Ассоциация российских банков предлагает перенести сроки реализации требований Закона № 152-ФЗ «О персональных данных» на один год

Об этом сообщил Исполнительный директор АРБ В.В.Шипилов на заседании НТС Министерства связи и массовых коммуникаций РФ, где рассматривался вопрос о состоянии и проблемах защиты персональных данных и исполнения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

В своем выступлении он рассказал об итогах деятельности Рабочей группы АРБ, которая была создана в мае месяце для выработки единой позиции банковского сообщества по реализации кредитными организациями Федерального закона № 153-ФЗ «О персональных данных».

В частности было отмечено, что практическое выполнение требований Закона наталкивается на ряд серьезных ограничений и трудностей финансового, организационного и методического характера и ставит под сомнение возможность реализации этих требований к установленному сроку.

I. Проблемные вопросы условно можно подразделить на две группы.

1.Порядок обработки персональных данных (регулятор – Роскомнадзор).

2.Защита персональных данных (регуляторы - ФСТЭК России и ФСБ России).

При практической реализации положений Закона № 152-ФЗ кредитные организации столкнулись с рядом организационных проблем, требующих изменения сложившейся практики делового документооборота и дополнительного привлечения значительных трудовых ресурсов. При этом, ряд требований, например, необходимость закрепления в договоре согласия клиента на передачу его персональных данных третьему лицу в случае необходимости, практически не могут быть реализованы в приемлемые сроки, так как требуют перезаключения десятков миллионов договоров с клиентами.

Вызывает сложности отсутствие каких-либо классификаторов и перечней персональных данных, а также процедура практической реализации уничтожения данных в сроки, установленные Законом № 152-ФЗ. В соответствии с Законом № 152-ФЗ существенно затрудняется деятельность по проведению проверок сведений о субъекте персональных данных на этапе подготовки к заключению кредитных договоров или усиленной идентификации клиентов при совершении валютных операций и операций, подпадающих под действие Федерального закона № 115 ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

В результате, в настоящее время возникла целая группа новых для кредитных организаций рисков, связанных с реализацией Закона № 152-ФЗ.

Обращает на себя внимание очевидный дисбаланс в российском законодательстве в сторону абсолютизации интересов субъекта персональных данных без учета реальных возможностей операторов. Это существенно отличает Закон № 152-ФЗ от ратифицированной Российской Федерацией 19 декабря 2005 года Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» (Федеральный закон от 19 декабря 2005 года № 160-ФЗ).

II. В части действующей системы защиты персональных данных в банковской системе Российской Федерации необходимо отметить следующее.

Данные клиентов, необходимые для осуществления банковских операций и иных мероприятий, направленных на снижение рисков банковской деятельности, традиционно защищаются в кредитных организациях в соответствии с банковским законодательством и широко распространенными стандартами безопасности и управления рисками ISO 17799, 27001-2005, 13335, COBIT, PSI DSS, СТО БР ИББС-1.0, а также документами ФСБ России и ФСТЭК России. Это соответствует и европейской практике защиты персональных данных, в соответствии с которой страны либо просто распространяют требования стандартов ISO 27001 на защиту персональных данных, либо на базе этих стандартов готовят специальные стандарты ISO по защите персональных данных. Складывающаяся в России ситуация характеризуется необоснованностью новых национальных требований по защите персональных данных по сравнению с международными требованиями.

Документы регуляторов по защите персональных данных требуют существенного изменения самой формы работы, связанной с переносом акцента на выполнение формальных мероприятий (регулярной сертификации, аттестации и лицензирования), являющихся крайне дорогостоящими мероприятиями, к тому же растянутыми на много лет. При этом банки будут вынуждены по-прежнему выполнять работы по обеспечению соответствия стандартам, принятым в мировом банковском сообществе, иными словами, выполнять двойную работу, как это уже имеет место при выполнении стандартов бухгалтерского учета (РСБУ и МСФО).

Требования по защите персональных данных, содержащиеся в подзаконных актах регуляторов, не учитывают условий (масштабов и характера работы), в которых находятся отдельные группы операторов персональных данных, в частности кредитные организации.

Рассмотрев ситуацию, складывающуюся в настоящее время в банковской системе, АРБ считает, что на ситуацию влияют несколько причин:

• организационная, кадровая и ресурсная неготовность операторов к реализации требований Закона № 152-ФЗ и подзаконных актов регуляторов;

• полное игнорирование ресурсных возможностей банков-операторов по выполнению работ по защите персональных данных в условиях кризиса.

• необоснованность разработанных регуляторами документов, несогласованность с уже имеющимися требованиями, противоречия с давно и широко используемыми в банковской среде международными стандартами.

• как следует из разъяснений ФСТЭК России, полученных АРБ, данный государственный орган исполнительной власти разработал и утвердил «методические документы, содержащие организационные и технические меры по защите персональных данных при их обработке в информационных системах персональных данных». Данные документы высланы центральным аппаратом ФСТЭК России всего в двести органов государственной власти и организаций, и в частности, всего некоторым банкам.

Необходимо отметить, что полноценная реализация норм Закона № 152-ФЗ возможна лишь в условиях, когда нормы Закона № 152-ФЗ, вносимые изменения в действующее отраслевое законодательство и иные нормативные требования, будут согласованы между собой.

III. С учетом вышеизложенного:

1.Ассоциация готовит письмо в Государственную Думу Федерального Собрания Российской Федерации и Правительство Российской Федерации с просьбой об уточнении некоторых положений федеральных законов, в частности, Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Федерального закона от 2 декабря 1990 года № 395-1 «О банках и банковской деятельности» и Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».

2.АРБ в июне месяце направила письма в Роскомнадзор, ФСБ России и ФСТЭК России с просьбой срочно создать рабочую группу по вопросам реализации Закона № 152-ФЗ с целью оперативного решения возникающих вопросов, в том числе выработать совместные рекомендации по реализации требований Закона № 152-ФЗ, исключающие различные толкования его положений при практическом применении на местах.

3.Обратить внимание регуляторов на следующее:

• при разработке требований по защите персональных данных необходимо принять во внимание, что защита таких данных в значительной мере (а в ряде случаев и в полной мере) уже достигается существующими мерами обеспечения информационной безопасности, применяемыми в банках;

• разработанная нормативная база (подзаконные акты регуляторов) не учитывает специфику организаций банковской системы Российской Федерации.

4.Учитывая большое количество нерешенных вопросов, незначительность опыта по практическому применению положений Закона № 152-ФЗ и подзаконных актов регуляторов как у операторов, так и у органов, на которые возложены обязанности по контролю, а также масштабы использования персональных данных в условиях имеющихся временных ограничений и отсутствия подготовленных кадров, предложить поэтапную реализацию требований Закона № 152-ФЗ в срок до 01.01.2011 г..

5.Перенести сроки реализации требований Закона № 152-ФЗ на один год.

6.Привести в соответствие с законодательными требованиями положения подзаконных актов, устранив противоречия.