Банки не поддержали установление оборотных штрафов за утечку персональных данных клиентов — инициативу, которая содержится в рассматриваемом Госдумой законопроекте об усилении ответственности за нарушение порядка обработки персональных данных. Соответствующее письмо (есть у РБК) Национальный совет финансового рынка (НСФР) совместно с финансовыми организациями направил в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову.
Законопроект был внесен в Госдуму в конце 2023 года группой депутатов, в числе которых — секретарь генсовета «Единой России» Андрей Турчак, председатель комитета Совета Федерации по конституционному законодательству и государственному строительству Андрей Клишас, глава комитета Госдумы по информполитике Александр Хинштейн и другие. Рассмотреть вопрос о введении оборотных штрафов для компаний, которые допустили утечку персональных данных россиян, в начале 2023 года поручил правительству президент Владимир Путин.
ЦБ подтвердил получение письма, оно будет рассмотрено в установленном порядке, сказал РБК представитель регулятора. «Предложение НСФР только поступило в Минцифры. Мы изучаем документ. Также отмечаем, что законопроект об оборотных штрафах за утечку персональных данных был внесен в Госдуму и разрабатывается группой депутатов. Минцифры принимает участие в обсуждении документа», — сообщил РБК представитель министерства. РБК направил запрос Крашенинникову.
Законопроект предлагает установить три градации ответственности в зависимости от объема «утекшей» информации: персональные данные от 1 тыс. до 10 тыс. клиентов (либо от 10 тыс. до 100 тыс. идентификаторов, по которым можно определить физическое лицо), от 10 тыс. до 100 тыс. (либо от 100 тыс. до 1 млн идентификаторов), а также свыше 100 тыс. персональных данных (или более 1 млн идентификаторов). В первом случае штрафы для компаний предлагается установить на уровне от 3 млн до 5 млн руб., во втором — от 5 млн до 10 млн руб., в третьем — от 10 млн до 15 млн руб. В случае повторного нарушения могут быть наложены оборотные штрафы: для компаний от 0,1 до 3% совокупного размера выручки за календарный год, который предшествовал году, в котором было выявлено правонарушение, но не менее 15 млн руб., либо 20 млн руб. (для «специальной категории персональных данных»); верхняя граница возможного штрафа — не более 500 млн руб.
Также предлагается кратно увеличить штрафы за обработку персональных данных в случаях, не предусмотренных законодательством, либо за их обработку, несовместимую с целями их сбора: для компаний минимальный размер штрафа — с 60 тыс. до 150 тыс. руб., максимальный размер — со 100 тыс. до 300 тыс. руб. За повторное совершение данного правонарушения штрафы в отношении юридических лиц предлагается увеличить на 200 тыс. руб. Еще одна группа штрафов может взиматься за неинформирование Роскомнадзора о факте неправомерной передачи персональных данных — с компаний от 1 млн до 3 млн руб., с должностных лиц — от 400 тыс. до 800 тыс. руб.
Авторы инициативы указывают на то, что в настоящее время размеры штрафов несоразмерны с возможными последствиями от произошедших утечек. «Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений», — подчеркивается в пояснительной записке. Там добавляется, что повышение штрафов должно стимулировать компании, которые работают с персональными данными, инвестировать в развитие инфраструктуры информационной безопасности. В целом законопроект в случае его принятия должен повысить защищенность персональных данных граждан.
«Законопроект под предлогом борьбы с утечкой данных в действительности приведет к возможности взимать повышенные штрафы вообще за любое нарушение, связанное с обработкой персональных данных. Например, если банк по недосмотру передаст для обработки данные клиента законно привлеченному третьему лицу, которое, однако, не было указано в клиентском согласии на обработку данных, то и это будет караться столь же жестко, как и утечка», — говорит председатель Национального совета финансового рынка Андрей Емелин.
Тренд на увеличение штрафов в области обработки и защиты персональных данных, безусловно, повышает интерес бизнеса к этой теме и стимулирует увеличение выделяемого бюджета компаниями на защиту от утечек, считает руководитель отдела консалтинга F.A.C.C.T. Роман Сюбаев. «Это позволит улучшить условия для обеспечения защиты персональных данных, но не даст гарантий по итоговому улучшению их защищенности, так как на это, кроме финансов, влияют такие факторы, как наличие персонала, обладающего необходимыми компетенциями, готовность бизнеса к перестройке некоторых процессов для повышения общей защищенности персональных данных и так далее», — рассуждает эксперт.
По мнению Емелина, для борьбы с утечками данных гораздо полезнее было бы повысить раскрываемость преступлений и усилить ответственность для преступников, похищающих информацию. За весь прошлый год до судов дошло всего 87 протоколов, составленных по факту обнаружения утечек персональных данных в отношении всех категорий операторов персональных данных, включая владельцев разного рода сайтов, а не только банков.
Штрафов было выписано всего на 4,6 млн руб., говорит управляющий партнер юридической компании Enterprise Legal Solutions Юрий Федюкин. Столь низкие значения говорят о том, что банк может получить один-два таких штрафа, поэтому даже утроение размера штрафа в масштабах деятельности кредитной организации средней руки пройдет практически незаметным, и, как следствие, мера не станет эффективной, рассуждает юрист.
Евгения Чернышова