Банки не поддержали установление оборотных штрафов за утечку персональных данных клиентов — инициативу, которая содержится в рассматриваемом Госдумой законопроекте об усилении ответственности за нарушение порядка обработки персональных данных.
Соответствующее письмо Национальный совет финансового рынка (НСФР) совместно с финорганизациями направил в Банк России, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову. Банк России и Минцифры подтвердили получение письма — оно будет рассмотрено в установленном порядке, отметили представители ведомств.
Рассмотреть вопрос о введении оборотных штрафов для операторов, допустивших утечку ПДн россиян, в начале прошлого года поручил правительству Владимир Путин — законопроект был внесён в Госдуму в конце 2023-го группой депутатов и был принят в первом чтении 23 января 2024 года. Срок предоставления поправок ко второму чтению законопроекта завершён 6 февраля.
Законопроект предлагает установить ответственность оператора ПДн в зависимости от объёма «утекшей» информации. Штрафы для компаний предлагается установить на уровне 3‑5 млн руб. при утечке от 1000 до 10 тыс. клиентов (либо от 10 тыс. до 100 тыс. идентификаторов, по которым можно определить физическое лицо); 5‑10 млн руб. — при потере данных от 10 тыс. до 100 тыс. клиентов (либо от 100 тыс. до 1 млн идентификаторов); и от 10 млн до 15 млн руб. — при утечке свыше 100 тыс. персональных данных (или более 1 млн идентификаторов).
В случае повторного нарушения могут быть наложены оборотные штрафы: для компаний от 0,1 до 3% совокупного размера выручки за календарный год, который предшествовал году, в котором было выявлено правонарушение, но не менее 15 млн руб., либо 20 млн руб. (для «специальной категории персональных данных»); верхняя граница возможного штрафа — не более 500 млн руб.
Также предлагается кратно увеличить штрафы за обработку ПДн в случаях, не предусмотренных законодательством, либо за их обработку, несовместимую с целями их сбора. Для компаний минимальный размер штрафа — с 60 тыс. до 150 тыс. руб., максимальный размер — со 100 тыс. до 300 тыс. руб. За повторное совершение данного правонарушения штрафы в отношении юридических лиц предлагается увеличить на 200 тыс. руб. Ещё одна группа штрафов может взиматься за неинформирование Роскомнадзора о факте неправомерной передачи ПДн — с компаний от 1 млн до 3 млн руб., с должностных лиц — от 400 тыс. до 800 тыс. руб.