Сбер поддерживает оборотные штрафы за утечку персональных данных лишь в исключительных случаях

Сбербанк предлагает применять оборотные штрафы в отношении оператора персональных данных (ПДн) только в "исключительных случаях", когда его действия или бездействие нанесли вред субъектам данных, то есть гражданам, в результате утечки. Свою позицию банк изложил в письме в правительство, с которым ознакомился "Интерфакс".

Предложенный подход банк предлагает учесть в законопроекте, который вносит поправки в Кодекс об административных правонарушениях (КоАП), в том числе устанавливает для бизнеса оборотные штрафы за утечки персональных данных. Документ был направлен в правительство в июле сенаторами Андреем Турчаком и Ириной Рукавишниковой, а также депутатом Александром Хинштейном.

Штрафы для операторов

Сейчас максимальный штраф за "утечки" для юрлиц составляет до 100 тыс. руб. (300 тыс. руб. в случае повторного нарушения).

Согласно проекту закона, который имеется в распоряжении "Интерфакса", штрафовать юрлиц предлагается за "действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные". Для юрлиц предлагается ввести штраф за утечку данных от 1 тыс. до 10 тыс. субъектов ПДн в размере от 3 млн до 5 млн руб., от 10 тыс. до 100 тыс. субъектов - от 5 млн до 10 млн руб., более 100 тыс. - от 10 млн до 15 млн руб.

Повторное нарушение (если "объем" утечки - более 1 тыс. субъектов ПДн): вводится штраф от 0,1% до 3% выручки за календарный год, предшествующий нарушению, или за часть текущего года, но не менее 15 млн руб. и не более 500 млн руб.

По мнению Сбербанка, состав нарушений в этих частях носит общий характер и не учитывает специфику процессов передачи персональных данных, а также "не дифференцирует объективную сторону состава административного правонарушения по принципу характера действий оператора" данных.

"Считаем, что оборотные штрафы в отношении оператора ПДн следует применять в исключительных случаях, когда действия (бездействие) оператора повлекли причинение вреда субъектам ПДн в результате неправомерного распространения их ПДн и (или) получения доступа к их ПДн неограниченным кругом лиц", - говорится в письме Сбербанка.

Банк не ответил на запрос "Интерфакса" о критериях определения этих исключительных случаев.

Квалификация нарушений

Сбербанк также предлагает изменить подход к наказанию за утечки ПДн. По оценке банка, основным критерием для квалификации нарушения и назначения наказания за утечку ПДн должно стать их неправомерное распространение неограниченному кругу лиц. В настоящее время законопроектом предусматривается, что ответственность будет наступать за действие (бездействие) оператора, повлекшие неправомерную передачу информации, включающей персональные данные.

"Именно мотивацией предотвратить такое распространение должны служить новые нормы КоАП, - говорится в письме. - Целесообразно конкретизировать объективную сторону административного правонарушения, предусмотрев, что ответственность наступает за действия (бездействие) оператора ПДн, выразившиеся в неправомерной передаче ПДн либо неприменении предусмотренных законодательством мер по обеспечению безопасности ПДн при их обработке, повлекшие распространение их ПДн и (или) получение доступа к их ПДн неограниченным кругом лиц".

Сейчас компании, допустившие утечки, привлекаются к административной ответственности по составу, предусмотренному частью 1 статьи 13.11 КоАП, то есть за обработку ПДн в случаях, не предусмотренных законодательством РФ, либо за их обработку, несовместимую с целями сбора таких данных, отмечает банк.

Помимо этого, предлагается к обсуждению возможный подход при назначении административного наказания за обработку ПДн в случаях, не предусмотренных законодательством, включая предоставление третьим лицам. Обсуждать эти подходы предлагается отдельно от темы "утечек", "с учетом оценки реальной общественной опасности" таких ситуаций.

Объемы утечек

Согласно проекту закона, размер штрафа для юрлиц будет зависеть от объема "утечки".

Для его определения в документе используется не только количество скомпрометированных персональных данных субъектов, но и количество "уникальных обозначений сведений о физическом лице, необходимых для определения такого лица (идентификаторов)".

Так, например, за утечку от 10 до 100 тыс. уникальных обозначений сведений о физлице предлагается ввести штраф от 3 до 5 млн руб., за утечку от 100 тыс. до 1 млн - от 5 до 10 млн руб., за утечку более 1 млн идентификаторов - штраф от 10 до 15 млн.

Сбербанк отмечает необходимость уточнения термина "уникальное обозначение сведений о физическом лице", так как он имеет широкое толкование и не в каждом случае скомпрометированная информация будет нести вред.

"Полагаем, что само по себе раскрытие такой информации, например, порядкового номера сведений о субъекте ПДн, используемого для определения лица в информационной системе, не обладает признаками общественной опасности", - говорится в письме.

Обсуждение участниками рынка, регуляторами и законодателями вопросов ужесточения ответственности за утечки ПДн происходит на фоне роста их количества, фиксируемого экспертами. Так, по данным экспертно-аналитического центра ГК InfoWatch, в РФ в I полугодии текущего года утекло 705 млн записей ПДн. Это на 72% больше аналогичного показателя 2022 года. На один случай утечки в среднем приходится 2,45 млн записей ПДн.

В реальности число скомпрометированных записей ПДн может быть и больше. "705 млн записей необходимо рассматривать как минимальное значение, поскольку во многих сообщениях об утечках (таких случаев более 40%) не указано точное количество скомпрометированных данных и нет возможности скачать и сосчитать", - подчеркивается в отчете InfoWatch.