Российские банки против оборотного штрафа до 500 млн рублей за утечку персональных данных клиентов

Российские банки выступили против установления оборотного штрафа до 500 млн рублей за утечку персональных данных клиентов. Национальный совет финансового рынка совместно с финорганизациями направил соответствующее письмо в ЦБ, Минцифры и Госдуму.

Законопроект об оборотных штрафах за утечку персональных данных был принят в первом чтении в январе. Согласно ему, штраф составит от 3 млн до 15 млн рублей в зависимости от объема утекшей информации. А в случае повторного нарушения компании заплатят уже не менее 15-20 млн рублей и не более 500 млн рублей соответственно.

По мнению авторов законопроекта, такие штрафы могут сподвигнуть компании инвестировать в информационную безопасность. В Национальном совете финрынка с этим тезисом не согласны. По мнению его председателя Андрея Емелина, законопроект требует существенной доработки по целому ряду направлений:

Андрей Емелин председатель Национального совета финрынка «Целесообразно, во-первых, остановиться только на тех случаях, когда мы имеем дело с реальными утечками, а не с любыми нарушениями. Вот тот состав, который сейчас содержится в КоАП, универсальный, охватываются любые действия, которые так или иначе нарушают законодательство о персональных данных. Во-вторых, даже если вводить оборотные штрафы, они должны быть многократно снижены. Здесь надо принимать во внимание, что основная негативная волна после утечки — это влияние на самих субъектов персональных данных, которые страдают от того, что персональные данные стали доступны злоумышленникам. И здесь простое штрафование в пользу бюджета видится как минимум не очень справедливым. Оно должно быть там, где есть действительно вина самого юридического лица и его должностных лиц в том, что какие-то требования были не соблюдены. И совершенно другой случай, когда утечка информации связана, к сожалению, с высоким классом действия хакеров, и практически любая защита может быть пробита. Санкции должны учитывать тот факт, что виновности в произошедшем со стороны субъекта обработки нет. Кроме того, самыми подвергаемыми внешним атакам хакеров субъектами являются самые крупные организации, не только, подчеркну, финансовые. И применение к ним оборотных штрафов, которые могут исчисляться вплоть до миллиардов, не ведет абсолютно ни к какому полезному результату. То есть мы будем вырывать из этих организаций очень крупные суммы, которые просто пойдут в бюджет, а организации лишатся возможности использования этих денежных средств для ведения своей деятельности. В нашей системе, если такая вилка санкций будет закреплена в законе, она будет применяться просто как любая другая санкция. Надо ли за это наказывать оборотно? Я, если честно, не уверен, потому что у нас оборотные штрафы обычно связаны с составами, связанными с извлечением прибыли. Поэтому их, например, использует ФАС, потому что речь идет о нарушении антимонопольного законодательства, когда вследствие них виновное лицо юридическое получило прибыль. Здесь мы с вами имеем дело конкретное в случае хищения персональных данных, которое никак не связано с извлечением прибыли тем лицом, у которого их похитили, напротив, оно чаще всего страдает и репутационно, и экономически, и финансово, потому что к нему применяются в том числе и стандартные санкции, сейчас действующие, со стороны Роскомнадзора или правоохранительных органов. В этой ситуации самым логичным видится вектор, связанный, во-первых, с повышением доступности тех же самых технологических систем защиты для всех организаций, не только для финансовых, более жесткое наказание для самих хакеров. Вместо того чтобы ловить тех, кто виноват, мы берем тех, кто в крайнем случае допустил какую-то неосторожность, и начинаем их штрафовать так, как будто это они похитили данные».

Реакция на этот законопроект была широкой еще до его рассмотрения. Многие госорганы тогда высказались с критикой и подхода, и пределов, в том числе Минэкономразвития.

А в начале января этого года ЦБ выступил с инициативой, согласно которой топ-менеджеров финорганизаций будут отстранять от работы за утечку данных.