Пострадавшие от утечек персональных данных смогут претендовать на возмещение морального вреда в размере от 1 тыс. руб. до 5 тыс. руб., в зависимости от типа опубликованных данных. Общий лимит страхового покрытия может доходить до 1 млрд рублей.
Размер компенсации морального ущерба гражданам, пострадавшим от утечек персональных данных, может составить от 1 тыс. руб. до 5 тыс. руб. в зависимости от типа данных, оказавшихся в свободном доступе. Общий лимит страхового покрытия рисков, связанных с утечками, может составлять от 5 млн до 1 млрд руб. в зависимости от объема персональных сведений, которые хранит организация. С такими предложениями выступил председатель рабочей группы Всероссийского союза страховщиков (ВСС) по страхованию информационных рисков Владимир Новиков на круглом столе в Совете Федерации, пишут «Ведомости».
Введение денежной компенсации обсуждается на фоне рассмотрения Госдумой законопроекта об оборотных штрафах для операторов перссведений, допустивших утечки данных. Законопроект предусматривает штраф в размере от 0,1 до 3% выручки компании за календарный год или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб. за повторную утечку данных.
Помимо этого, ранее Минцифры России выступило с идеей создания фонда помощи пострадавшим от утечек данных, из которого будет выплачиваться денежная компенсация. Также Минцифры предложило использовать портал Госуслуги как площадку распределения компенсаций за утечки персональных данных. Однако вопрос компенсационной суммы все еще остаётся открытым.
ВСС предлагает установить следующие категории данных, которые будут использоваться при расчете компенсации: простые данные (любая информация о человеке), специальные данные (расовая, национальная принадлежность, политические взгляды, интимная жизнь и проч.) и биометрия. Предполагается, что гарантированная компенсация за факт утечки составит 1000, 2000 и 5000 руб. соответственно каждой категории.
При расчёте общей страховой суммы в Союзе предлагают исходить из объема сведений, хранящихся каждым оператором данных. Например, если у компании хранится до 1000 записей, то общий лимит страхового покрытия может составлять 5 млн руб. Если 10 000 записей, то общая сумма страховки увеличится до 20 млн руб. При хранении 100 000 записей персданных лимит составит 100 млн руб., 1 млн записей – 500 млн руб. Максимальная страховая сумма – 1 млрд руб. – будет установлена для тех, кто агрегирует более 1 млн пользовательских записей.
ВСС также проработал модель урегулирования страховых случаев, заявил Новиков. Предполагается, что при фиксации факта утечки персональных данных Роскомнадзором, будет проведена валидации информации, в том числе идентификация пользователей. Информирование граждан о том, что их данные попали в открытый доступ, по задумке организации может происходить через портал Госуслуг. Дальше пострадавшее лицо должно заявить, что оно считает себя пострадавшим и желает получить компенсацию. Валидацией обращений может заниматься Национальная страховая информационная система (НСИС), которой доступны данные Роскомнадзора, страховых компаний и физлиц, отметил Новиков. После всех проверок выплаты фиксированных сумм по факту утечек будут происходить в автоматическом режиме.
По данным Роскомнадзора, с начала 2024 года зафиксировано 110 утечек персональных данных россиян. За первые девять месяцев в интернете распространились базы данных, содержащие более 600 млн записей. Утечки данных стали повседневностью для российских компаний, чего, конечно же, быть не должно, отмечает член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин.
«Пожалуй, самые ожидаемые законопроекты последних лет – поправки в административный и уголовный кодексы, которые предусматривают повышение штрафов за утечку персональных данных и устанавливают оборотные штрафы в случае повторной утечки, а также существенно усиливают уголовную ответственность за преступления, связанные с незаконным оборотом персональных данных. Они были внесены в Госдуму в декабре прошлого года, в первом чтении их приняли в январе», — напомнил депутат.
Согласно предложенным изменениям, ответственность будет расти вместе с объемом „слитой“ информации. Так, если утечка затронула до 10 тысяч субъектов персональных данных, юрлицам грозит штраф от 3 до 5 млн рублей, от 10 до 100 тысяч субъектов — штраф составит уже от 5 до 10 млн рублей, более 100 тысяч — от 10 до 15 млн рублей. За повторные правонарушения будут действовать санкции в виде оборотных штрафов до 3% выручки за предшествующий год. При этом сумма такого штрафа не может быть менее 15 млн рублей и более полумиллиарда рублей.
Если говорить об уголовной ответственности, то она предусмотрена как для профессиональных киберпреступников, так и для рядовых сотрудников компаний, которые решили зарабатывать на сливах информации. Тем, кто незаконно собирает, хранит, использует и передает персональные данные, грозит лишение свободы на срок до 4 лет.
Злоумышленникам, которые незаконно передают базы данных с персональными данными за рубеж, а также для преступников, которые вывозят данные из РФ наказание составит уже до 8 лет лишения свободы. Если же утечка повлекла вред жизни и здоровью граждан, а также общественной безопасности, или речь идет об организованной преступности – срок увеличивается до 10 лет тюрьмы.
Отдельная уголовная ответственность предусмотрена для владельцев интернет-ресурсов, которые предоставляют доступ к незаконно полученным персональным данным граждан платно. Им грозит лишение свободы на срок до пяти лет.
«Напомню, нужно решать проблему наказания комплексно и привлекать преступников, которые наживаются на чужой конфиденциальной информации к серьезной ответственности – в противном случае плачевная ситуация с персональными данными может только усугубиться. В нынешних реалиях ужесточение ответственности за неправомерную работу с данными граждан – это необходимость. К сожалению, многие компании пока пренебрегают мерами кибербезопасности, необходимыми при работе с персональными данными. Виной этому, отчасти, маленькие штрафы, которые действуют сейчас – для компаний с огромным оборотом средств бывает проще расплатиться за свою халатность в части информационной безопасности, чем исправить пробелы в ней. После принятия законопроектов за ошибки придется нести серьезную ответственность и платить немалые штрафы. Хочется верить, что это станет стимулом для недобросовестных компаний наконец начать уважительнее относиться к той информации, которую им доверяют пользователи», — заключил депутат.