Банки выступили против штрафов до 500 млн рублей за утечки данных клиентов
Банки и Национальный совет финансового рынка заявили о необоснованности введения оборотных штрафов в размере до 500 млн рублей за утечки персональных данных клиентов. Свою позицию они изложили в письмах в ЦБ, Минцифры и Госдуму. В частности, финансисты сомневаются, что увеличение штрафов будет стимулировать банки укреплять информационную безопасность
Российские банки возразили против установления оборотных штрафов за утечку персональных данных, которое предусмотрено законопроектом Госдумы. Письмо со своими предложениями и возражениями Национальный совет финансового рынка (НСФР) совместно с банками направил в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову, сообщает РБК со ссылкой на документ (есть в распоряжении издания).
Центробанк подтвердил получение письма, оно будет рассмотрено в установленном порядке, сказал РБК представитель регулятора. В Минцифры сказали, что предложение НСФР «только поступило», и напомнили, что законопроект об оборотных штрафах за утечку персональных данных был внесен в Госдуму и разрабатывался группой депутатов. «Минцифры принимает участие в обсуждении документа», — сообщил представитель министерства. РБК направил запрос Крашенинникову.
Поправки в КоАП, предполагающие наложение оборотных штрафов за утечки персональных данных, были представлены на рассмотрение правительству 26 июля 2023 года сенаторами Андреем Турчаком, Ириной Рукавишниковой и депутатом Александром Хинштейном. Законопроект был внесен в Госдуму в конце 2023 года группой депутатов. Согласно ему, сумма штрафа за первую утечку предполагается фиксированной, а за повторную уже будет зависеть от оборота компании. НСФР и банки предлагают отменить введение оборотных штрафов за повторную утечку персональных данных в размере до 500 млн рублей.
При введении административной ответственности даже просто в силу самого факта утечки персональных данных при отсутствии вины компании ее средства будут уходить на уплату оборотных штрафов, а не на развитие информационной безопасности, отмечается в письме. «Крупный штраф может действовать как стимул только тогда, когда организации могут предотвратить его уплату своими добросовестными действиями», — подчеркнули его авторы. В письме предлагается установить штрафы за повторные утечки на фиксированном уровне — от 15 млн до 30 млн рублей в зависимости от категории данных.
НСФР полагает, что оборотные штрафы устанавливаются в случаях, если правонарушитель извлекает экономическую выгоду из своего неправомерного поведения, а при утечке персональных данных допустившие их компании несут лишь убытки (ущерб IТ-инфраструктуре, бизнес-процессам, репутационный ущерб, отток клиентов и т. д.). Если решение об установлении оборотных штрафов будет принято, то НСФР предлагает установить их в размере до 3% минимального размера уставного капитала.
Банки также предложили отменить повышение штрафов за нарушение работы с персональными данными. В письме НСФР говорится, что заложенные в законопроекте нормы предусматривают значительное увеличение штрафов за любые действия, являющиеся обработкой персональных данных. Участники финансового рынка просят предусмотреть, что ответственность наступает не за любую утечку персональных данных, а за утечку, которая стала следствием неисполнения банком либо любой другой компанией, которая работает с данными, установленных требований по информационной безопасности. НСФР считает, что нужно установить срок вступления законопроекта в силу спустя один год после его публикации вместо предложенных авторами инициативы 30 дней.
Председатель НСФР Андрей Емелин сказал, что законопроект под предлогом борьбы с утечкой данных в действительности «приведет к возможности взимать повышенные штрафы вообще за любое нарушение, связанное с обработкой персональных данных». По мнению Емелина, для борьбы с утечками данных гораздо полезнее было бы повысить раскрываемость преступлений и усилить ответственность для преступников, похищающих информацию.
За 2023 год до судов дошло всего 87 протоколов, составленных по факту обнаружения утечек персональных данных в отношении всех категорий операторов персональных данных, включая владельцев разного рода сайтов, а не только банков. Штрафов было выписано всего на 4,6 млн рублей, сказал управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин. По его оценке, даже утроение размера штрафа в масштабах деятельности среднего размера банка пройдет практически незаметно, а мера не станет эффективной.