Возражения на 500 миллионов
Возражения на 500 миллионов
НСФР выступил против оборотных штрафов за утечку персональных данных из банков
Банки считают необоснованным введение оборотных штрафов в размере до 500 млн руб. за утечки персональных данных клиентов. Вопрос введения штрафов, зависящих от оборота, в начале 2023 года поручил рассмотреть Владимир Путин
Банки не поддержали установление оборотных штрафов за утечку персональных данных клиентов — инициативу, которая содержится в рассматриваемом Госдумой законопроекте об усилении ответственности за нарушение порядка обработки персональных данных. Соответствующее письмо (есть у РБК) Национальный совет финансового рынка (НСФР) совместно с финансовыми организациями направил в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову.
Законопроект был внесен в Госдуму в конце 2023 года группой депутатов, в числе которых — секретарь генсовета «Единой России» Андрей Турчак, председатель комитета Совета Федерации по конституционному законодательству и государственному строительству Андрей Клишас, глава комитета Госдумы по информполитике Александр Хинштейн и другие. Рассмотреть вопрос о введении оборотных штрафов для компаний, которые допустили утечку персональных данных россиян, в начале 2023 года поручил правительству президент Владимир Путин.
ЦБ подтвердил получение письма, оно будет рассмотрено в установленном порядке, сказал РБК представитель регулятора. «Предложение НСФР только поступило в Минцифры. Мы изучаем документ. Также отмечаем, что законопроект об оборотных штрафах за утечку персональных данных был внесен в Госдуму и разрабатывается группой депутатов. Минцифры принимает участие в обсуждении документа», — сообщил РБК представитель министерства. РБК направил запрос Крашенинникову.
Что предлагают законодатели
Законопроект предлагает установить три градации ответственности в зависимости от объема «утекшей» информации: персональные данные от 1 тыс. до 10 тыс. клиентов (либо от 10 тыс. до 100 тыс. идентификаторов, по которым можно определить физическое лицо), от 10 тыс. до 100 тыс. (либо от 100 тыс. до 1 млн идентификаторов), а также свыше 100 тыс. персональных данных (или более 1 млн идентификаторов). В первом случае штрафы для компаний предлагается установить на уровне от 3 млн до 5 млн руб., во втором — от 5 млн до 10 млн руб., в третьем — от 10 млн до 15 млн руб. В случае повторного нарушения могут быть наложены оборотные штрафы: для компаний от 0,1 до 3% совокупного размера выручки за календарный год, который предшествовал году, в котором было выявлено правонарушение, но не менее 15 млн руб., либо 20 млн руб. (для «специальной категории персональных данных»); верхняя граница возможного штрафа — не более 500 млн руб.
Также предлагается кратно увеличить штрафы за обработку персональных данных в случаях, не предусмотренных законодательством, либо за их обработку, несовместимую с целями их сбора: для компаний минимальный размер штрафа — с 60 тыс. до 150 тыс. руб., максимальный размер — со 100 тыс. до 300 тыс. руб. За повторное совершение данного правонарушения штрафы в отношении юридических лиц предлагается увеличить на 200 тыс. руб. Еще одна группа штрафов может взиматься за неинформирование Роскомнадзора о факте неправомерной передачи персональных данных — с компаний от 1 млн до 3 млн руб., с должностных лиц — от 400 тыс. до 800 тыс. руб.
Авторы инициативы указывают на то, что в настоящее время размеры штрафов несоразмерны с возможными последствиями от произошедших утечек. «Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений», — подчеркивается в пояснительной записке. Там добавляется, что повышение штрафов должно стимулировать компании, которые работают с персональными данными, инвестировать в развитие инфраструктуры информационной безопасности. В целом законопроект в случае его принятия должен повысить защищенность персональных данных граждан.
С чем несогласны банки
- Банки предлагают отменить введение оборотных штрафов за повторную утечку персональных данных в размере до 500 млн руб. «Вызывает обоснованные сомнения тезис о том, что уплата столь значительных штрафов может заставить компании наращивать инвестиции в информационную безопасность (ИБ), поскольку все последние годы расходы на ИБ и без того растут на десятки процентов ежегодно. Напротив, при введении административной ответственности даже просто в силу самого факта утечки персональных данных при отсутствии вины компании ее средства будут уходить на уплату оборотных штрафов, а не на развитие ИБ. Крупный штраф может действовать как стимул только тогда, когда организации могут предотвратить его уплату своими добросовестными действиями», — говорится в письме НСФР. Там предлагается установить штрафы за повторные утечки на фиксированном уровне — от 15 млн до 30 млн руб. в зависимости от категории данных. НСФР обращает внимание и на то, что установление оборотного штрафа предполагает, что правонарушитель извлекает экономическую выгоду из своего неправомерного поведения, поэтому у него денежные средства следует изъять. Однако утечки персональных данных оборачиваются для допустивших их компаний лишь убытками, так как влекут за собой ущерб IТ-инфраструктуре, бизнес-процессам, репутационный ущерб, отток клиентов и т.д.
- Если решение об установлении оборотных штрафов все же будет принято, то НСФР в качестве альтернативы предлагает установить их в размере до 3% минимального размера уставного капитала.
- Банки также предлагают отменить повышение штрафов за нарушение работы с персональными данными. В письме НСФР подчеркивается, что в пояснительной записке к законопроекту в качестве обоснования введения повышенных штрафов указываются последствия утечек персональных данных. Однако сам законопроект охватывает более широкий спектр действий с персональными данными, чем указано в пояснительной записке. «В результате этого проектируемые нормы предусматривают значительное увеличение штрафов за любые действия, являющиеся обработкой персональных данных, в случаях, не предусмотренных законодательством о персональных данных, а также за обработку, несовместимую с целями их сбора», — говорится в письме НСФР.
- Участники финансового рынка также просят предусмотреть, что ответственность наступает не за любую утечку персональных данных, а за утечку, которая стала следствием неисполнения банком либо любой другой компанией, которая работает с данными, установленных требований по информационной безопасности.
- НСФР также считает, что нужно установить срок вступления законопроекта в силу спустя один год после его публикации вместо предложенных авторами инициативы 30 дней.
Поможет ли рост штрафов в борьбе с утечками
«Законопроект под предлогом борьбы с утечкой данных в действительности приведет к возможности взимать повышенные штрафы вообще за любое нарушение, связанное с обработкой персональных данных. Например, если банк по недосмотру передаст для обработки данные клиента законно привлеченному третьему лицу, которое, однако, не было указано в клиентском согласии на обработку данных, то и это будет караться столь же жестко, как и утечка», — говорит председатель Национального совета финансового рынка Андрей Емелин.
Тренд на увеличение штрафов в области обработки и защиты персональных данных, безусловно, повышает интерес бизнеса к этой теме и стимулирует увеличение выделяемого бюджета компаниями на защиту от утечек, считает руководитель отдела консалтинга F.A.C.C.T. Роман Сюбаев. «Это позволит улучшить условия для обеспечения защиты персональных данных, но не даст гарантий по итоговому улучшению их защищенности, так как на это, кроме финансов, влияют такие факторы, как наличие персонала, обладающего необходимыми компетенциями, готовность бизнеса к перестройке некоторых процессов для повышения общей защищенности персональных данных и так далее», — рассуждает эксперт.
По мнению Емелина, для борьбы с утечками данных гораздо полезнее было бы повысить раскрываемость преступлений и усилить ответственность для преступников, похищающих информацию. За весь прошлый год до судов дошло всего 87 протоколов, составленных по факту обнаружения утечек персональных данных в отношении всех категорий операторов персональных данных, включая владельцев разного рода сайтов, а не только банков.
Штрафов было выписано всего на 4,6 млн руб., говорит управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин. Столь низкие значения говорят о том, что банк может получить один-два таких штрафа, поэтому даже утроение размера штрафа в масштабах деятельности кредитной организации средней руки пройдет практически незаметным, и, как следствие, мера не станет эффективной, рассуждает юрист.
