- Специальный корреспондент
Ассоциация больших данных (в нее входят VK, Сбербанк, федеральные операторы связи и др.) обрушилась с критикой на законопроект российских властей о штрафах за утечки персональных данных. Бизнесу не нравится ни их размер, не требование выплачивать россиянам компенсацию за утечки во внесудебном порядке. Многие компании из состава АБД часто допускают утечки – Сбербанк, к примеру, упустил базу с персональными данным 60 млн клиентов.
резко воспротивились предложению выплачивать россиянам компенсацию во внесудебном порядке за утечки их персональных данных, пишут «Ведомости». В частности, к грядущему нововведению за негативно отнеслись компании из состава «Ассоциации больших данных» (АБД).
В АБД на момент выхода материала входило 16 организаций, включая ИТ-компании (VK и «Яндекс»), операторов связи («Мегафон», «Билайн», «Ростелеком», МТС), банки (Сбербанк, «Тинькофф») и др.
Речь в данном случае идет о законопроекте, предусматривающем оборотные штрафы для компаний в качестве меры наказания за утечки персональных данных. Следует отметить, что многие из организаций, входящих в АБД, уже не раз допускали такого рода утечки. Например, в октябре 2019 г. Сбербанк упустил в Сеть информацию о 60 млн своих клиентов, что стало рекордом для всего банковского сектора России. В тот же период в интернете оказались данные о нескольких миллионах абонентов проводного интернета «Билайна».
Российские власти предлагают внедрить в российское законодательство штрафы за – в размере от 1% годовой выручки компании и до 3%, если компания в установленные сроки не уведомила об утечке Роскомнадзор. Впервые о планах государства в особо крупном размере наказывать компании за халатное отношение к личной информации своих клиентов и пользователей стало известно в конце февраля 2022 г. В мае 2022 г. повторно об этом.
В октябре 2022 г. законопроект подвергся доработке, но ни о каких послаблениях в данном случае речи не было. Наоборот, в документе появились штрафы еще для должностных лиц.
Ассоциация больших данных раскритиковала документ, направив свой отзыв на него.
Актуальная на момент выхода материала версия законопроекта датирована 24 ноября 2022 г. В нем компаниям предлагается возместить вред от утечки персональных данных во внесудебном порядке как минимум 60% пострадавших пользователей. В этом случае данная инициатива будет рассмотрена как смягчающее обстоятельство при определении итогового размера штрафа за сам факт утечки. «Если компания хочет по нижней границе оборотного штрафа, она должна урегулировать вопросы не менее чем с 2/3 тех граждан, чьи данные фигурируют в утечке», – сказал глава Минцифры Максут Шадаев (цитата по «Интерфаксу»).
Необходимость выплачивать компенсацию во внесудебном порядке встретила резкую критику АБД. «Проектируемая норма создаст предпосылки для развития потребительского экстремизма и приведет к перегрузке судов жалобами на неадекватный, по мнению пользователя, размер предложенной оператором компенсации», – указано в письме АБД.
Представители АБД утверждают, что в данном случае подразумевается компенсация именно морального вреда пользователям, размер которого определяется строго индивидуально. «Усилиями оператора заранее установить размер такого вреда невозможно, – сказано в письме организации. – Таким образом, указанное условие нереализуемо на практике в силу индивидуальности восприятия ущерба субъектом, что делает всю конструкцию смягчающих обстоятельств неработоспособной». Представители Ассоциации добавили также, что если будет принят именно с поправками, касающимися внесудебного урегулирования, то это приведет к появлению рисков .
Как сообщили изданию представители , при работе над данным законопроектом государство стремится учесть мнения всех сторон, в данном случае и компаний. «В ходе обсуждения мы отказались от первоначальной идеи с созданием специального фонда для компенсаций пострадавшим от утечек, куда компании делали бы взносы, – сообщили в . – При этом мы считаем, что механизм компенсации для пострадавших обязательно должен быть тщательно проработан».
В сообщили « », что готовящийся законопроект «должен стимулировать компании в информационную безопасность и содержать перечень выполнимых мер, при реализации которых компания будет освобождаться от ответственности при отсутствии вины». «Считаем, что смягчающие обстоятельства должны быть исполнимы, ответственность – соразмерна», – добавили представители организации
Высказав свое общее недовольство новыми мерами, АБД также попросила Минцифры пересмотреть размеры штрафов в сторону их уменьшения. Нынешняя версия законопроекта предлагает штрафы в размере до 5 млн руб. компаниям допустившим утечку информации 1000 – 10 тыс. россиян. За тот же проступок должностные лица заплатят до 600 тыс. руб.
Если в результате утечки пострадало более 10 тыс. человек, компании заплатят штраф до 10 млн руб., а должностные лица – до 800 тыс. руб. Каждый «рецидив» будет стоить компании 0,5-3% ее годовой выручки.
По мнению АБД, такие штрафы «завышены и могут привести к закрытию ряда предприятий либо к невозможности дальнейших инвестиций». Чтобы избежать таких последствий, АБД предлагает определить «максимальный фиксированный предел оборотного штрафа» и просит Министерство «конкретизировать срок повторности в один год».
Как CNews, летом 2022 г. Минцифры планировало пойти на уступки компаниям, допустившим утечку персональных данных. В частности, планировалось, что за первый раз штрафов не будет вовсе. Смягчить наказание попросили представители российских компаний, сославшись на тяжелую экономическую ситуацию.
Бизнес против
резко воспротивились предложению выплачивать россиянам компенсацию во внесудебном порядке за утечки их персональных данных, пишут «Ведомости». В частности, к грядущему нововведению за негативно отнеслись компании из состава «Ассоциации больших данных» (АБД).
В АБД на момент выхода материала входило 16 организаций, включая ИТ-компании (VK и «Яндекс»), операторов связи («Мегафон», «Билайн», «Ростелеком», МТС), банки (Сбербанк, «Тинькофф») и др.
Речь в данном случае идет о законопроекте, предусматривающем оборотные штрафы для компаний в качестве меры наказания за утечки персональных данных. Следует отметить, что многие из организаций, входящих в АБД, уже не раз допускали такого рода утечки. Например, в октябре 2019 г. Сбербанк упустил в Сеть информацию о 60 млн своих клиентов, что стало рекордом для всего банковского сектора России. В тот же период в интернете оказались данные о нескольких миллионах абонентов проводного интернета «Билайна».
О чем спор
Российские власти предлагают внедрить в российское законодательство штрафы за – в размере от 1% годовой выручки компании и до 3%, если компания в установленные сроки не уведомила об утечке Роскомнадзор. Впервые о планах государства в особо крупном размере наказывать компании за халатное отношение к личной информации своих клиентов и пользователей стало известно в конце февраля 2022 г. В мае 2022 г. повторно об этом.
В октябре 2022 г. законопроект подвергся доработке, но ни о каких послаблениях в данном случае речи не было. Наоборот, в документе появились штрафы еще для должностных лиц.
Ассоциация больших данных раскритиковала документ, направив свой отзыв на него.
Что предлагают власти
Актуальная на момент выхода материала версия законопроекта датирована 24 ноября 2022 г. В нем компаниям предлагается возместить вред от утечки персональных данных во внесудебном порядке как минимум 60% пострадавших пользователей. В этом случае данная инициатива будет рассмотрена как смягчающее обстоятельство при определении итогового размера штрафа за сам факт утечки. «Если компания хочет по нижней границе оборотного штрафа, она должна урегулировать вопросы не менее чем с 2/3 тех граждан, чьи данные фигурируют в утечке», – сказал глава Минцифры Максут Шадаев (цитата по «Интерфаксу»).
Необходимость выплачивать компенсацию во внесудебном порядке встретила резкую критику АБД. «Проектируемая норма создаст предпосылки для развития потребительского экстремизма и приведет к перегрузке судов жалобами на неадекватный, по мнению пользователя, размер предложенной оператором компенсации», – указано в письме АБД.
Представители АБД утверждают, что в данном случае подразумевается компенсация именно морального вреда пользователям, размер которого определяется строго индивидуально. «Усилиями оператора заранее установить размер такого вреда невозможно, – сказано в письме организации. – Таким образом, указанное условие нереализуемо на практике в силу индивидуальности восприятия ущерба субъектом, что делает всю конструкцию смягчающих обстоятельств неработоспособной». Представители Ассоциации добавили также, что если будет принят именно с поправками, касающимися внесудебного урегулирования, то это приведет к появлению рисков .
Мнение сторон
Как сообщили изданию представители , при работе над данным законопроектом государство стремится учесть мнения всех сторон, в данном случае и компаний. «В ходе обсуждения мы отказались от первоначальной идеи с созданием специального фонда для компенсаций пострадавшим от утечек, куда компании делали бы взносы, – сообщили в . – При этом мы считаем, что механизм компенсации для пострадавших обязательно должен быть тщательно проработан».
В сообщили « », что готовящийся законопроект «должен стимулировать компании в информационную безопасность и содержать перечень выполнимых мер, при реализации которых компания будет освобождаться от ответственности при отсутствии вины». «Считаем, что смягчающие обстоятельства должны быть исполнимы, ответственность – соразмерна», – добавили представители организации
К чему такие штрафы
Высказав свое общее недовольство новыми мерами, АБД также попросила Минцифры пересмотреть размеры штрафов в сторону их уменьшения. Нынешняя версия законопроекта предлагает штрафы в размере до 5 млн руб. компаниям допустившим утечку информации 1000 – 10 тыс. россиян. За тот же проступок должностные лица заплатят до 600 тыс. руб.
Если в результате утечки пострадало более 10 тыс. человек, компании заплатят штраф до 10 млн руб., а должностные лица – до 800 тыс. руб. Каждый «рецидив» будет стоить компании 0,5-3% ее годовой выручки.
По мнению АБД, такие штрафы «завышены и могут привести к закрытию ряда предприятий либо к невозможности дальнейших инвестиций». Чтобы избежать таких последствий, АБД предлагает определить «максимальный фиксированный предел оборотного штрафа» и просит Министерство «конкретизировать срок повторности в один год».
Как CNews, летом 2022 г. Минцифры планировало пойти на уступки компаниям, допустившим утечку персональных данных. В частности, планировалось, что за первый раз штрафов не будет вовсе. Смягчить наказание попросили представители российских компаний, сославшись на тяжелую экономическую ситуацию.
