Российские банки посчитали необоснованным ввод оборотных штрафов в размере до 500 млн рублей за утечку персональных данных клиентов. Об этом говорится в совместном письме Национального совета финансового рынка (НСФР) и банков, которое направили в ЦБ, Минцифры и Госдуму, пишет РБК.
Законопроект об оборотных штрафах внесли в Госдуму в конце 2023 года. В нём предлагается установить три градации ответственности в зависимости от объёма утёкшей информации:
персональные данные от 1 до 10 тысяч клиентов либо от 10 до 100 тысяч идентификаторов, по которым можно определить физическое лицо;
сведения от 10 до 100 тысяч клиентов либо от 100 тысяч до 1 млн идентификаторов;
данные свыше 100 тысяч клиентов либо более 1 млн идентификаторов.
За каждую ступень предусмотрены различные штрафы: от 3 до 5 млн рублей на первом уровне, от 5 до 10 млн рублей — на втором, и от 10 до 15 млн рублей на третьем. За повторные нарушения предусмотрены оборотные штрафы от 0,1% до 3% совокупного размера выручки за календарный год. Верхняя граница штрафа — 500 млн рублей.
Банки предложили отменить установление оборотных штрафов за повторные утечки. По мнению представителей финансовых организаций, такие значительные санкции могут привести к тому, что банки перестанут наращивать инвестиции в информационную безопасность, траты на которую и так растут на десятки процентов ежегодно. Из‑за размера штрафов средства банков будут уходить на их уплату даже в том случае, если вины компании нет, а как стимул крупные штрафы будут действовать только тогда, когда есть возможность предотвратить его уплату добросовестно, говорят в банках.
В письме предлагается установить штрафы за повторные утечки на фиксированном уровне — от 15 до 30 млн рублей в зависимости от категории данных. Если же решение об оборотных штрафах всё же примут, то НСФР и банки предлагают снизить их до 3% минимального размера уставного капитала.
В ЦБ подтвердили получение письма, его рассмотрят в установленном порядке, говорит представитель регулятора. О получении отчитались и в Минцфиры, отмечает РБК.