Минцифры России думало-думало, да и придумало, как решить проблему с систематическими сливами персональных данных. По мнению ведомства, для этого достаточно дать возможность компаниям, допустившим утечку, компенсировать ущерб двум третям пострадавших.
Такую идею высказал на днях в беседе с журналистами глава ведомства Максут Шадаев. Соответствующие нормы планируется оформить в виде законопроекта, над которым министерство работает с весны этого года. Разработка началась на фоне инцидентов, когда у российских компаний, в том числе сервисов «Яндекс.Еда», Delivery Club и медицинской лаборатории «Гемотест», произошли крупные утечки данных пользователей.
По мнению цифрового министра, главная сложность заключается в том, чтобы прописать в законопроекте конструкцию, которая будет предусматривать минимальный и максимальный проценты оборотного штрафа:
Мы пытаемся сказать, что смягчающим обстоятельством для назначения минимального порога будет урегулирование вопросов с пострадавшими. Это самое сложное, такой конструкции просто нет. Мы говорим: двум третям тех граждан, чьи данные утекли, пожалуйста, компенсируйте ущерб. Если вы подписали соглашение, что вы урегулировали с ними вопросы, то идёте по нижней планке.
То есть, компания, которая сливает данные, может договориться с двумя третями пострадавших клиентов, выплатить им компенсацию и сообщить об этом в Роскомнадзор. Если данные подтвердятся в суде, штраф будет снижен. Это считается послаблением, так как в текущей версии законопроекта размер фиксированного штрафа для первого случая утечки может составлять до 10-ти миллионов рублей, а за вторую – до 3% от оборота. Для сравнения, сейчас максимальный штраф за утечку персональных данных для бизнеса составляет чисто символические (с учётом объёмов крупнейших операторов) 500 тысяч рублей.
Вопросов опять-таки больше, чем ответов. Прежде всего, непонятно, как можно объективно подсчитать пострадавших. Обычно айти-компании до последнего скрывают факты сливов, признаваясь только в случаях крупного общественного резонанса, когда базы оказываются в общем доступе. Но даже в таком случае – как определить круг пострадавших? Выкупить у злоумышленников базу данных и взять с них честное слово, что это всё и больше у них ничего не осталось?
Во-вторых, каким образом будет определяться размер компенсации. Будет ли идти речь о некоей закреплённой в законе сумме или компания сможет с барского плеча выбросить счастливым клиентам некую чисто символическую копеечку, а то и вовсе оформить им какой-нибудь скидочный купон на свои услуги?
В-третьих, непонятно, откуда взялась цифра в две трети пострадавших, как их будут определять и почему остальные клиенты ни на какую компенсацию могут не рассчитывать.
Наконец, открытым остаётся вообще вопрос о том, кого считать пострадавшим. Любого человека, данные которого компания слила в открытый доступ, или его же, но уже после того, как эти данные использовали мошенники, например, оформив на его имя кредит или «ООО» с кучей долгов.
Скептики уже начали говорить о том, что Минцифры думает не о том, как бы защитить граждан от торговли персональными данными, а как бы смягчить наказания для своих подопечных айти-компаний. А закон в той форме, о какой идёт речь, фактически легализует торговлю данными, дав возможность операторам откупаться от клиентов.
Впрочем, даже эти меры у самих представителей отрасли вызывают недовольство. В июле они вообще предложили удивительную трёхступенчатую систему наказания за сливы: если данные клиентов или сотрудников компании были скомпрометированы впервые, то она должна получить просто предупреждение; в случае повторной компрометации – заплатить крупный штраф; при третьей утечке – оборотный штраф.
Минцифры в свою очередь предложили альтернативный вариант, с созданием некоего компенсационного фонда, в который направлялись бы собранные штрафы для выплат компенсаций пострадавшим. В министерстве заявляли, что фонд бы действовал по аналогии с Агентством по страхованию вкладов, выплачивающим возмещения вкладчикам банков при наступлении страховых случаев.
Очевидно, что все эти меры выглядят крайне сомнительными и приведут разве что к появлению новых поборов и малоэффективных структур. А для реальной борьбы со сливами стоило бы вводить серьёзную уголовную ответственность для лиц, их допустивших. Поскольку уже ни для кого не секрет, что в большинстве случаев данные клиентов попадают в открытый доступ не из-за происков злых хакеров, а из рук самих сотрудников, а то и руководителей компаний.
За-Строй.РФ
При полном и/или частичном копировании данного материала, для последующего размещения его на стороннем ресурсе, обратная, индексируемая ссылка на источник обязательна!
Очевидное очередное изображение бурной деятельности на фоне крупных утечек информации и беспомощности органов. На запрос общества: "А что делает власть? - власть отвечает: - Работаем!"
Попытки что-то придумать понятны. Особенно ввиду неуёмного желания внедрять биометрическую систему аутентификации личности повсеместно, но не отвечать за последствия сбоев и последующего мошенничества в указанной сфере.
Ну а что еще может власть предложить в рамках действующего законодательства? По большому счету ничего кроме как возмещение вреда.
Сама по себе цифровизация и обеспечение сохранности персональных данных - штука очень финансово затратная. Еще больше закрутить гайки для операторов ПД? - тогда не выполнят переход на цифровизацию.
Как сделать так чтобы волки были сыты и овцы целы? Это как раз законодательно закрепить возмещение вреда. Но вот доказать этот вред практически будет не возможно!!!Это раз. И второе - это компенсация в возмещение вреда - сами знаете какая будет.... В итоге овчинка выделки не стоит. Поэтому все успокоятся и смирятся с утечками ПД.
Так вот вспомним 1 сентября, когда все в панике подавали данные об обработке персональных данных... А некоторые говорили: лучше не подавать ничего, дольше не вспомнят....
Не помню писала или нет... Где-то пару месяцев назад обратилась я в банк... Пришла ножками в один очень известный банк и попросила рассчитать мне ипотеку... Так вот на следующий день мой телефон не унимался от звонков различных банков с предложениями по ипотеке. И вот всё же очевидно, но как докажешь то???
Похоже, нарождается еще одна вечная (древняя) профессия, наряду с проституцией и проч., продажа персональных данных ...
Первые кто регулярно сливает персональные данные - банки! Постоянно и всем на свете!! И что им за это бывает?? Праааально, ничего...
Современные банки - это бывшие менялы, ростовщики и прочий шустрый и оборотистый люд. Тоже древняя профессия, наряду с проституцией. Чего Вы от них хотите - что имеют. то и продают. Или как там в проституции - что имеем, то и даем. Найдите отличия, если сможете ...
Персданные самый расходный и дорогой материал.
Олешка, а Вы откуда это знаете? Может тоже ими приторговываете? Поэтому и в Москву с Севера намыливаетесь?
Откуда у Оленя доступ к перс данным? Только на рога наматываю :=)
Ну, может быть Вы крутой бизнесмен или директор крупного северного банка. А Оленем только прикидываетесь ...
Жёсткие меры с выявлением и привлечением к уголовному наказанию!
А если это мафия типа джакузи? Прошу прощения, якудзе ...
А какая разница?
Во времена СССР по телевизору рассказывали, что мафия в кап. странах - это спрут, у которого щупальца везде и всюду. И мафия, поэтому, непобедима. Но теперь и мы кап. страна. Отсюда следует что? Что и наша мафия тоже непобедима! А Вы - жестокие меры и накажем ... Она же спрут!
"Наконец, открытым остаётся вообще вопрос о том, кого считать пострадавшим"
Единственный вопрос, на который есть ответ. Соглашаясь на обработку ПД, ты разрешаешь это делать конкретному лицу. И становишься автоматически пострадавшим в случае, если это лицо эти ПД слило. Другой вопрос: как узнать, что именно оно слило ПД (зачастую это один и тот же набор ПД, которые мы оставляем везде: от доставки до клиники).
Интересно, а персональные данные передаются устно? Ведь наверняка через интернет отправка идёт, а значит можно отследить?