Компании заплатят пользователям за утечки их данных
По всей видимости в России наконец-то начнут защищать персональные данные на адекватном уровне. И основной стимул для таких изменений - ужесточение наказаний. На неделе правительство одобрило поправки к статье 13.11 КоАП в части увеличения размера штрафов за нарушение законодательства о персональных данных.
Итак, если законопроект будет принят, то за утечку данных от 1000 до 10 000 субъектов персональных данных штраф для юрлиц составит от 3 до 5 млн рублей. За утечку данных от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей. Ну и за утечку данных более 100 000 граждан — от 10 до 15 млн рублей. За утечки биометрических персональных данных юрлицо может получить штраф от 15 до 20 млн руб.
Это ещё не всё. Законопроект предусматривает и оборотные штрафы, прям как в GDPR. Так, если при повторной утечке пострадали не менее тысячи человек, оборотный штраф составит от 0,1 до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 и не более 500 млн рублей.
Но и это ещё не всё. Правительство поддержало поистине прогрессивную инициативу о том, что компании будут компенсировать ущерб пострадавшим от утечек персональных данных.
Механизм следующий:
- Компания сообщает пользователю об утечке его персональных данных. Если она готова выплатить компенсацию, то в сообщении должна содержаться соответствующая информация. Сведения дублируются на госуслугах.
- После получения информации пользователь должен в течение 15 рабочих дней подать заявку на возмещение причиненного ущерба. Это можно сделать через госуслуги.
- Компания в течение 20 рабочих дней после получения заявок рассчитывает объем денежной выплаты. После чего направляет обратившимся свое предложение, в том числе через госуслуги.
- Пользователь может принять предложение или отказаться от него в течение 20 рабочих дней.
- Если более 80% обратившихся согласятся на компенсацию, то компания должна будет выплатить ее в течение 5 рабочих дней.
Как видно из текста, выплата компенсации осуществляется в добровольном порядке. Однако, если компания таким образом возмещает ущерб, то это будет расцениваться в качестве смягчающего обстоятельства и к ней будут применяться пониженные штрафы.
Предложенный подход мне видится разумным с точки зрения интересов общества, государства и пострадавших пользователей. Ведь немногие идут в суд за компенсацией ущерба, причинённого утечкой данных. Прежде всего из-за сложных судебных процедур и смехотворных размеров такой компенсации. Если же законопроект примут, это позволит гражданам получать возмещение в упрощённом порядке не выходя из дома. Посмотрим, насколько такая система окажется эффективной. В любом случае, этот законопроект является огромным шагом вперед в сфере защиты персональных данных.
тг-канал: IT-юрист в эмиграции