Оживленный, заинтересованный диалог о непростых задачах, стоящих перед банковским сообществом в связи с вступлением в силу 1 января 2010

В ней приняли участие Исполнительный вице-президент АРБ А.В.Емелин, заместитель начальника Главного управления безопасности и защиты информации ЦБ РФ А.П.Курило, Председатель Комитета АРБ по информационной безопасности А.Н.Велигура, секретарь Совета сообщества ABISS П.В.Гениевский.

Кроме журналистов на ней присутствовали представители ряда коммерческих банков, которые активно участвовали в дискуссии.

Открывший встречу А.В.Емелин подчеркнул, что за два месяца до вступления в силу закона не только у банков, но и у многих других субъектов экономики, работающих с персональными данными, остается много нерешенных вопросов. С целью решения проблемы АРБ подготовила предложения по совершенствованию законодательства о персональных данных, которые нашли поддержку на парламентских слушаниях 20 октября в ГосДуме с участием глав профильных комитетов нижней палаты. Наши предложения активно поддерживает и Банк России, сообщил он. Надеемся, что свод этих предложений, которые с одной стороны обеспечивают права граждан, а с другой – ограждают банковский бизнес от непомерных расходов, будет вскоре внесен в парламент, сказал вице-президент АРБ.

А.П.Курило поддержал предложения АРБ. Рассказывая о складывающейся ситуации, он подчеркнул, что дополнительные сложности вызвало сохранение вытекающих из закона новых регламентов под грифом «Для служебного пользования», что препятствовало ознакомлению их большинством банковских специалистов. Тем не менее, он призвал не паниковать, а планомерно решать возникшие проблемы. По его мнению, одним из путей их решения может стать отраслевой принцип: по банкам, по страховому бизнесу, по мобильным операторам.

А.Н.Велигура в своем выступлении подчеркнул важность творческого подхода к проблемам. Нужно не просто формально соблюдать предписанные требования, а добиваться действительно эффективных мер защиты персональных данных, сказал он.

Эти и многие другие вопросы будут рассмотрены на второй межбанковской конференции «Информационная безопасность банков», которая пройдет 15-20 февраля в Башкортостане. В своем выступлении П. В. Гениевский остановился на вопросах подготовки конференции, подчеркнув ее несомненную практическую пользу.

Участники пресс-конференции смогли ознакомиться с текстом предложений АРБ по совершенствованию законодательства о персональных данных, подготовленных для направления в ГосДуму, Совет Федерации, Правительство, Минфин, Центральный банк Российской Федерации.

В документе, в частности, говорится, что парламентские слушания, состоявшиеся 20.10.09 в ГосДуме, подтвердили наличие ряда вопросов, оставшихся по сей день нерешенными. Представители АРБ поддержали предложение внести до конца года проект Федерального закона «О внесении изменений в Федеральный закон от 27 июля 2006, № 152-ФЗ «О персональных данных» и Федеральный закон от 08 июля 2001, № 128-ФЗ «О лицензировании отдельных видов деятельности».

В частности АРБ просит рассмотреть предложение о внесении следующих изменений в законодательство:

• отказаться от модели контроля за соблюдением технических требований к защите персональных данных и перейти на риск-ориентированную модель самостоятельного определения операторами персональных данных применяемых мер при жестком обеспечении механизма возмещения причиненного вреда субъектам персональных данных;

• закрепить в качестве универсальной модели регулирования отраслевые стандарты (не требования) по обеспечению защиты персональных данных, утверждаемые отраслевыми регуляторами или по согласованию с ними;

• закрепить положение, в соответствии с которым персональные данные, на которые распространяется режим налоговой, банковской, служебной или иной тайны, защищаются в рамках этого режима и не требуют дополнительных мер защиты;

• закрепить в законе принцип диспозитивности его норм, предоставив операторам и субъектам персональных данных право самостоятельно регламентировать порядок обработки персональных данных в договорах;

• четко регламентировать случаи возможности издания подзаконных нормативных актов в сфере действия Закона № 152-ФЗ Роскомнадзором, ФСТЭК и ФСБ России;

• закрепить положение о мотивированности обращения субъекта для получения доступа к своим персональным данным;

• в случае предоставления субъектом персональных данных персональных данных третьих лиц (супругов, бенефициаров, контрагентов субъекта персональных данных) возложить обязанность получения соответствующего согласия на обработку и передачу персональных данных третьих лиц на самого субъекта персональных данных, предоставляющего их данные (оператору персональных данных и контрагентам оператора персональных данных, в случае оказания услуг по договору с оператором персональных данных);

• исключить или детализировать (разъяснить) норму о порядке исключительно автоматизированной обработки персональных данных (ст.16 Закона № 152-ФЗ);

• детально регламентировать сроки уничтожения персональных данных при отзыве согласия субъекта персональных данных или достижении цели их обработки с учетом практической возможности реализации этой задачи и принципа диспозитивности;

• закрепить положение, что согласие субъектов персональных данных на обработку их персональных данных не требуется в том случае, если договор был заключен до 1 января 2010 г.;

• определить порядок оценки адекватности защиты прав субъектов на территории иностранного государства при трансграничной передаче персональных данных;

• закрепить требование о комплексном характере проводимых проверок в целях контроля за соблюдением Закона № 152-ФЗ и регламентация порядка их проведения в соответствии с Законом № 294-ФЗ «О защите прав юридических лиц…»;

• исключить необходимость получения операторами персональных данных лицензий в области технической защиты конфиденциальной информации, а также в других областях, связанных с защитой информации, предусмотренных Федеральным законом №128-ФЗ от 08.08.2001 г., если указанные виды деятельности осуществляются операторами для собственных нужд или выполнения требований законодательства (т.е. не являются предпринимательской деятельностью);

• для завершения формирования нормативной базы и систем защиты персональных данных операторами персональных данных перенести срок вступления в силу части 3 ст.25 Закона № 152-ФЗ на 2 года, для остальных норм закона срок вступления не переносить.

Мы убеждены, что только совместными усилиями органов государственной власти, ассоциаций и операторов персональных данных, можно обеспечить системное решение проблем законодательства и выполнения требований по обеспечению безопасности персональных данных и прав субъектов персональных данных, граждан Российской Федерации, подчеркивается в документе АРБ.

(Для увеличения фотографии кликните по ней мышкой)