Компании хотят заставить компенсировать клиентам утечку их данных

Минцифры завершило подготовку законопроекта, вводящего оборотные штрафы для компаний, которые допустили утечку персональных данных. Документ планируют внести в Госдуму в апреле. Об этом глава ведомства Максут Шадаев сообщил на заседании комитета Госдумы по информационной политике 15 марта. Размер штрафа будет зависеть от того, смогла ли компания возместить ущерб своим клиентам до суда, сказал, отвечая на вопрос «Парламентской газеты», Шадаев.

Штрафовать компании за утечку персональных данных предлагали давно, но фиксированный размер взыскания для этого не подходил. Потому что одно дело небольшая фирма со скромным годовым оборотом, для которой и сто тысяч штрафа неподъемны, а другое — национальная компания с миллионами клиентов. Утечки допускают и те, и другие, и даже государственные организации. Поэтому решили использовать систему оборотных штрафов. То есть размер взыскания будет зависеть от того, сколько зарабатывает фирма.

Подготовленный Минцифры документ вводит отдельный состав административной ответственности за утечку персональных данных, в том числе оборотные штрафы. Будет предусмотрена и уголовная ответственность за кражу данных пользователей, а также за создание сайтов и других каналов для их последующего распространения. «Надеюсь, что уже в апреле начнем рассматривать эти нормы в рамках профильного комитета Госдумы», — сказал на заседании думского IT-комитета Максут Шадаев. О конкретном размере санкций он не сообщил.

В принятом в феврале этого года постановлении Госдумы по итогам «правчаса» с главой Минцифры депутаты предложили ведомству рассмотреть также вопрос о компенсациях вреда пострадавшим от утечек личной информации. Отвечая на вопрос «Парламентской газеты» после заседания комитета, Максут Шадаев сказал, что такая норма в подготовленном к внесению документе есть. «Если компания добровольно, до суда урегулирует вопрос со своими клиентами, это будет расцениваться как смягчающее обстоятельство при назначении штрафа», — объяснил министр.

В Минцифры ранее называли возможные размеры штрафов за утечку данных — до одного процента от годовой выручки. Но если компания пыталась скрыть проблему, то штраф вырастет до трех процентов. Сейчас КоАП предусматривает за утечку данных для юрлиц штраф в размере от 60 до 100 тысяч рублей, при повторном нарушении — до полумиллиона.

В прошлом году группа депутатов и сенаторов разработала законопроект, по которому компания обязана сообщить в Роскомнадзор о произошедшей утечке данных в течение суток после выявления инцидента. Документ приняли, он вступил в законную силу. Теперь фирма должна провести внутреннее расследование произошедшего и отчитаться регулятору. Кроме того, с 1 марта начал действовать новый порядок передачи персональных данных россиян за рубеж: если российский оператор взаимодействует с заграницей, он обязан уведомлять об этом Роскомнадзор, а тот в праве отказать в передаче сведений, если посчитает их грозящими безопасности государства.

Идею ввести оборотные штрафы в IT-комитете заранее поддержали, а представители бизнес-сообщества спорили о размерах взысканий, а также опасались, что штрафовать будут всех без разбору. Ведь не всегда утечка — результат халатности бизнеса, бывают и внешние взломы системы.

Отдельный вопрос — как наказывать чиновников, ведь и из государственных баз периодически утекают данные. Штрафовать госкомпании не получится, ведь это будет перекладывание бюджетных денег из одного кармана в другой. Необходима персональная ответственность, вплоть до уголовной для ответственных за информационную безопасность должностных лиц, сказал «Парламентской газете» зампред IT-комитета Антон Горелкин. Введение этой нормы парламентарии обсудят при рассмотрении закона об оборотных штрафах.

Минцифры готовит новые инициативы для защиты цифровых прав граждан, рассказал Максут Шадаев. Уже в этом году в парламент могут внести законопроект, предполагающий возможность предоставления и отзыва согласия на обработку персональных данных через портал госуслуг. Такие согласия каждый человек подписывает не раз, когда регистрируется в соцсетях, в различных приложениях, в интернет-магазинах и так далее. Юзер может давно не пользоваться сервисом, а сведения о нем так и будут висеть в базе, и не исключено, что в какой-то момент утекут или их могут передать посторонним, ведь часто об этом написано в согласии на обработку. Если же будет единый реестр согласий, то, во-первых, все они будут на виду, а во-вторых, можно будет в любой момент отозвать свои данные, буквально не вставая с дивана.

Еще одна инициатива цифрового ведомства касается возможности устанавливать мобильные приложения не из маркетплейсов разработчиков операционных систем, а также проводить оплату без использования встроенных платежных сервисов. Вопрос стал актуальным в прошлом году, когда заграничные владельцы магазинов приложений стали удалять из них российские программы и запрещать проведение платежей.

Максут Шадаев попросил депутатов побыстрее рассмотреть законопроект о совместном использовании инфраструктуры мобильной связи. Речь идет о базовых станциях, которые сейчас каждый оператор устанавливает и использует самостоятельно. Инициатива Минцифры предполагает возможность устанавливать оборудование разных операторов на одну базовую станцию. «Это повысит доступность мобильной связи и интернета в сельской и труднодоступной местности», — отметил Шадаев. Он также сообщил, что уже в этом году базовые станции российского производства появятся в Крыму. Это позволит не зависеть от западных санкций.