуществлять денежные выплаты невыгодно компаниям, добавил он.
В то же время сама по себе возможность получения каких-либо бонусов или выплат от крупных компаний грозит обернуться потребительским терроризмом, когда люди станут массово подавать заявки на получение возмещения, не являясь непосредственно пострадавшими от утечек, предупреждает Лагутин. Впрочем, идентифицировать пострадавших можно разными способами, напомнил он: у компаний есть различные наборы данных о своих клиентах, например, номер телефона, электронная почта, ИНН или СНИЛС и др.
«Самое главное – это понять, что кто-то пострадал от утечки. Также определить виновных, чтобы атаки на компании не превратилось в конкурентный бизнес», – резюмировал Кусков.
Главное – найти баланс интересов и сохранить ресурсы для повышения защищенности данных клиентов», — сообщил «Ведомостям» представитель «Вымпелкома», комментируя выступление Шадаева. Представитель Tele2 отказался от комментариев.