Россиянам хотят платить миллионы за утечку их персональных данных

Персональные данные

Ассоциация юристов России (АЮР), возглавляемая советником спикера Госдумы Вячеславом Плигиным, подготовила предложения по изменению закона «О персональных данных». Поправки направлены в Роскомнадзора и комитет Госдумы по информполитике.

АЮР хочет обязать операторов персональных данных, в числе которых есть все госорганы, компании и физические лица, обрабатывающие такие сведения, по требованию граждан выплачивать им (по решению суда) в случае утечки компенсацию в размере от 500 000 до 5 млн руб. Если утечка данных произошла по вине пользователя, то оператор освобождается от ответственности.

Возможность взыскать компенсацию с компании в случае утечки теоретически есть и сейчас, но, по мнению АЮР, она сильно затруднена. Чтобы взыскать убытки от утечки персональных данных через суд, гражданин должен доказать не только факт нарушения, но и размер убытков, а также причинно-следственную связь между нарушением и убытками.

Существующие штрафы Роскомнадзора за нарушение прав субъектов персональных данных до 75 000 рублей «не создают достаточных финансовых стимулов для операторов», суды же присуждают «крайне невысокие суммы» в качестве компенсации морального ущерба, добавляют авторы инициативы.

В Европе в рамках регламента GDPR предусмотрены штрафы до 4% оборота компании, что заставляет организации ответственно подходить к вопросам защиты персональных данных. Компенсации за моральный ущерб в России редко превышают 10 000–20 000 рублей, уточняют опрошенные «Коммерсантом» эксперты по защите персональных данных.

Впрочем, некоторые эксперты считают, что такой закон может повысить риски. Чтобы гражданину получить выплаты в случае потери данных, ему нужно будет доказать свою личность, а это в очередной раз требует указывать персональные данные. Базы данных с паспортами клиентов представляют намного более высокую ценность, а вероятность утечки таких данных значительно повышается. Они считают, что следует мотивировать организации собирать меньше информации, а также упростить доступ граждан к информации о том, какие данные есть у компаний.