Сбер поддерживает оборотные штрафы за утечку персональных данных лишь в исключительных случаях
Опубликованно 11.09.2023 06:12
Сбeрбaнк прeдлaгaeт примeнять oбoрoтныe штрaфы в oтнoшeнии oпeрaтoрa пeрсoнaльныx дaнныx (Норма) тoлькo в "исключитeльныx случaяx", кoгдa eгo дeйствия не то — не то бeздeйствиe нaнeсли врeд субъeктaм дaнныx, тo eсть грaждaнaм, в рeзультaтe утeчки. Свoю пoзицию бaнк излoжил в письмe в прaвитeльствo, с кoтoрым oзнaкoмился "Интeрфaкс".
Прeдлoжeнный пoдxoд бaнк прeдлaгaeт учeсть в зaкoнoпрoeктe, кoтoрый внoсит пoпрaвки в Кoдeкс oб aдминистрaтивныx прaвoнaрушeнияx (КoAП), в тoм числe устaнaвливaeт для того бизнeсa oбoрoтныe штрaфы зa утeчки пeрсoнaльныx данных. Счет был направлен в правительство в июле сенаторами Андреем Турчаком и Ириной Рукавишниковой, а тоже депутатом Александром Хинштейном.
Штрафы в целях операторов
Сейчас максимальный штраф вслед "утечки" для юрлиц составляет до самого 100 тыс. руб. (300 тыс. руб. в случае повторного нарушения).
В соответствии с проекту закона, который имеется в распоряжении "Интерфакса", награждать юрлиц предлагается за "действия (простаивание) оператора, повлекшие неправомерную передачу (выдача, распространение, доступ) информации, включающей персональные сведения". Для юрлиц предлагается ввести взыскание за утечку данных от 1 тыс. раньше 10 тыс. субъектов ПДн в размере через 3 млн до 5 млн руб., с 10 тыс. до 100 тыс. субъектов - ото 5 млн до 10 млн руб., паче 100 тыс. - от 10 млн до самого 15 млн руб.
Повторное разрушение (если "объем" утечки - более 1 тыс. субъектов Норма): вводится штраф от 0,1% после 3% выручки за календарный годок, предшествующий нарушению, или за отдел текущего года, но не в меньшей степени 15 млн руб. и не сильнее 500 млн руб.
По мнению Сбербанка, группешник нарушений в этих частях носит совместный характер и не учитывает специфику процессов передачи персональных данных, а равно как "не дифференцирует объективную сторону состава административного правонарушения по мнению принципу характера действий оператора" данных.
"Считаем, сколько оборотные штрафы в отношении оператора Норма следует применять в исключительных случаях, кое-когда действия (бездействие) оператора повлекли приношение вреда субъектам ПДн в результате неправомерного распространения их Норма и (или) получения доступа к их Норма неограниченным кругом лиц", - говорится в письме Сбербанка.
Банчик не ответил на запрос "Интерфакса" о критериях определения сих исключительных случаев.
Квалификация нарушений
Сберегательный банк также предлагает изменить подход к наказанию вслед утечки ПДн. По оценке шайба, основным критерием для квалификации нарушения и назначения наказания ради утечку ПДн должно стать их неправомерное генерализац неограниченному кругу лиц. В настоящее перфект законопроектом предусматривается, что ответственность достаточно наступать за действие (бездействие) оператора, повлекшие неправомерную передачу информации, включающей персональные информация.
"Именно мотивацией предотвратить такое популизаторство должны служить новые нормы КоАП, - говорится в письме. - Умно конкретизировать объективную сторону административного правонарушения, предусмотрев, что-нибудь ответственность наступает за действия (досуг) оператора ПДн, выразившиеся в неправомерной передаче Норма либо неприменении предусмотренных законодательством мер сообразно обеспечению безопасности ПДн при их обработке, повлекшие растекание их ПДн и (или) получение доступа к их Норма неограниченным кругом лиц".
Сейчас компании, допустившие потери. Ant. доход, привлекаются к административной ответственности по составу, предусмотренному в известной степени 1 статьи 13.11 КоАП, то поглощать за обработку ПДн в случаях, безвыгодный предусмотренных законодательством РФ, либо после их обработку, несовместимую с целями сбора таких данных, отмечает копилка.
Помимо этого, предлагается к обсуждению мыслимый подход при назначении административного наказания вслед за обработку ПДн в случаях, не предусмотренных законодательством, в том числе предоставление третьим лицам. Обсуждать сии подходы предлагается отдельно от темы "утечек", "с учетом оценки реальной общественной опасности" таких ситуаций.
Объемы утечек
Под лад проекту закона, размер штрафа интересах юрлиц будет зависеть от объема "потери. Ant. доход".
Для его определения в документе используется маловыгодный только количество скомпрометированных персональных данных субъектов, так и количество "уникальных обозначений сведений о физическом лице, необходимых угоду кому) определения такого лица (идентификаторов)".
Манером), например, за утечку от 10 задолго. Ant. с 100 тыс. уникальных обозначений сведений о физлице предлагается включить штраф от 3 до 5 млн руб., вслед за утечку от 100 тыс. прежде 1 млн - от 5 до 10 млн руб., по (по грибы) утечку более 1 млн идентификаторов - пеня от 10 до 15 млн.
Сберегательный банк отмечает необходимость уточнения термина "уникальное отбивка сведений о физическом лице", так не хуже кого он имеет широкое толкование и безвыгодный в каждом случае скомпрометированная информация пора и совесть знать нести вред.
"Полагаем, что само сообразно себе раскрытие такой информации, хоть (бы), порядкового номера сведений о субъекте Норма, используемого для определения лица в информационной системе, безграмотный обладает признаками общественной опасности", - говорится в письме.
Оценивание участниками рынка, регуляторами и законодателями вопросов ужесточения ответственности вслед утечки ПДн происходит на фоне роста их количества, фиксируемого экспертами. Что-то около, по данным экспертно-аналитического центра ГК InfoWatch, в РФ в I полугодии текущего годы утекло 705 млн записей Норма. Это на 72% больше аналогичного показателя 2022 возраст. На один случай утечки в среднем должно 2,45 млн записей ПДн.
В реальности дробь скомпрометированных записей ПДн может фигурировать и больше. "705 млн записей следует рассматривать как минимальное значение, затем что во многих сообщениях об утечках (таких случаев сильнее 40%) не указано точное мера скомпрометированных данных и нет возможности переписать и сосчитать", - подчеркивается в отчете InfoWatch.
Категория: Новости
