Банки не поддержали введение штрафов до 500 млн рублей за утечки данных

Участники финансового рынка выступили против введения штрафов с оборота за утечку персональных данных клиентов, написал РБК со ссылкой на письмо Национального совета финансового рынка (НСФР), написанное совместно с финансовыми организациями и направленное в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову. Банк России и Минцифры подтвердили получение письма. 

Рассмотреть вопрос о введении оборотных штрафов для компаний, которые допустили утечку персональных данных россиян, поручил Владимир Путин по итогам заседания Совета по развитию гражданского общества и правам человека 7 декабря 2022 года.  Законопроект был внесен в Госдуму в конце 2023 года группой депутатов.

В нем предлагается разделить штрафы на три категории в зависимости от объема утечки: 

• От тысячи до 10 тысяч клиентов / от 10 тысяч до 100 тысяч идентификаторов — от 3 млн до 5 млн рублей.
• От 10 тысяч до 100 тысяч клиентов / от 100 тысяч до миллиона идентификаторов — от 5 млн до 10 млн рублей. 
• Свыше 100 тысяч клиентов / более миллиона идентификаторов — от 10 до 15 млн рублей. 

В случае повторной утечки могут быть наложены штрафы с оборота в размере от 0,1% до 3% совокупного размера выручки за год, предшествующий инциденту, но не менее 15 млн рублей; либо 20 млн рублей для «специальной категории персональных данных»; верхняя граница штрафа — не более 500 млн руб.

Кроме того, планируется ужесточить наказание за неправомерную обработку персональных данных. Минимальный размер штрафа составит от 60 тысяч до 150 тысяч рублей, а максимальный — от 100 тысяч до 300 тысяч рублей. При повторном нарушении штраф будет увеличен на 200 тысяч рублей. 

В случае, если компания скрыла правонарушение от Роскомнадзора, предполагается штраф от 1 до 3 млн рублей для юридических лиц и от 400 тысяч до 800 тысяч рублей для должностных. 

Банки выступили против введения оборотных штрафов за повторную утечку данных до 500 млн рублей, объясняя это тем, что расходы на информационную безопасность и без того непреклонно растут, а введение дополнительных штрафов только усугубит ситуацию, следует из письма. Они предложили зафиксировать сумму выплат на уровне от 15 млн до 30 млн рублей, в зависимости от категории данных. 

Оборотные штрафы, если они будут приняты, банки предложили установить в размере до 3% минимального размера уставного капитала. Также они предлагают не увеличивать штраф за неправомерную обработку данных и просят продлить строк вступления законопроекта в силу до одного года после его публикации вместо предусмотренных 30 дней.

За 2023 год Роскомнадзор зафиксировал 168 случаев утечки персональных данных, в 2022 году их было 140. При этом в открытый доступ попало только 300 млн записей, в 2022 году в сеть попало вдвое больше — около 600 млн записей.