28 марта 2024 г. Четверг | Время МСК: 22:15:42
Карта сайта
 
Статьи
Как команде строитьсяРаботодатели вживляют чипы сотрудникамAgile в личной жизниСети набираются опта
«Магнит» хочет стать крупным дистрибутором
Задачи тревел-менеджера… под силу роботу?8 основных маркетинговых трендов, которые будут главенствовать в 2017 году
Статья является переводом одноименной статьи, написанной автором Дипом Пателем для известного англоязычного журнала «Entrepreneur»
Нужно стараться делать шедевры
О том, почему для девелопера жилец первичен, а дом вторичен

Закон о персональных данных переработают



Елена Бродская, обозреватель «БО»
Журнал "Банковское обозрение"
Добавлено: 2010-06-29
Просмотров: 7022

Появилась надежда, что в текст закона №152-ФЗ будут внесены поправки. Параллельно Банк России договаривается с ФСБ, ФСТЭК и Роскомнадзором о внедрении отраслевых стандартов в области персональных данных.

Решение об отсрочке вступления в силу требований к техническим системам, принятое в конце 2009 года, является временной мерой. Нынешний текст Закона о персональных данных отражает уровень, на котором системы защиты информации находились в 2005 году, однако за прошедшие годы он очень сильно повысился. Многие положения закона неадекватно описывают реальность и предъявляют избыточные требования. «Без существенного и содержательного пересмотра норм Закона о персональных данных невозможно прийти к взаимоприемлемому решению», — говорит Андрей Емелин, исполнительный вице-президент АРБ по правовым вопросам.

Банкиры возражают против:

  • получения письменного согласия клиентов и третьих лиц;
  • запрета на хранение персональных данных;
  • необходимости обработки запросов субъектов персональных данных;
  • права субъектов персональных данных отзывать согласие на обработку их персональных данных.

Есть неурегулированность в вопросах о том, что считать достижением цели обработки персональных данных, какие данные подлежат хранению, как удалять персональные данные. Кроме того, непонятно, как согласуется Закон о персональных данных и использование систем видеонаблюдения в банках.

Вице-президент Ассоциации региональных банков России Тимур Аитов приводит практический пример. Если банкиров просят уничтожить персональные данные после того, как ими перестали пользоваться, то это — нештатная операция, ее приходится делать вручную и по регламенту оставлять резервную копию на случай сбоя. Но если остается резервная копия, то уничтожение данных уже неполное (не говоря уже о тех тонкостях, которые связаны с самой процедурой удаления файла в компьютере: файл не удаляется, а лишь маркируется как удаленный, и уже позднее на это место на диске записывается новый файл). Более того, аккаунт клиента мог участвовать в прошлых транзакциях, которые после удаления данной записи станут неопределенными. И наконец, ситуация по удалению становится совсем уже неприятной, когда группа клиентов использует свое право вообще отказаться от обработки своих данных.

Наметился прогресс

Если в 2005–2006 годах, на этапе подготовки закона о персональных данных, бизнес-сообщество не осознавало, как этот документ может повлиять на их деятельность, и потому не стремилось участвовать в его разработке, то теперь этот недостаток компенсирован с лихвой. После бури, которая была поднята операторами персональных данных в 2009 году, началась работа над поправками к содержательной части закона, причем ее ведут сразу две группы. Функционирует рабочая группа при Министерстве связи, где представлены различные ведомства и банковское сообщество. Над поправками к закону работает и Владислав Резник, председатель Комитета Государственной Думы по финансовому рынку.

Законопроект В. Резника в апреле получил положительный отзыв от руководителя аппарата правительства РФ Сергея Собянина. «Мы сдвинулись с мертвой точки, появились перспективы внесения изменений. Проблема необходимости изменения закона осознана всеми. Это консолидированная позиция аппарата правительства, и Государственной Думы, и администрации президента», — говорит в связи с этим Андрей Федосенко, ведущий советник Комитета Госдумы РФ по конституционному законодательству и государственному строительству.

По словам Анатолия Аксакова, депутата ГД и президента Ассоциации региональных банков, законопроект В. Резника представляет попытку реализовать предложения, прозвучавшие на прошлогодних парламентских слушаниях. Банковское сообщество предлагает использовать риск-ориентированные модели защиты персональных данных, когда оператор сам определяет, что и как ему защищать, одновременно неся ответственность за ущерб при возможной компрометации данных. «Новая попытка кое в чем удалась, а что-то нам придется доработать — и это нормальная законотворческая практика. Важно, что самая острая тема рынка информационной безопасности получила новый импульс для своего развития», — говорит А. Аксаков.

Эксперт БО

Владислав Резник,
председатель Комитета ГД по финансовому рынку

– Законопроект «О внесении изменений в закон «О персональных данных» уточняет отдельные положения закона, определяющие правовые основы обработки персональных данных, систему нормативного правового регулирования правоотношений в области персональных данных.

Законопроектом предлагается определить исчерпывающий перечень случаев обработки персональных данных, а также систему их нормативного правового регулирования. Кроме того, идет речь о создании системы правового регулирования, которая отвечает требованиям баланса интересов государства, гражданина и оператора, обрабатывающего его персональные данные. Законопроект призван определить круг случаев, по которым операторами может осуществляться обработка персональных данных, то есть установления или реализации договорных отношений; выполнения требований федеральных законов; удовлетворения собственных потребностей при условии обеспечения прав субъектов персональных данных.

Законопроект предлагает подробное регламентирование понятия договора (соглашения) на обработку персональных данных между субъектом и оператором персональных данных. Кроме того, фиксируется состав основных аспектов, которые должны быть отражены в соглашении, что способствует обеспечению необходимого уровня защиты прав субъекта и оператора. Законопроект также снимает излишнюю нагрузку на операторов.

Принятие соответствующих поправок в действующий закон должно сформировать нормативное правовое пространство и исключить избыточное регулирование. Это в свою очередь, с одной стороны, уменьшит финансовую нагрузку на операторов по исполнению требований закона, а с другой — сохранит необходимый уровень государственного регулирования деятельности операторов.

Правительство РФ поддерживает законопроект. Кроме того, его поддержали представители банковского сообщества и ЦБ РФ. Планируется, что первое чтение состоится в мае 2010 года. Скорее всего, работа над законопроектом завершится в период осенней сессии

В то же время правительство раскритиковало ряд тезисов Резника, обозначив, что законопроект нуждается в доработке (документ и отзывы на него можно посмотреть на портале «Законодательная деятельность» www.asozd.duma.gov.ru, произведя поиск по номеру 282499-5). В некоторой степени В. Резник перехватил инициативу у группы при Минкомсвязи, которая довольно глубоко проработала многие проблемные вопросы. Участникам процесса предстоит каким-то образом скоординировать свою работу и объединить ее результаты. Возможно, в документ, подготовленный В. Резником, будут внесены поправки либо будет принят новый глобальный законопроект, учитывающий все наработки.

Так или иначе, законодатели призывают все профессиональные ассоциации, объединяющие операторов персональных данных, активно участвовать в законотворческом процессе. Возможно, общественные слушания будут проведены в Интернете.

Что поменять в законе?

На данный момент законодательство в области персональных данных учитывает только интересы субъектов персональных данных в ущерб интересам операторов. В то же время не берется в расчет специфика организации банковских технологических процессов, что влечет повышение рисков банковской деятельности или невозможность ее выполнения. Из-за закона №152 существенно растут операционные, правовые, финансовые и репутационные риски банка.

Банкиры считают необходимым уточнить случаи, при которых согласие субъекта персональных данных на обработку его персональных данных не требуется. Кроме того, требуется уточнить положения, устанавливающие право субъекта на доступ к своим персональным данным, а также уточнить режим использования этих данных оператором. Нуждаются в уточнении требования об уничтожении персональных данных по завершении целей их обработки с учетом возможности практической реализации этой задачи. Если персональные данные обрабатываются в рамках установленных режимов защиты (режим банковской и других видов тайн), на них должны распространяться требования соответствующего режима защиты и дополнительные меры защиты не требуются. В целом необходимо обеспечить соразмерность мер по обеспечению безопасности персональных данных возможному размеру ущерба субъекту персональных данных и возможности возникновения такого ущерба.

Исполнению закона на практике мешают задержки в сроках ввода в действие нормативных документов, расплывчатость и возможность неоднозначной трактовки их положений, наличие правовых коллизий и противоречий. Регуляторы в сфере персональных данных настаивают на применении устаревшей методологии защиты и игнорируют ресурсные возможности кредитных организаций.

Регулирование с учетом отраслевой специфики

Помочь банкам успешно проходить проверки регуляторов призваны отраслевые стандарты. Эту идею сформировал Центробанк. Под эгидой АРБ работает группа, которая готовит типовые рекомендации. ЦБ РФ разработал типовую модель угроз безопасности персональных данных, а также доработал текущие версии базового стандарта безопасности и методику оценки соответствия под требования регуляторов с объявленными ограничениями. Разработаны предложения по процедуре ввода стандартов в действие и процедуре отчетности.

По словам Андрея Выборнова, главного инженера Главного управления безопасности и защиты информации ЦБ РФ, работа по формированию комплекса отраслевых документов Банка России переориентирована таким образом, чтобы банки присоединяясь к этому комплексу, выполняли требования Закона о персональных данных. Сложность в том, чтобы согласовать эти документы с ФСТЭК, ФСБ и Роскомнадзором и убедить их проводить проверки в банках в соответствии со стандартами ЦБ.

Как на практике применять отраслевые стандарты?

  1. Ввести Стандарты Банка России приказом по организации банковской системы РФ и руководствоваться ими при проведении работ по защите информации, отнесенной к персональным данным, к банковской тайне, к коммерческой тайне.
  2. Провести мероприятия по приведению организации в соответствие с требованиями стандарта Банка России СТО БР ИББС-1.0-20хх.
  3. Руководствоваться рекомендациями, разработанными ЦБ совместно с АРБ.
  4. Провести оценку соответствия требованиям стандарта Банка России СТО БР ИББС-1.0-20хх. Оценку соответствия рекомендуется поручать организациям, имеющим опыт проведения аудита информационной безопасности и оценки соответствия требованиям стандарта СТО БР ИББС-1.0-20хх Банка России.
  5. Выпустить документ о подтверждении соответствия требованиям стандарта Банка России СТО БР ИББС-1.0-20хх с указанием соответствия в целом и по направлениям регуляторов — Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).
  6. По готовности, но не позже 31 декабря 2010 года направить этот документ в адрес Банка России и территориальных органов регуляторов. В дальнейшем направлять такой документ регуляторам один раз в два года.

В случае, если Стандарты Банка России не вводятся приказом, банку следует руководствоваться общими документами законодательства в области персональных данных — законом «О персональных данных», постановлениями Правительства РФ, документами Рос­комнадзора, ФСБ России и ФСТЭК России.

(Из презентации к докладу Андрея Выборнова, главного инженера Главного управления безопасности и защиты информации ЦБ РФ, по теме «Опыт Банка России в разработке отраслевых стандартов в области персональных данных»).

Если перечисленные ведомства будут проводить проверки в банках своими силами, нужно закрепить в законе соотношение проверок. «Наиболее желательно совмещение, проведение комплексных проверок в части персональных данных одновременно в головных офисах, не затрагивая по отдельности филиалы в регионах. Очевидно, что разделять проверку на отдельные части не имеет никакого содержательного смысла. Самым удивительным является результат, когда по части структурных подразделений банк получает замечания, а по головному офису и другой части территориальных подразделений один и тот же орган претензий не предъявляет», — говорит Андрей Емелин (АРБ).

При участии Банка России сформировано сообщество ABISS (в него входят организации, деятельность которых направлена на развитие и продвижение стандарта Банка России СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы РФ»). По словам Андрея Выборнова (ЦБ РФ), это некий прообраз саморегулируемой организации. Если аудитор получит право проводить проверки на соблюдение законодательства о персональных данных, то каждый регулятор будет иметь возможность отслеживать интересующие его аспекты по отчету этой внешней организации. Удастся ли ЦБ убедить регуляторов принимать результаты проверки исполнения законодательства о персональных данных, которую провел внешний независимый аудитор, покажет время.

Второе направление работы Банка России — формирование конкретных технических требований к информационным системам. За прошедшее время снизилась острота проблемы 19-й статьи закона, поскольку ФСТЭК после широких обсуждений оценил масштабы своих требований и смягчил их.

Однако ФСТЭК по-прежнему дает более детальные указания, чем параметры стандартов, стремится диктовать и способ реализации. Ряд требований данного регулятора создает проблемы в работе банков, но и отказаться от их выполнения, то есть нарушить закон, невозможно. Большинство банковских процессов одинаковы, но реализация их различается. Банки просят выдвигать высокоуровневые требования и не диктовать реализацию.

Таким образом, сейчас главная задача

ЦБ РФ в области персональных данных — это согласование требований и сближение позиций относительно методик контроля с регуляторами в области персональных данных. Зампред ЦБ РФ Михаил Сенаторов на съезде АРБ заверил банкиров, что Банк России продолжит активно работать над решением проблемы.

Все расположенные на сервере материалы являются собственностью их авторов. Любое воспроизведение, копирование или коммерческое использование этих материалов должно согласовываться с авторами материалов.
Заявление об ограничении ответственности
Группа компаний "ИПП"
Группа компаний Институт проблем предпринимательства
ЧОУ "ИПП" входит
в Группу компаний
"Институт проблем предпринимательства"
Контакты
ЧОУ "Институт проблем предпринимательства"
190005, Санкт-Петербург,
ул. Егорова, д. 23а
Тел.: (812) 703-40-88,
тел.: (812) 703-40-89
эл. почта: [email protected]
Сайт: https://www.ippnou.ru


Поиск
Карта сайта | Контакты | Календарный план | Обратная связь
© 2001-2024, ЧОУ "ИПП" - курсы МСФО, семинары, мастер-классы
При цитировании ссылка на сайт ЧОУ "ИПП" обязательна.
Гудзик Ольга Владимировна,
генеральный директор ЧОУ «ИПП».
Страница сгенерирована за: 0.076 сек.
Яндекс.Метрика