Комитетом Совета Федерации по конституционному законодательству и государственному строительству в соответствии с Планом мероприятий Совета Федерации на осеннюю сессию 2024 года был проведен круглый стол на тему «Компенсации пострадавшим в результате утечки персональных данных: правовые механизмы и практические решения».
В обсуждении приняли участие сенаторы Российской Федерации, представители Министерства финансов Российской Федерации, Государственной Думы Федерального Собрания Российской Федерации, Всероссийского союза страховщиков, страховых компаний, предпринимательского, а также экспертного и научного сообществ.
В последние годы проблема «утечек» персональных данных значительно усугубилась: участились атаки на коммерческие организации и государственные предприятия с целью кражи сведений о физических лицах. Телефоны, адреса, регистрационные номера транспортных средств, сведения о счетах в банках, бизнесе и прочая личная информация пользуются огромным спросом на чёрном рынке в сети «Интернет».
Данные используются преступниками для продажи, организации мошеннических схем, кражи денежных средств или имущества. Кроме того, в открытый доступ попадают данные, касающиеся здоровья и частной (личной) жизни граждан, что также может нанести вред, став предметом для спекуляций.
В связи с этим представляется целесообразным совершенствовать правовые механизмы компенсаций пострадавшим в результате «утечки» персональных данных, а также усилить законодательные нормы в области информационной безопасности (далее – ИБ) организаций.
Участники круглого стола отметили, что в соответствии с п. 3 Постановления Правительства Российской Федерации от 15 июля 2022 года № 1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)», субъектами предпринимательской деятельности, являющимися субъектами критической информационной инфраструктуры Российской Федерации, проведены мероприятия по назначению ответственного за ИБ или переподчинению ранее созданных подразделений ИБ ответственному по ИБ в организации.
В силу формулировки указанной нормы на текущий момент сложилась практика, при которой подразделения ИБ в организациях подчинены подразделениям, которые выполняют функции в сфере информационных технологий (далее – ИТ), цифровизации и цифровой трансформации органа (организации). Таким образом, утрачивается критерий беспристрастности. Руководители ИТ могут скрыть факты нарушения норм ИБ, оказывая воздействие на работников ИБ, искажать статистику, и тем самым понижать уровень ИБ в организациях в целом.
В целях борьбы с подобной практикой было предложено внести изменение в п. 3 Постановления Правительства Российской Федерации от 15 июля 2022 года № 1272, по которому подразделения ИБ не подлежат подчинению структурам, выполняющим функции в сфере ИТ, цифровизации и цифровой трансформации органа (организации).
Участники круглого стола рассмотрели механизм привлечения к субсидиарной ответственности членов органов управления организаций (совета директоров) за утечку персональной информации на примере зарубежного опыта и отметили, что в России нет практики, при которой за компрометацию данных организаций были привлечены к ответственности члены органов управления организаций.
Кроме того, участниками круглого стола были рассмотрены механизмы фиксации нарушений, связанных с оборотом персональных данных, и меры ответственности за составы правонарушений в области несанкционированного раскрытия данных и несоответствия установленным мерам по защите данных в странах Европы, Великобритании, США, Бразилии, Индии, Южной Кореи.
В ходе дискуссии было отмечено, что наиболее эффективным механизмом защиты данных является институт страхования рисков, поскольку он отнимает меньше оборотных средств компаний и при грамотном использовании настраивает на цель защиты всех участников процесса оборота данных, с учетом взаимозависимости стоимости страхования от уровня соответствия объектов стандартам информационной защищенности.
В ходе доклада представителем Всероссийского союза страховщиков были представлены результаты разработки Внутреннего стандарта по условиям договора страхования, обеспечивающего финансирование мероприятий по возмещению вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон «О персональных данных») в рамках законодательной инициативы о введении обязательного финансового обеспечения ответственности операторов за утечки персональных данных граждан. Было предложено дополнить статью 24 Закона «О персональных данных» нормой, согласно которой оператор персональных данных выплачивает пострадавшему субъекту персональных данных компенсацию сверх возмещения вреда субъекту персональных данных, которая имеет фиксированную сумму в зависимости от вида «утекших» персональных данных (биометрических, специальных категорий или иных видов персональных данных). Для реализации указанного механизма предлагается разработать положения, закрепляющие:
— понятие публичной фиксации «утечки» персональных данных;
— установление органа, ответственного за фиксацию «утечки» персональных данных;
— определение момента публичной фиксации «утечки» персональных данных.
Кроме того, обозначена необходимость координации работы участников по разработке данного механизма: текста законодательных изменений, регламента взаимодействия Роскомнадзора, страховых компаний, организаций при установлении факта «утечки» персональных данных, а также положений Методики расчета финансового обеспечения осуществления возмещения вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона «О персональных данных» в рамках законодательной инициативы о введении обязательного финансового обеспечения ответственности операторов за утечки персональных данных граждан, учитывая критерии, которые необходимы для формирования данной методики, в том числе количество и категории обрабатываемых персональных данных, степень вреда, который может быть причинен субъекту персональных данных.
Представителем Ассоциации больших данных в ходе доклада была представлена концепция добровольного внесудебного возмещения вреда субъектам при «утечках» персональных данных, по которому участникам рынка предлагается принять и опубликовать положение о добровольном внесудебном возмещении вреда субъектам, пострадавшим от утечек персональных данных, установить в положении разумные и справедливые формы, размеры и сроки возмещения вреда, а также условия их получения.
Выступления участников
круглого стола и дискуссия по поставленным вопросам будут учитываться в работе
по совершенствованию законодательства Российской Федерации в области разработки
правовых механизмов компенсаций пострадавшим в результате «утечки» персональных данных.