Ассоциация банков России (АБР) в начале марта обратилась в Минцифры с предложением отказаться от введения оборотных штрафов за утечку информации при повторном нарушении, пишет «Коммерсантъ» со ссылкой на письма АБР. Соответствующий законопроект был принят Госдумой в первом чтении.
В одном из писем АБР называет меру дискриминационной, поскольку у госучреждений нет оборота и, соответственно, с них этот штраф взять невозможно, в отличие от коммерческих организаций. Из чего следует, что «совершение одного и того же правонарушения влечет для первого и второго разную ответственность, что является нарушением конституционного принципа равенства всех перед законом и судом», подчеркивают в ассоциации.
АБР подчеркивает, что утечки происходят и в государственных, и муниципальных учреждениях. Кроме того, ассоциация уточняет, что оборотные штрафы «могут иметь негативные последствия для компаний, занимающихся информационной безопасностью, и IT-отрасли в целом».
Банки взаимодействуют с рядом сервисов по обмену файлами в автоматическом режиме, из-за чего при утечке «велика вероятность заражения или кражи данных у других участников». С учетом сложившейся судебной практики административный штраф относится к реальному ущербу, уточняют в АБР, то есть можно предъявить регрессные требования к контрагенту.
По словам исполняющего обязанности президента АБР Алексея Войлукова, условия, при которых для коммерческих организаций ответственность за утечки существенно ужесточается, а госучреждения остаются фактически безнаказанными, несправедливы. Он считает, что можно отказаться от оборотных штрафов и «зафиксировать ту вилку, которая сейчас обозначена в законе — 20−500 млн рублей».
Кроме того, верхний порог штрафа является «совершенно чрезмерным, поскольку, например, крупный банк, получив подобный штраф, может вчинить регрессивный иск компании-поставщику, от которой получил программное обеспечение, ставшее причиной утечки», — утончил Войлуков. Он добавил, что для большинства таких компаний штраф в сотни миллионов рублей «приведет к банкротству».
«Такой штраф фактически направлен на изъятие денежных средств, полученных в виде экономической выгоды в результате противоправных действий», — поясняет глава Национального совета финансового рынка (НСФР) Андрей Емелин, отмечая, что оборотный штраф в качестве санкции предполагает извлечение нарушителем экономической выгоды из своего поведения.
Однако утечки персональных данных оборачиваются для допустивших их компаний и банков лишь убытками, поскольку сопряжены с прямыми и косвенными издержками — влекут за собой ущерб IT-инфраструктуре, бизнес-процессам, несут репутационный ущерб, приводят к оттоку клиентов, подчеркивает Емелин. По его оценке, в совокупности такие потери могут привести «к приостановке бизнеса и даже к банкротству».
НСФР выступал против введения штрафов с оборота за утечку персональных данных клиентов еще в феврале (соответствующее письмо было написано советом совместно с финансовыми организациями и направлено в ЦБ, Минцифры и председателю комитета Госдумы по государственному строительству и законодательству Павлу Крашенинникову).
Банки тогда выступили против введения оборотных штрафов за повторную утечку данных до 500 млн рублей, объясняя это тем, что расходы на информационную безопасность и без того непреклонно растут, а введение дополнительных штрафов только усугубит ситуацию. Они предложили зафиксировать сумму выплат на уровне от 15 млн до 30 млн рублей, в зависимости от категории данных. Оборотные штрафы, если они будут приняты, банки предложили установить в размере до 3% минимального размера уставного капитала.
Также они предлагали не увеличивать штраф за неправомерную обработку данных и просили продлить строк вступления законопроекта в силу до одного года после его публикации вместо предусмотренных 30 дней.
