В начале месяца Ассоциация банков России предложила Минцифры отказаться от оборотных штрафов за утечки ПДн при повторном нарушении. Об этом написал «Коммерсант».
АБР считает эту меру «дискриминационной», так как в отличие от частных лиц, у госучреждений нет оборота, а значит, им такой штраф не грозит. Также, продолжили представители Ассоциации, обсуждаемая практика «может иметь негативные последствия для компаний, занимающихся информационной безопасностью, и ИТ-отрасли в целом» — кредитные учреждения взаимодействуют с множеством сервисов, обмениваясь файлами в автоматическом режиме, и при утечке «велика вероятность заражения или кражи данных у других участников».
Алексей Войлуков, исполняющий обязанности президента АБР заявил, что отказавшись от оборотных штрафов, можно «зафиксировать ту вилку, которая сейчас обозначена в законе — 20-500 млн рублей». Однако и здесь он назвал верхний порог штрафа «совершенно чрезмерным, поскольку, например, крупный банк, получив подобный штраф, может вчинить регрессивный иск компании-поставщику, от которой получил ПО, ставшее причиной утечки». Для большинства компаний штраф такого калибра «приведёт к банкротству», заключил Войлуков.
В Национальном совете финансового рынка уверены, что при «введении административной ответственности даже просто в силу самого факта утечки персональных данных при отсутствии вины компании её средства будут уходить на уплату оборотных штрафов, а не на развитие информационной безопасности».