Пресса о страховании, страховых компаниях и страховом рынке

Право.Ru, 4 марта 2024 г.

Обзор ключевых изменений в законодательстве о персональных данных

113 просмотров

2023 год в России выдался по-настоящему рекордным по количеству утечек персональных данных — более 300 млн записей оказалось в открытом доступе. И если о необходимости увеличения штрафов за подобные утечки представители Минцифры и Роскомнадзора говорят на протяжении длительного времени, то отдельные законодательные инициативы оформились сравнительно недавно и еще не успели получить широкого общественного обсуждения. Михаил Ратушный, руководитель практики защиты персональных данных, data protection officer «Интернет Решения» (Ozon), собрал и проанализировал несколько новых законопроектов в области персональных данных, принятие которых возможно уже в этом году.

Утром – деньги, вечером – стулья: страхование ответственности или компенсационный фонд на случай утечек

Впервые о механизме страхования ответственности оператора заговорили при обсуждении самых ранних редакций законопроекта об утечках. Участники общественного обсуждения предлагали рассматривать добровольное страхование как обстоятельство, смягчающее административную ответственность. Были даже предложения уменьшать штраф оператору за допущенную утечку на размер выплаченной компенсации пострадавшим субъектам. Однако в текущую редакцию законопроекта все эти предложения в конечном счете не вошли из-за необходимости дополнительной проработки деталей. При этом неясным до текущего момента оставался конкретный страховой риск — следует ли страховать только утечку или же любой инцидент с персональными данными.

Согласно появившейся в середине февраля информации в СМИ, авторы законопроекта остановились на идее сделать страхование только в отношении риска утечек, а не прочих киберрисков (например, рисков неправомерного изменения или уничтожения персональных данных).

Впрочем, внимания заслуживают и иные изменения, анонсированные авторами. К примеру, оператору будет предоставлен выбор между конкретным способом обеспечения его обязательств по возмещению вреда пострадавшим от утечки субъектам. В частности, предлагается следующее:

- собственно классический механизм страхования, при котором оператор обязан заключить с выбранной им страховой организацией соответствующий договор;

- либо создание компенсационного фонда, денежные средства которого при необходимости будут направлены на удовлетворение требований субъектов.

В отсутствие в открытом доступе текста законопроекта остается лишь догадываться о том, как заявленные изменения будут имплементированы в законодательство. При этом уместно говорить о следующих потенциальных опасениях применительно к данной инициативе:

Во-первых, сейчас в принципе отсутствует четкая методологическая база для оценки страхового риска и последствий его наступления. С одной стороны, в России постепенно развивается рынок киберстрахования и отдельные страховые организации уже предлагают свои продукты в этой области. С другой — единого для таких организаций стандарта нет и вряд ли он возникнет: причиной утечки могут быть как направленные действия третьих лиц, так и внешние обстоятельства, не всегда вызванные халатностью оператора.

Во-вторых, как показала практика последних двух лет, в России использование групповых исков в связи с утечкой персональных данных не распространено. В отсутствие эффективно работающего механизма группового иска вероятность взыскания судом значительных компенсаций с оператора, допустившего утечку, кажется незначительной. В частности, самый «крупный» размер компенсации пострадавшим субъектам персональных данных суд взыскал в деле «Яндекс Еды» – 5 000 руб. каждому из 13 пострадавших. Из этого следует резонный вопрос — насколько механизм страхования будет обоснованным по крайней мере в части выплат в рамках гражданского судопроизводства? Будет ли размер страховой премии, установленной страховой организацией, адекватным размеру потенциальной компенсации частным лицам, которую должен будет выплатить оператор?

В-третьих, неясно, что представляет из себя создание компенсационного фонда как альтернативы страхования ответственности оператора. Должен ли такой фонд быть «обездвижен» на специальном счете в банке, чтобы исключить его растрату со стороны оператора? Если да, то, например, существует риск, при котором потенциальная сумма может стать своеобразным «заградительным барьером» для малого и среднего предпринимательства. Для того, чтобы оказывать определенные услуги, предприниматели вынуждены обрабатывать персональные данные. Для формирования компенсационного фонда им придется фактически лишить себя права пользоваться частью собственных активов на случай, вероятность наступления которого никому заранее неизвестна. Что касается крупных корпораций, то многие из них и так вкладывают значительные ресурсы в обеспечение информационной безопасности. В худшем случае обязанность тратить дополнительные денежных средства ради создания гипотетического компенсационного фонда может вынудить их снизить расходы на принятие фактических организационно-технических мер по защите данных.

Мне видится, что задача законодательного регулирования — мотивировать операторов создавать эффективные системы защиты информации и обрабатывать персональные данные в строгом соответствии с требованиями закона. Как и введение оборотных штрафов, требование страховать ответственность или создавать компенсационный фонд без учета объективных потребностей бизнеса и потребителей фактически ведет к «монополизации» обработки персональных данных крупными компаниями, в то время как субъекты малого и среднего предпринимательства фактически оказываются лишены права работать с персональными данными. В частности, подобные меры следует либо рассматривать как добровольное мероприятие, способное снизить размер административного штрафа для оператора, если утечка все же произойдет, либо вводить только в отношении наиболее сенситивных видов персональных данных (например, биометрических). Кроме того, проблема компенсаций, как показывает судебная практика, заключается не в отсутствии у корпораций денег для их выплаты, а в нежелании судов присуждать компенсации в большем размере.

Больше не пара: пользовательское соглашение не должно включить в себя согласие на обработку персональных данных

Следующей инициативой, которая, по мнению авторов законопроекта, должна каким-то образом снизить количество утечек персональных данных, стал запрет на включение согласия на обработку персональных данных в текст пользовательского соглашения.

Стоит оговориться, что запрет на «смешение» правовых оснований (в данном случае договора и согласия) является исключительно положительной практикой, однако при его разработке крайне важна юридическая техника, точность формулировок и общая согласованность с прочими положениями закона «О персональных данных». В частности, законопроект оперирует термином «пользовательское соглашение», которое в иных федеральных законах не используется и не имеет под собой четко определенного нормативного содержания. Значит ли это, что запрет распространится только на онлайн-сервисы, а не любые договоры, предполагающие обработку персональных данных?

Тем не менее законопроект, как следует из заявлений его создателей, преследует крайне важную цель — заставить онлайн-сервисы отказаться от практики навязывать рекламную рассылку всякому, кто просто зарегистрировался и не выражал при этом какого-либо отдельного согласия на получение рекламы. Подобный подход в целом совпадает с позицией регулятора в области рекламы, ФАС России. Так, Санкт-Петербургское управление ведомства в конце прошлого года оштрафовало Совкомбанк за включение безальтернативного «согласия» пользователя сайта в текст публичной оферты, связанной с оформлением карты.

Все новое — хорошо забытое старое: увеличение штрафов за незаконную рекламную рассылку

Такой законопроект внесен в Государственную Думу еще в июле 2023 года, однако до второго чтения еще не дошел. Тем не менее в СМИ уже появилась информация о том, что законопроект был поддержан Правительством и в целом практически готов ко второму чтению.

Предлагаемые изменения являются максимально простыми: предлагается дополнить ст. 14.3. КоАП новым составом — за нарушение требований к рекламе, распространяемой по сетям электросвязи, то есть рекламе по телефону, в виде СМС или через Интернет. Штрафы предлагаются следующие:

- на граждан — от 10 000 до 20 000 руб.;
- на должностных лиц — от 20 000 до 100 000 руб.;
- на юридических лиц — от 300 000 до 1 млн руб.

Для сравнения: текущая редакция ч. 1 ст. 14.3. КоАП предусматривает штрафы примерно в 5 раз меньше для граждан и должностных лиц и в 2 раза меньше — для юридических лиц.

Квалифицированный состав также предусмотрен для кредитных и микрофинансовых организаций, которые рекламируют свои услуги в отношении кредитов (займов) или микрозаймов, но при этом не указывают все условия, влияющие на полную стоимость кредита (займа) или микрозайма:

- на должностных лиц — от 40 000 до 100 000 руб.;
- на юридических лиц — от 600 000 до 1,6 млн руб.

Ожидания в 2024 году

Весьма вероятно, 2024-й станет годом ужесточения требований, связанных с обработкой персональных данных, — преимущественно за счет введения новых штрафов или увеличения уже существующих. Подобный подход в долгосрочной перспективе является менее эффективным, чем повышение уровня осознанности и внедрение лучших практик по защите данных. В частности, у операторов снижается мотивация к следованию нормативным правилам по обеспечению безопасности персональных данных и прозрачности их обработки.

Иначе говоря, оператор, сообщивший об инциденте с персональными данными, в любом случае получит штраф, поэтому тактика сокрытия подобного рода информации может стать своеобразным «отрицательным стандартом» на рынке. По той же причине операторы могут быть вовсе не заинтересованы в имплементации современных и эффективных решений в области защиты данных, поскольку штраф за утечку будет накладываться безотносительно к ранее принятым организационно-техническим мерам, а субъекты не будут получать адекватных компенсаций.

Михаил РАТУШНЫЙ, руководитель практики защиты персональных данных, data protection officer «Интернет Решения» (Ozon)

В материале упоминаются: Компании, организации: Государственная дума Российской Федерации (Госдума РФ) 14291 Федеральная антимонопольная служба (ФАС России) 5822

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »