Банки не поддержали установление оборотных штрафов за утечку персональных данных клиентов; такое наказание предусмотрено в рассматриваемом Госдумой законопроекте. Как сообщает РБК, соответствующее письмо Национальный совет финансового рынка совместно с финансовыми организациями направил в ЦБ, Минцифры и комитет Госдумы по государственному строительству и законодательству.
Законопроект был внесен в Госдуму в конце 2023 года группой депутатов. Рассмотреть вопрос о введении оборотных штрафов для компаний, которые допустили утечку персональных данных россиян, поручил президент России Владимир Путин.
Законопроект предлагает установить три градации ответственности в зависимости от объема утекшей информации: персональные данные от 1 тыс. до 10 тыс. клиентов (либо от 10 тыс. до 100 тыс. идентификаторов, по которым можно определить физическое лицо), от 10 тыс. до 100 тыс. (либо от 100 тыс. до 1 млн идентификаторов), а также свыше 100 тыс. персональных данных (или более 1 млн идентификаторов). В первом случае штрафы для компаний предлагается установить на уровне от 3 млн до 5 млн руб., во втором — от 5 млн до 10 млн руб., в третьем — от 10 млн до 15 млн руб. В случае повторного нарушения могут быть наложены оборотные штрафы: от 0,1 до 3% совокупного размера выручки за календарный год, который предшествовал году, в котором было выявлено правонарушение, но не менее 15 млн руб., либо 20 млн руб. (для «специальной категории персональных данных»); верхняя граница возможного штрафа — не более 500 млн руб.
Также предлагается кратно увеличить штрафы за обработку персональных данных в случаях, не предусмотренных законодательством, либо за их обработку, несовместимую с целями их сбора: для компаний минимальный размер штрафа — с 60 тыс. до 150 тыс. руб., максимальный — со 100 тыс. до 300 тыс. руб. За повторное совершение данного правонарушения штрафы в отношении юридических лиц предлагается увеличить на 200 тыс. руб. Еще одна группа штрафов может взиматься за неинформирование Роскомнадзора о факте неправомерной передачи персональных данных — с компаний от 1 млн до 3 млн руб., с должностных лиц — от 400 тыс. до 800 тыс. руб.
Авторы инициативы подчеркивают, что сейчас размеры штрафов несоразмерны с возможными последствиями от утечек. Повышение штрафов должно стимулировать компании инвестировать в развитие инфраструктуры информационной безопасности.
Банки предлагают отменить введение оборотных штрафов за повторную утечку персональных данных, установить вместо этого фиксированные штрафы — от 15 млн до 30 млн руб. в зависимости от категории данных. Как полагают в НСФР, установление оборотного штрафа предполагает, что правонарушитель извлекает экономическую выгоду из своего неправомерного поведения, поэтому у него денежные средства следует изъять. Однако утечки оборачиваются для допустивших их компаний лишь убытками, так как влекут за собой ущерб ИТ-инфраструктуре, бизнес-процессам, репутационный ущерб, отток клиентов и т.д.
В НСФР также просят предусмотреть, что ответственность наступает не за любую утечку персональных данных, а за утечку, которая стала следствием неисполнения компанией, которая работает с данными, установленных требований по информационной безопасности.