В России хотят создать аналог ОСАГО для операторов персональных данных
Совет Федерации предложил обязать бизнес формировать резерв для выплаты компенсаций за утечку персональных данных. Об изменениях в ФЗ №152 «О персональных данных» заявил журналистам заместитель председателя совета по развитию цифровой экономики при Совете Федерации, член Комитета по конституционному законодательству и государственному строительству Артем Шейкин.
— Основная идея инициативы в том, чтобы организации, которые обрабатывают персональные данные, имели финансовое обеспечение для возмещения вреда субъектам персональных данных. Это может быть полис у страховой компании, банковская гарантия либо документ, подтверждающий наличие резервного фонда внутри компании. Требование коснется как государственных и муниципальных организаций, так и бизнеса, — заявил Артем Шейкин.
По его словам, пока нет окончательного решения, будет ли мера распространяться на всех операторов персональных данных или только на тех, кто имеет более определенного количества записей в информационной системе. Также в Совете Федерации нет консенсуса по вопросу, что будет являться страховым случаем и каковы будут лимиты страховой суммы для выплат пострадавшим гражданам; предполагается, что размер выплаты будет зависеть от уровня персональных данных — чем чувствительнее утекшая информация, тем больше страховая сумма.
В судебной практике есть случаи, когда Роскомнадзор привлек к ответственности оператора персональных данных за утечку двух записей о работниках, содержащихся в переписке по электронной почте, напомнил он.
Помимо этого, есть ситуации, когда физические лица тоже становятся операторами персональных данных.
— Если вводить обязательный институт страхования для всех операторов персональных данных, то потребуются ресурсы по регулированию и управлению этим видом страхования не меньше, чем для ОСАГО, — считает юрист. — А до этого потребуется решить вопрос пересмотра регулирования в сфере кибербезопасности. Иначе это может превратиться в историю, которая ранее была с техосмотрами автомобилей. Ее так или иначе пришлось либерализовать.
По мнению эксперта, явно должны быть определены критерии, которые сфокусируют страхование на отдельных операторах персональных данных. «Здесь может быть использован европейский подход, где операторы персональных данных должны проводить оценку воздействия на права субъектов персональных данных. При достижении определенных показателей включаются другие инструменты защиты персональных данных. Однако в российской действительности, скорее всего, будет рассматриваться подход на основе формальных технических критериев, например количества обрабатываемых записей», — полагает он.
— Сейчас на операторов персональных данных хотят распространить принцип двойной ответственности. Первый — это административный штраф за утечки, второй — это страховая премия, которая, скорее всего, будет повышена на следующие годы, если утечка произошла. О балансе этих двух видов ответственности обсуждений пока не видно, — считает Денис Лукаш.
Подписывайтесь на телеграм-канал, группу «ВКонтакте» и страницу в «Одноклассниках» «Реального времени». Ежедневные видео на Rutube, «Дзене» и Youtube.