Встречи с представителями российских банков на семинаре «Сложные проблемы применения законодательства о персональных данных в кредитно-финансовых учреждениях» подтверждают вывод, сделанный ранее и ставший причиной создания этого семинара – проблема соответствия российскому законодательству о персональных данных медленно, но уверенно выводится из ведения специалистов по информационной безопасности и уходит к профессиональным юристам. Т.е. то, что выглядело наиболее логичным с момента принятия закона, со значительным опозданием, но все-таки происходит.
Отбросив явно завышенные требования регуляторов к технической защите в их первых нормативно-методических документах, можно спокойно констатировать, что ничего принципиально нового с точки зрения механизмов защиты информации от операторов никто и не требует. Камнем преткновения остается обязательность сертификации СЗИ, особенно на отсутствие недекларируемых возможностей (НДВ). Но Постановление Правительства № 330-2010, фактически единственный нормативно-правовой акт, где прямо говорится об обязательной сертификации, так и не стало доступным, и большинство операторов махнули на него рукой – невидимый объект не существует. А сертификация на отсутствие НДВ с легкой руки Банка России, движение которой оставило яркий след в СТО БР ИББС, обходится просто и элегантно – по формальным признакам ИСПДн относится к специальным, и тогда вопрос об отнесении ее к конкретному классу является предметом бесконечной дискуссии, поскольку регуляторы ничего внятного по этому поводу так и не сказали. Любое экспертное мнение имеет право на жизнь, но это все-таки не более чем мнение одного конкретного человека.
Все остальное решается более или менее просто, продуктов на рынке достаточно, есть известные «дыры» в требованиях типа проблем безопасности в виртуальной среде или при терминальном доступе, но они существуют и без персональных данных, и решать их так или иначе придется все равно.
С правовыми проблемами гораздо хуже. Они оставались в тени, несмотря на периодические вопли технарей, а сейчас стали выдвигаться на первый план, во многом – благодаря активности Роскомнадзора и его территориальных управлений.
Надо ли получать согласие пациента районной больницы на обработку его персональных данных? Если да, то кому? В каких отношениях с точки зрения ФЗ-152 находится средняя школа, ее ученики и их родители? Должен ли банк иметь подтверждаемое согласие на обработку персональных данных плательщика и получателя при отплате товаров и услуг без открытия банковского счета? Надо ли и можно ли уведомлять выгодоприобретателя по вкладу об обработке его персональных данных банком, если на это нет согласия вкладчика? Является ли медсестра, вносящая под диктовку врача сведения в историю болезни, «лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну»?
Вопросы, первоначально обрушившиеся на совершенно не готовых к ним специалистов по информационной безопасности, наконец-то стали обсуждаться юристами. В последнее время на моих семинарах в среднем был только один технарь из 20 участников-юристов или кадровиков. И очень здорово, что совместными усилиями с правоведами мы выяснили, что персональные данные клиентов банка ни в коем случае нельзя уничтожать в течение трех суток после прекращения договора о предоставлении банковских услуг, поскольку сроки исковой давности требуют их хранения в течение трех лет. Налоговый кодекс, если банк выполнял функции налогового агента, предусматривает четыре года хранения, а закон о противодействии отмыванию незаконно полученных доходов (115-ФЗ) предусматривает, что копии документов, необходимых для идентификации личности клиента банка, подлежат хранению не менее пяти лет со дня прекращения банком отношений с ним. Причем преждевременное уничтожение этих сведений может стать основанием для привлечения к административной и даже уголовной ответственности.
Мы выстроили схему ухода под законодательство об архивном деле для реализации принципа «Знай своего клиента» без нарушений ФЗ «О персональных данных» и придумали рецепты лечения многих других болезней или их симптомов, спровоцированных непроработанностью 152-ФЗ. Без острых, нелицеприятных вопросов правоведов это было бы невозможным. Есть описанные проблемы, есть формализованные пути их решения, объем которых с каждым новым семинаром растет.
Наступает время, когда пироги будет печь пирожник, а сапоги тачать сапожник. Ну, а те, кто успел освоить и то и другое, активно в процессах поучаствуют.
Спасибо за полезную информацию.
ОтветитьУдалить