Юристы предлагают штрафовать на 5 млн рублей за утечки данных

Сейчас происходит множество регулярных сливов чувствительных персональных данных пользователей и государственных и частных сервисов на чёрный рынок, но ответственности за это никто не несёт, поэтому Ассоциация юристов России отправила соответствующие предложения в Госдуму и Роскомнадзор.  

Возглавляемая советником спикера Госдумы и экс-главой комитета по конституционному законодательству Владимиром Плигиным АЮР подготовила предложения по изменению закона «О персональных данных» (копия есть у “Ъ”). Они направлены руководителю Роскомнадзора Александру Жарову и председателю комитета Госдумы по информполитике Александру Хинштейну. Юристы хотят обязать операторов персональных данных (то есть все госорганы, компании и физические лица, обрабатывающие такие данные) по требованию граждан выплачивать им по решению суда в случае утечки компенсацию в размере от 500 тыс. до 5 млн руб. Если утечка данных произошла по вине пользователя, оператор освобождается от ответственности.

Возможность взыскать компенсацию с компании в случае утечки теоретически есть и сейчас, но, по мнению АЮР, она сильно затруднена.

«Чтобы взыскать убытки от утечки персональных данных через суд, гражданину необходимо доказать не только факт нарушения, но и размер убытков, а также причинно-следственную связь между допущенным оператором нарушением и такими убытками»,— поясняет председатель комиссии по правовому обеспечению цифровой экономики московского отделения АЮР Александр Журавлев. При этом обычно гражданин не знает, кем, в каком объеме и зачем обрабатывались его персональные данные, после того как первоначальный оператор передал их дальше, полагает господин Журавлев.

Существующие штрафы Роскомнадзора за нарушение прав субъектов персональных данных до 75 тыс. руб. «не создают достаточных финансовых стимулов для операторов», суды же присуждают «крайне невысокие суммы» в качестве компенсации морального ущерба, добавляет он.

Гендиректор платформы для управления данными HFLabs Дмитрий Журавлев предупреждает, что ужесточение регулирования может, наоборот, повысить риски. Чтобы получить выплаты в случае утечки, гражданину придется идентифицироваться, то есть, например, заполняя обычную анкету на дисконтную карту, указать еще и паспортные данные, поясняет он. Базы данных с паспортами клиентов представляют намного более высокую ценность, и вероятность утечки таких данных серьезно повышается, уверен господин Журавлев. Кроме того, если штрафы будут существенными, это создаст условия для недобросовестной конкурентной борьбы, «фактически, украв данные, можно будет и клиентов переманить, и утопить бизнес конкурента через штрафы», опасается он. В долгосрочной же перспективе ужесточение скорее плюс, признает господин Журавлев.

Доцент факультета права НИУ ВШЭ, зампред комиссии по правовому обеспечению цифровой экономики московского отделения АЮР Александр Савельев отмечает:

«Ни для кого не секрет, что законодательство о персданных в настоящее время практически не работает и за это его не критикует только ленивый. Необходима «перезагрузка» законодательства о персданных. Для этого требуется наделение самих граждан эффективным инструментов защиты своих прав на персданные».

.

Существующие ныне инструменты, считает он, не эффективны:

• убытки нельзя взыскать по причине крайне тяжелого бремени доказывания (размер убытков, причинно-следственная связь между нарушением и убытками), моральный вред если и взыскивается в этой сфере, то в крайне мизерных размерах.
• административные штрафы низкие и идут при этом в бюджет, а не потерпевшему субъекту.

Ситуацию могло бы кардинальным образом исправить введение, по аналогии с законодательством об авторских правах, компенсации за нарушение прав субъектов персональных данных. При доказанности факта нарушения права (например, факта утечки данных или факта неисполнения оператором каких-либо своих обязанностей перед субъектом, например, по уточнению или удалению данных), гражданин вправе будет получить компенсацию от 10 000 до 1 млн. рублей (размеры обсуждаемы), размер которой устанавливается судом с учетом всех обстоятельств дела. При массовых нарушениях прав граждан можно будет объединяться и подавать коллективные иски.

«Гражданин будет обращаться за компенсацией через суд, это гражданское судопроизводство, в рамках которого действительно придется себя идентифицировать, — также отмечает он. — Но, по идее, здесь уже работают другие нормы. Здесь ситуация не станет хуже по сравнению с той, которая уже есть. Вполне предсказуемо, что крупные операторы восприняли такую инициативу несколько в штыки. Однако некоторые из них все-таки признают, что законодательство надо реформировать».

Эти меры, считает Савельев, будут стимулировать операторов обеспечивать комплаенс не на бумаге, а на деле; разгрузит Роскомнадзор и переместит акцент споров с операторами по поводу персональных данных из административной в частноправовую плоскость. Кроме того, это будет стимулировать и иностранных операторов, ведущих бизнес в рунете, соблюдать законодательство РФ в области персональных данных, поскольку решение о взыскании компенсации в пользу частного лица может быть исполнено за рубежом, в отличие от взыскания административных штрафов. Эксперт уверен, что:

«…любая либерализация процессов обработки персональных данных, о которой так много говорится в контексте цифровой экономики, должна быть адекватно компенсирована соответствующими защитными механизмами для граждан, а не должна быть «игрой в одни ворота» со стороны операторов.

В конечном итоге, как только граждане поймут, что их данные имеют ценность, это станет отправной точкой для формирования ответственного отношения к распоряжению ими — трансформации, без которой цифровую экономику вряд ли возможно построить».

.

В Европе штрафы за утечку персональных данных более высокие — до 4% оборота компании. Это заставляет организации серьезнее подходить к защите данных пользователей. Предложенные меры сильно ситуацию в России не изменят, считает эксперт по информационной безопасности компании Cisco Systems Алексей Лукацкий.

«Это не совсем задача Роскомнадзора — заниматься именно расследованиями правонарушений, была ли утечка, по чьей вине произошла утечка, — говорит он. — Этим должны заниматься правоохранительные органы. А правоохранительные органы этим заниматься сейчас не могут, потому что в Уголовном кодексе отсутствуют соответствующие статьи. А вот вводить ли уголовную статью за утечки персональных данных — это очень непростой вопрос, это может привести к поиску ведьм и наказанию непричастных за возможные утечки. У нас нет штрафов за утечку, у нас есть наказание только за несоблюдение требований самого закона, то есть за отсутствие каких-то согласий, за отсутствие или нарушение правил обработки персональных данных. Ее пытались много лет назад внести, но тогда регуляторы сказали, что у них нет ни ресурсов, ни возможности реагировать на каждое заявление потенциальной жертвы. Здесь надо бороться с причиной, почему эти данные появляются, увеличивать активность именно правоохранительных органов в части проведения контрольных закупок, в части выявления тех, кто эти данные сливает, в части наказания тех, кто эти данные заказывает, приобретает, а потом ими торгует. И когда число дел возрастет и преступники увидят, что за торговлю персональными данными можно получить вполне реальные сроки, тогда ситуация сдвинется с мертвой точки».