Как получить компенсацию за утечку персональных данных
На портале госуслуг можно будет потребовать компенсацию от оператора персональных данных, то есть от любой компании, которая хранит сведения о человеке и допустила их утечку. Такую законодательную инициативу, как стало известно «Парламентской газете», прорабатывают в IT-комитете Госдумы. Пока же отстаивать свое имя можно в судах или напрямую взаимодействуя с недобросовестной компанией, но шансы найти правду малы, признали эксперты.
Первые случаи уже есть
Петербуржец Александр Шацкий через суд добился от компании «Яндекс.Еда» выплаты компенсации морального вреда за утечку его персональных данных. В марте прошлого года стало известно, что в открытый доступ попали телефоны клиентов и информация об их заказах: состав, время доставки и так далее. В «Яндекс.Еде» факт инцидента признали.
Петербуржец требовал от компании возместить моральный вред в размере 50 тысяч рублей, суд удовлетворил его требования частично, снизив сумму компенсации до пяти тысяч рублей, сообщила объединенная пресс-служба судов Санкт-Петербурга.
Это уже не первый случай, когда россияне добиваются компенсации за утечку своих данных в суде. В ноябре прошлого года суд в Москве постановил выплатить в качестве компенсации 13 пользователям того же сервиса доставки по пять тысяч рублей за утечку их данных. Заявители требовали компенсации в 100 тысяч рублей.
Для компаний, дорожащих репутацией
Добиться взыскания за утечку через суд можно, но нужно быть готовым, что процесс будет сложным и затянется, рассказал «Парламентской газете» член Комитета Госдумы по информационной политике Антон Немкин. «В первую очередь проблема заключается в том, чтобы доказать сам факт того, что ваши данные утекли, — объяснил он. — Зачастую сделать это бывает сложно, ведь самим компаниям совсем невыгодно признать пробелы в информационной безопасности — для них это огромные и репутационные, и финансовые риски».
Еще один способ, по словам Немкина, — попробовать уладить конфликт с компанией напрямую. Возможно, там решат пойти вам навстречу, лишь бы не доводить дело до суда и огласки.
Парламентарии работают над тем, чтобы урегулировать вопрос компенсаций законодательно. Механизмы обсуждают в том числе в думском IT-комитете, подтвердил Антон Немкин. Один из наиболее компромиссных вариантов, по его словам, это введение возможности для тех, чьи данные утекли, через портал госуслуг заявить об этом и потребовать компенсацию непосредственно от оператора, без суда и без подтверждения принадлежности этих персональных данных. «Для оператора такой вариант также может быть компромиссным, поскольку штраф за утечку для него сократится, если компенсация действительно будет выплачена и удовлетворит пользователя», — объяснил депутат.
Сначала штрафы, потом компенсации
Когда механизм компенсаций заработает, пока неизвестно. Для этого как минимум потребуется создать реестр согласий на обработку персональных данных. Каждый раз, когда человек на каком-либо ресурсе оставляет информацию о себе, этот факт должен попадать в реестр. Создать единую базу согласий Минцифры предлагало на портале госуслуг, но механизм до сих пор не реализован.
Против идеи о компенсациях ранее выступали представители IT-бизнеса, отмечая, что это может создать повод для потребительского экстремизма.
Компенсаций не предусматривает и подготовленный сенаторами Андреем Турчаком, Ириной Рукавишниковой и депутатом Госдумы Александром Хинштейном законопроект о штрафах за утечки персональных данных. В августе инициативу поддержал кабмин, сообщила «Парламентской газете» Рукавишникова. За утечку персональных данных в объеме 10 тысяч строк размер штрафа составит от 3 до 5 миллионов рублей, следует из инициативы, до 100 тысяч — 5-10 миллионов рублей, более 100 тысяч — до 15 миллионов. При повторном инциденте будут применять оборотные штрафы. Они могут составить от 0,1 до 3 процентов от выручки за предыдущий отчетный год, не менее 15 миллионов, но не более 500 миллионов рублей.
При этом компенсация для пострадавших, которая предполагалась как смягчающее обстоятельство, в законопроекте пока не обсуждается, уточнил Хинштейн.
Как доказать суду
Российское законодательство не позволяет получать компенсации гражданину только по факту утечки его данных, рассказала «Парламентской газете» директор по правовым инициативам Фонда развития интернет-инициатив (ФРИИ) Александра Орехович.
В случае с утечками действуют общие нормы о компенсации причиненного вреда, объяснила эксперт. То есть если вследствие утечки человек по каким-то причинам понес убытки, например сорвалось заключение договора, или он был уволен, что явилось прямым следствием дискредитации его личности, или утечкой ему были причинены нравственные страдания, он может обратиться в суд. «Там придется доказать, какого рода вред был нанесен и каким образом он связан с утечкой, — установить эту связь порой непросто», — добавила Орехович.
При этом суд склонен снижать заявленные требования, особенно когда речь идет о моральном вреде, оценить который в денежном эквиваленте крайне сложно, добавила представитель ФРИИ.
Но имея в виду успешные прецеденты, попытаться можно. Если есть время и желание, конечно.