Перейти к основному контенту
Финансы ,  
0 
Эксклюзив

Банки выступили против штрафов до 500 млн руб. за утечки данных

Помогут ли такие меры в борьбе с мошенниками
НСФР выступает против штрафов до ₽500 млн за утечки данных банковских клиентов
Банки считают необоснованным введение оборотных штрафов в размере до 500 млн руб. за утечки персональных данных клиентов. Вопрос введения штрафов, зависящих от оборота, в начале 2023 года поручил рассмотреть Владимир Путин
Фото: Евгений Разумный / Ведомости / ТАСС
Фото: Евгений Разумный / Ведомости / ТАСС

Банки не поддержали установление оборотных штрафов за утечку персональных данных клиентов — инициативу, которая содержится в рассматриваемом Госдумой законопроекте об усилении ответственности за нарушение порядка обработки персональных данных. Соответствующее письмо (есть у РБК) Национальный совет финансового рынка (НСФР) совместно с финансовыми организациями направил в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову.

Законопроект был внесен в Госдуму в конце 2023 года группой депутатов, в числе которых — секретарь генсовета «Единой России» Андрей Турчак, председатель комитета Совета Федерации по конституционному законодательству и государственному строительству Андрей Клишас, глава комитета Госдумы по информполитике Александр Хинштейн и другие. Рассмотреть вопрос о введении оборотных штрафов для компаний, которые допустили утечку персональных данных россиян, в начале 2023 года поручил правительству президент Владимир Путин.

ЦБ подтвердил получение письма, оно будет рассмотрено в установленном порядке, сказал РБК представитель регулятора. «Предложение НСФР только поступило в Минцифры. Мы изучаем документ. Также отмечаем, что законопроект об оборотных штрафах за утечку персональных данных был внесен в Госдуму и разрабатывается группой депутатов. Минцифры принимает участие в обсуждении документа», — сообщил РБК представитель министерства. РБК направил запрос Крашенинникову.

Что предлагают законодатели

Законопроект предлагает установить три градации ответственности в зависимости от объема «утекшей» информации: персональные данные от 1 тыс. до 10 тыс. клиентов (либо от 10 тыс. до 100 тыс. идентификаторов, по которым можно определить физическое лицо), от 10 тыс. до 100 тыс. (либо от 100 тыс. до 1 млн идентификаторов), а также свыше 100 тыс. персональных данных (или более 1 млн идентификаторов). В первом случае штрафы для компаний предлагается установить на уровне от 3 млн до 5 млн руб., во втором — от 5 млн до 10 млн руб., в третьем — от 10 млн до 15 млн руб. В случае повторного нарушения могут быть наложены оборотные штрафы: для компаний от 0,1 до 3% совокупного размера выручки за календарный год, который предшествовал году, в котором было выявлено правонарушение, но не менее 15 млн руб., либо 20 млн руб. (для «специальной категории персональных данных»); верхняя граница возможного штрафа — не более 500 млн руб.

Также предлагается кратно увеличить штрафы за обработку персональных данных в случаях, не предусмотренных законодательством, либо за их обработку, несовместимую с целями их сбора: для компаний минимальный размер штрафа — с 60 тыс. до 150 тыс. руб., максимальный размер — со 100 тыс. до 300 тыс. руб. За повторное совершение данного правонарушения штрафы в отношении юридических лиц предлагается увеличить на 200 тыс. руб. Еще одна группа штрафов может взиматься за неинформирование Роскомнадзора о факте неправомерной передачи персональных данных — с компаний от 1 млн до 3 млн руб., с должностных лиц — от 400 тыс. до 800 тыс. руб.

Банки оценили активность мошенников в 2023 году
Финансы
Фото:David Gyung / Shutterstock

Авторы инициативы указывают на то, что в настоящее время размеры штрафов несоразмерны с возможными последствиями от произошедших утечек. «Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений», — подчеркивается в пояснительной записке. Там добавляется, что повышение штрафов должно стимулировать компании, которые работают с персональными данными, инвестировать в развитие инфраструктуры информационной безопасности. В целом законопроект в случае его принятия должен повысить защищенность персональных данных граждан.

С чем несогласны банки

  • Банки предлагают отменить введение оборотных штрафов за повторную утечку персональных данных в размере до 500 млн руб. «Вызывает обоснованные сомнения тезис о том, что уплата столь значительных штрафов может заставить компании наращивать инвестиции в информационную безопасность (ИБ), поскольку все последние годы расходы на ИБ и без того растут на десятки процентов ежегодно. Напротив, при введении административной ответственности даже просто в силу самого факта утечки персональных данных при отсутствии вины компании ее средства будут уходить на уплату оборотных штрафов, а не на развитие ИБ. Крупный штраф может действовать как стимул только тогда, когда организации могут предотвратить его уплату своими добросовестными действиями», — говорится в письме НСФР. Там предлагается установить штрафы за повторные утечки на фиксированном уровне — от 15 млн до 30 млн руб. в зависимости от категории данных. НСФР обращает внимание и на то, что установление оборотного штрафа предполагает, что правонарушитель извлекает экономическую выгоду из своего неправомерного поведения, поэтому у него денежные средства следует изъять. Однако утечки персональных данных оборачиваются для допустивших их компаний лишь убытками, так как влекут за собой ущерб IТ-инфраструктуре, бизнес-процессам, репутационный ущерб, отток клиентов и т.д.
  • Если решение об установлении оборотных штрафов все же будет принято, то НСФР в качестве альтернативы предлагает установить их в размере до 3% минимального размера уставного капитала.
  • Банки также предлагают отменить повышение штрафов за нарушение работы с персональными данными. В письме НСФР подчеркивается, что в пояснительной записке к законопроекту в качестве обоснования введения повышенных штрафов указываются последствия утечек персональных данных. Однако сам законопроект охватывает более широкий спектр действий с персональными данными, чем указано в пояснительной записке. «В результате этого проектируемые нормы предусматривают значительное увеличение штрафов за любые действия, являющиеся обработкой персональных данных, в случаях, не предусмотренных законодательством о персональных данных, а также за обработку, несовместимую с целями их сбора», — говорится в письме НСФР.
  • Участники финансового рынка также просят предусмотреть, что ответственность наступает не за любую утечку персональных данных, а за утечку, которая стала следствием неисполнения банком либо любой другой компанией, которая работает с данными, установленных требований по информационной безопасности.
  • НСФР также считает, что нужно установить срок вступления законопроекта в силу спустя один год после его публикации вместо предложенных авторами инициативы 30 дней.

Поможет ли рост штрафов в борьбе с утечками

«Законопроект под предлогом борьбы с утечкой данных в действительности приведет к возможности взимать повышенные штрафы вообще за любое нарушение, связанное с обработкой персональных данных. Например, если банк по недосмотру передаст для обработки данные клиента законно привлеченному третьему лицу, которое, однако, не было указано в клиентском согласии на обработку данных, то и это будет караться столь же жестко, как и утечка», — говорит председатель Национального совета финансового рынка Андрей Емелин.

Тренд на увеличение штрафов в области обработки и защиты персональных данных, безусловно, повышает интерес бизнеса к этой теме и стимулирует увеличение выделяемого бюджета компаниями на защиту от утечек, считает руководитель отдела консалтинга F.A.C.C.T. Роман Сюбаев. «Это позволит улучшить условия для обеспечения защиты персональных данных, но не даст гарантий по итоговому улучшению их защищенности, так как на это, кроме финансов, влияют такие факторы, как наличие персонала, обладающего необходимыми компетенциями, готовность бизнеса к перестройке некоторых процессов для повышения общей защищенности персональных данных и так далее», — рассуждает эксперт.

В Госдуму внесли законопроект об ужесточении наказания за утечки данных
Технологии и медиа
Фото: Олег Елков / ТАСС

По мнению Емелина, для борьбы с утечками данных гораздо полезнее было бы повысить раскрываемость преступлений и усилить ответственность для преступников, похищающих информацию. За весь прошлый год до судов дошло всего 87 протоколов, составленных по факту обнаружения утечек персональных данных в отношении всех категорий операторов персональных данных, включая владельцев разного рода сайтов, а не только банков.

Штрафов было выписано всего на 4,6 млн руб., говорит управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин. Столь низкие значения говорят о том, что банк может получить один-два таких штрафа, поэтому даже утроение размера штрафа в масштабах деятельности кредитной организации средней руки пройдет практически незаметным, и, как следствие, мера не станет эффективной, рассуждает юрист.

Авторы
Теги
Магазин исследований Аналитика по теме "Банки"
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.


 

Лента новостей
Курс евро на 26 декабря
EUR ЦБ: 103,94 (-0,29)
Инвестиции, 25 дек, 18:49
Курс доллара на 26 декабря
USD ЦБ: 99,61 (-0,26)
Инвестиции, 25 дек, 18:49
Минпросвещения оценило ситуацию в российском образованииОбщество, 01:25
Адмирал НАТО заявил о разработке в Европе устаревшего вооруженияПолитика, 00:43
«Ъ» узнал о военном опыте обвиненной в терроризме наемницы из ДанииПолитика, 00:43
Львова-Белова рассказала о двух вернувшихся семьях в Россию из СирииПолитика, 00:23
В Москве водитель Lexus погиб при выставлении знака аварийной остановкиГород, 00:09
Эксперты допустили сжатие прибыли банков из-за проблемных кредитовФинансы, 00:05
«Матч ТВ» купил права на эксклюзивный показ UFC в РоссииТехнологии и медиа, 00:05
Как пить красиво и осознанно
Новый интенсив РБК Pro об алкоголе
Подробнее
В зоне военной операции погиб гранатометчик из Пермского краяПолитика, 26 дек, 23:45
В Казахстане рассказали о взрыве баллона в Embraer перед его падениемОбщество, 26 дек, 23:22
В Краснодарский край привезли установку для откачки мазутаОбщество, 26 дек, 22:54
В работе ChatGPT произошел глобальный сбойТехнологии и медиа, 26 дек, 22:46
Украинские пограничники нашли уклонистов в траурном кортежеПолитика, 26 дек, 22:34
Зеленский поблагодарил Вучича за помощь Сербии УкраинеПолитика, 26 дек, 22:33
Путин исключил продление контракта по газу через Украину до конца годаЭкономика, 26 дек, 22:28