Перейти к основному контенту

Новейшие практики цифрового обслуживания бизнеса

Обслуживание счета

Снятие в банкоматах

Переводы физлицам

Реклама. ПАО «Промсвязьбанк».
Генеральная лицензия Банка России № 3251.

Финансы ,  
0 
Эксклюзив

Банки выступили против штрафов до 500 млн руб. за утечки данных

Помогут ли такие меры в борьбе с мошенниками
НСФР выступает против штрафов до ₽500 млн за утечки данных банковских клиентов
Банки считают необоснованным введение оборотных штрафов в размере до 500 млн руб. за утечки персональных данных клиентов. Вопрос введения штрафов, зависящих от оборота, в начале 2023 года поручил рассмотреть Владимир Путин
Фото: Евгений Разумный / Ведомости / ТАСС
Фото: Евгений Разумный / Ведомости / ТАСС

Банки не поддержали установление оборотных штрафов за утечку персональных данных клиентов — инициативу, которая содержится в рассматриваемом Госдумой законопроекте об усилении ответственности за нарушение порядка обработки персональных данных. Соответствующее письмо (есть у РБК) Национальный совет финансового рынка (НСФР) совместно с финансовыми организациями направил в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову.

Законопроект был внесен в Госдуму в конце 2023 года группой депутатов, в числе которых — секретарь генсовета «Единой России» Андрей Турчак, председатель комитета Совета Федерации по конституционному законодательству и государственному строительству Андрей Клишас, глава комитета Госдумы по информполитике Александр Хинштейн и другие. Рассмотреть вопрос о введении оборотных штрафов для компаний, которые допустили утечку персональных данных россиян, в начале 2023 года поручил правительству президент Владимир Путин.

ЦБ подтвердил получение письма, оно будет рассмотрено в установленном порядке, сказал РБК представитель регулятора. «Предложение НСФР только поступило в Минцифры. Мы изучаем документ. Также отмечаем, что законопроект об оборотных штрафах за утечку персональных данных был внесен в Госдуму и разрабатывается группой депутатов. Минцифры принимает участие в обсуждении документа», — сообщил РБК представитель министерства. РБК направил запрос Крашенинникову.

Что предлагают законодатели

Законопроект предлагает установить три градации ответственности в зависимости от объема «утекшей» информации: персональные данные от 1 тыс. до 10 тыс. клиентов (либо от 10 тыс. до 100 тыс. идентификаторов, по которым можно определить физическое лицо), от 10 тыс. до 100 тыс. (либо от 100 тыс. до 1 млн идентификаторов), а также свыше 100 тыс. персональных данных (или более 1 млн идентификаторов). В первом случае штрафы для компаний предлагается установить на уровне от 3 млн до 5 млн руб., во втором — от 5 млн до 10 млн руб., в третьем — от 10 млн до 15 млн руб. В случае повторного нарушения могут быть наложены оборотные штрафы: для компаний от 0,1 до 3% совокупного размера выручки за календарный год, который предшествовал году, в котором было выявлено правонарушение, но не менее 15 млн руб., либо 20 млн руб. (для «специальной категории персональных данных»); верхняя граница возможного штрафа — не более 500 млн руб.

Также предлагается кратно увеличить штрафы за обработку персональных данных в случаях, не предусмотренных законодательством, либо за их обработку, несовместимую с целями их сбора: для компаний минимальный размер штрафа — с 60 тыс. до 150 тыс. руб., максимальный размер — со 100 тыс. до 300 тыс. руб. За повторное совершение данного правонарушения штрафы в отношении юридических лиц предлагается увеличить на 200 тыс. руб. Еще одна группа штрафов может взиматься за неинформирование Роскомнадзора о факте неправомерной передачи персональных данных — с компаний от 1 млн до 3 млн руб., с должностных лиц — от 400 тыс. до 800 тыс. руб.

Банки оценили активность мошенников в 2023 году
Финансы
Фото:David Gyung / Shutterstock

Авторы инициативы указывают на то, что в настоящее время размеры штрафов несоразмерны с возможными последствиями от произошедших утечек. «Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений», — подчеркивается в пояснительной записке. Там добавляется, что повышение штрафов должно стимулировать компании, которые работают с персональными данными, инвестировать в развитие инфраструктуры информационной безопасности. В целом законопроект в случае его принятия должен повысить защищенность персональных данных граждан.

С чем несогласны банки

  • Банки предлагают отменить введение оборотных штрафов за повторную утечку персональных данных в размере до 500 млн руб. «Вызывает обоснованные сомнения тезис о том, что уплата столь значительных штрафов может заставить компании наращивать инвестиции в информационную безопасность (ИБ), поскольку все последние годы расходы на ИБ и без того растут на десятки процентов ежегодно. Напротив, при введении административной ответственности даже просто в силу самого факта утечки персональных данных при отсутствии вины компании ее средства будут уходить на уплату оборотных штрафов, а не на развитие ИБ. Крупный штраф может действовать как стимул только тогда, когда организации могут предотвратить его уплату своими добросовестными действиями», — говорится в письме НСФР. Там предлагается установить штрафы за повторные утечки на фиксированном уровне — от 15 млн до 30 млн руб. в зависимости от категории данных. НСФР обращает внимание и на то, что установление оборотного штрафа предполагает, что правонарушитель извлекает экономическую выгоду из своего неправомерного поведения, поэтому у него денежные средства следует изъять. Однако утечки персональных данных оборачиваются для допустивших их компаний лишь убытками, так как влекут за собой ущерб IТ-инфраструктуре, бизнес-процессам, репутационный ущерб, отток клиентов и т.д.
  • Если решение об установлении оборотных штрафов все же будет принято, то НСФР в качестве альтернативы предлагает установить их в размере до 3% минимального размера уставного капитала.
  • Банки также предлагают отменить повышение штрафов за нарушение работы с персональными данными. В письме НСФР подчеркивается, что в пояснительной записке к законопроекту в качестве обоснования введения повышенных штрафов указываются последствия утечек персональных данных. Однако сам законопроект охватывает более широкий спектр действий с персональными данными, чем указано в пояснительной записке. «В результате этого проектируемые нормы предусматривают значительное увеличение штрафов за любые действия, являющиеся обработкой персональных данных, в случаях, не предусмотренных законодательством о персональных данных, а также за обработку, несовместимую с целями их сбора», — говорится в письме НСФР.
  • Участники финансового рынка также просят предусмотреть, что ответственность наступает не за любую утечку персональных данных, а за утечку, которая стала следствием неисполнения банком либо любой другой компанией, которая работает с данными, установленных требований по информационной безопасности.
  • НСФР также считает, что нужно установить срок вступления законопроекта в силу спустя один год после его публикации вместо предложенных авторами инициативы 30 дней.

Поможет ли рост штрафов в борьбе с утечками

«Законопроект под предлогом борьбы с утечкой данных в действительности приведет к возможности взимать повышенные штрафы вообще за любое нарушение, связанное с обработкой персональных данных. Например, если банк по недосмотру передаст для обработки данные клиента законно привлеченному третьему лицу, которое, однако, не было указано в клиентском согласии на обработку данных, то и это будет караться столь же жестко, как и утечка», — говорит председатель Национального совета финансового рынка Андрей Емелин.

Тренд на увеличение штрафов в области обработки и защиты персональных данных, безусловно, повышает интерес бизнеса к этой теме и стимулирует увеличение выделяемого бюджета компаниями на защиту от утечек, считает руководитель отдела консалтинга F.A.C.C.T. Роман Сюбаев. «Это позволит улучшить условия для обеспечения защиты персональных данных, но не даст гарантий по итоговому улучшению их защищенности, так как на это, кроме финансов, влияют такие факторы, как наличие персонала, обладающего необходимыми компетенциями, готовность бизнеса к перестройке некоторых процессов для повышения общей защищенности персональных данных и так далее», — рассуждает эксперт.

В Госдуму внесли законопроект об ужесточении наказания за утечки данных
Технологии и медиа
Фото: Олег Елков / ТАСС

По мнению Емелина, для борьбы с утечками данных гораздо полезнее было бы повысить раскрываемость преступлений и усилить ответственность для преступников, похищающих информацию. За весь прошлый год до судов дошло всего 87 протоколов, составленных по факту обнаружения утечек персональных данных в отношении всех категорий операторов персональных данных, включая владельцев разного рода сайтов, а не только банков.

Штрафов было выписано всего на 4,6 млн руб., говорит управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин. Столь низкие значения говорят о том, что банк может получить один-два таких штрафа, поэтому даже утроение размера штрафа в масштабах деятельности кредитной организации средней руки пройдет практически незаметным, и, как следствие, мера не станет эффективной, рассуждает юрист.

СберПро Интересное

Упал — поднялся.
Как быстро восстановить бизнес после кибератак

СберПро Интересное

Заряд для автопрома. Как развивается индустрия электромобилей

СберПро Туризм

Притяжение Арктики. Как туристический бренд помогает развивать индустрию путешествий

СберПро АПК

Барометр отрасли: рыболовство и аквакультура

СберПро Транспорт

Эпоха ренессанса.
Что движет российский рынок лизинга

СберПро Главное

Азиатский уклон: новые перспективные пути для экспорта российских технологий

СберПро Главное

Цифровой кодекс:
как будет выглядеть новая концепция регулирования ИКТ

СберПро Промышленность

Как развиваются промышленные кластеры в России и чем они выгодны бизнесу и регионам

СберПро Интересное

Пять глобальных технотрендов в области искусственного интеллекта

СберПро Интересное

Как избежать коммуникативных трудностей в распределённой команде

Авторы
Теги
Магазин исследований Аналитика по теме "Банки"

Новейшие практики цифрового обслуживания бизнеса

Обслуживание счета

Снятие в банкоматах

Переводы физлицам

Реклама. ПАО «Промсвязьбанк».
Генеральная лицензия Банка России № 3251.

Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Курс евро на 21 июня
EUR ЦБ: 91,45 (+2,36)
Инвестиции, 20 июн, 18:06
Курс доллара на 21 июня
USD ЦБ: 85,42 (+2,79)
Инвестиции, 20 июн, 18:06
МИД заявил о сложностях для «компетентных органов» из-за виз по прибытию Политика, 09:36
«₽100 за доллар уже в августе». Почему укрепление рубля было недолгим Pro, 09:34
В Амурской области разбился вертолет Общество, 09:32
Какие арбитражные оговорки включить в договор с иностранным контрагентом Pro, 09:17
МИД сообщил о переговорах с девятью странами о безвизовых поездках Общество, 09:15
В Краснодарском крае два сотрудника МЧС пострадали при атаке дронов Политика, 09:10
7 простых шагов для получения машины в лизинг РБК и ВТБ Лизинг, 09:04
Максимум разделов с выгодой от 9 720 ₽
Оформите подписку РБК Pro со скидкой до 26 июня
Подробнее
Глава «Архыза» заявил о подорожавших на 800% запчастях для канатных дорог Бизнес, 09:00
Глава Адыгеи сообщил об атаке республики дронами Политика, 08:51
Китайский партнер по «Арктик СПГ-2» решил приостановить дела в России Бизнес, 08:49
ЦТАК показало кадры с подарками Путину от Ким Чен Ына Политика, 08:34
Экс-губернатор Кировской области Никита Белых вышел на свободу Общество, 08:32
Сеул рассказал, какое оружие может начать поставлять Украине Политика, 08:27
Военная операция на Украине. Онлайн Политика, 08:25