Юрист оценил возможность возмещения в РФ ущерба за утечку персональных данных
Предложение Роскомнадзора обязать операторов персональных данных возмещать ущерб пострадавшим из-за утечки этой информации является достаточно актуальным. Об этом заявил «Известиям» Александр Журавлев, председатель Комиссии по правовому обеспечению цифровой экономики московского отделения российской Ассоциации юристов, во вторник, 23 марта.
По его словам, если говорить о вопросах, связанных, например, со штрафами за нарушения закона о персональных данных, то это относится к публично-правовым отношениям, это административные штрафы. Предложение является «достаточно актуальным», поскольку в отличие от гражданско-правовых отношений на сегодняшний день исполнить решение суда и предписание о наложении штрафа в другой юрисдикции «практически невозможно», так как в отличие от аналогичного механизма с двойным налогообложением в России нет соответствующих соглашений с другими регуляторами в этой области.
Ранее в этот же день замглавы РКН Владимир Логунов на заседании рабочей группы комитета Госдумы по борьбе с киберпреступлениями предложил обязать операторов персональных данных компенсировать ущерб пострадавшим из-за утечки такой информации. Также он заявил о необходимости распространения принципов закона о персональных данных на иностранные интернет-площадки и ограничение трансграничной передачи данных для защиты прав россиян.
Что касается международного сотрудничества, это «абсолютно правильное направление для движения» и для этого есть ряд причин, сказал «Известиям» Журавлев. Первая — это деятельность интернет-платформ. Она трансгранична, а для того чтобы бороться со многими нарушениями, которые допускаются в отношении как пользователей, так и бизнеса, необходимо работать на международном уровне.
Что касается компенсации, на сегодня, по словам юриста, закон о персональных данных позволяет взыскание морального вреда, но на практике суммы обычно не превышают 15 тыс. рублей.
Эксперт отметил, что если говорить про ущерб или убытки, то в данном случае за всё время существования закона о персональных данных не было ни одного случая взыскания убытков, потому что они по своему составу сложно доказуемы. То есть в процессе важно будет доказать «причинно-следственную связь между действиями бездействиями оператора», а в России на сегодняшний день «отсутствует полностью прозрачный оборот персональных данных и доказать это невозможно».
Следовательно, если говорить о том, что целью является защита граждан, нужно ввести третий способ защиты, кроме убытков и морального вреда. Речь идет о некой фиксированной компенсации, допустим, с порогом от 10 тыс. до 1 млн рублей, которую гражданин мог бы взыскивать в зависимости от того нарушения, которое совершил оператор в отношении его персональных данных.
Специалист считает, что здесь при определении размера компенсации суд должен учитывать многие факторы. Это в том числе меры, которые оператор персональных данных предпринял для защиты этих данных. Если нарушение незначительные и не повлекли последствий, то, соответственно, необходимо применять «маленькую компенсацию, а также иные факторы, которые были при обстоятельствах дела».
В этом случае у граждан появится «действительно эффективный» способ для защиты своих прав, в отличие от административно-правовых отношений. А гражданский иск при необходимости потом можно признать и привести в исполнение на территории другого государства, где, например, расположены иностранная компания, нарушившая права россиян. Кроме того, в отличие от административных штрафов, в этом случае компенсация идет в доход непосредственно гражданину, а не в бюджет.
В Facebook и Twitter не ответили на запрос «Известий». В Google воздержались от комментария.
Согласно предложению Роскомнадзора, операторы должны будут установить расчет размер денежной компенсации в соответствии с нанесенным ущербом субъекту персональных данных. Идею ведомство собирается проработать на площадке Госдумы.
По словам представителя МВД России Алексея Плотницкого, утечки персональных данных происходят не из ведомства, а из коммерческих организаций, куда россияне передают такую информацию.
Он назвал нецелесообразным введение в Уголовный кодекс России отдельной статьи, которая касается банковской тайны. По его словам, нужно работать в рамках существующей ст. 183 УК РФ («Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»).
Плотницкий также предложил пересмотреть меры ответственности по всему спектру статей главы 28 УК, касающейся преступлений в сфере компьютерной информации.
Он также считает, что вопрос с персональными данными нужно решать комплексно, не ограничиваясь банковской тайной.
16 февраля первый замглавы департамента информационной безопасности Центробанка Артем Сычев сообщил, что регулятор предложил ужесточить наказание за нарушение банковской тайны сотрудниками кредитных организаций.
