АРБ о подмене боярами грамоты

Сегодня на сайте Ассоциации российских банков за подписью ее президента Г.А.Тосуняна опубликовано письмо Президенту Российской Федерации Д.А.Медведеву с просьбой отклонить новую редакцию закона «О персональных данных», принятую в трех чтениях Государственной Думой и 13 июля одобренную Советом Федерации.  К письму без дополнительных комментариев прилагаются два различных текста статьи 19 ФЗ-152: первый - подготовленный по поручению Председателя Правительства РФ и согласованный с участниками рынка, и второй - фактически принятый Думой.

Крупнейшая лоббистская структура кредитно-финансовой системы нашей страны говорит о подмене на последнем этапе документа, ставшего плодом многомесячного тяжелого согласования между органами власти и представителями бизнеса.

Президент АРБ обращает внимание на то, что «в Законе № 152-ФЗ сохранены положения, применение которых вызывает самые значительные возражения со стороны субъектов рынка и дальнейшая реализация которых повлечет несоразмерные поставленным целям затраты и издержки для всех субъектов Закона № 152-ФЗ как государственных органов, так и юридических лиц. Данная модель регулирования, в противовес изложенной выше, содержит явные недостатки, которые на практике могут повлечь серьезные проблемы для участников обработки персональных данных».

Особую озабоченность банковского сообщества справедливо вызывает исключение из закона возможности применения отраслевых моделей регулирования, что приведет к неопределенности в части использования стандартов Банка России в области информационной безопасности (СТО БР ИББС) и разработанных в их рамках отраслевых рекомендаций по защите персональных данных.

Внимание Президента страны обращается также и на неочевидный порядок контроля и надзора за соблюдением законодательства в области персональных данных для коммерческих, в том числе для кредитно-финансовых организаций, на что обращал внимание после второго чтения и Ваш покорный слуга.

Что ж, у детектива может появится новая серия. А может и не появиться. Но вот обвинения в истерии, паникерстве и покушении на глобальные интересы России, которые предъявлялись подписантам открытого письма Президенту России и примкнувшим к ним экспертам, после однозначной реакции Торгово-промышленной палаты и АРБ предъявлять будет трудно. Соревнование перешло в другую весовую категорию.

Персональные данные: технари наконец-то передают эстафетную палочку юристам

Встречи с  представителями российских банков на семинаре «Сложные проблемы применения законодательства о персональных данных в кредитно-финансовых учреждениях» подтверждают вывод, сделанный ранее и ставший причиной создания этого семинара – проблема соответствия российскому законодательству о персональных данных медленно, но уверенно выводится из ведения специалистов по информационной безопасности и уходит к профессиональным юристам. Т.е. то, что выглядело наиболее логичным с момента принятия закона, со значительным опозданием, но все-таки происходит.

Отбросив явно завышенные требования регуляторов к технической защите в их первых нормативно-методических документах, можно спокойно констатировать, что ничего принципиально нового с точки зрения механизмов защиты информации от операторов никто и не требует. Камнем преткновения остается обязательность сертификации СЗИ, особенно на отсутствие недекларируемых возможностей (НДВ). Но Постановление Правительства № 330-2010, фактически единственный нормативно-правовой акт, где прямо говорится об обязательной сертификации, так и не стало доступным, и большинство операторов махнули на него рукой – невидимый объект не существует. А сертификация на отсутствие НДВ с легкой руки Банка России, движение которой оставило яркий след в СТО БР ИББС, обходится просто и элегантно – по формальным признакам ИСПДн относится к специальным, и тогда вопрос об отнесении ее к конкретному классу является предметом бесконечной дискуссии, поскольку регуляторы ничего внятного по этому поводу так и не сказали. Любое экспертное мнение имеет право на жизнь, но это все-таки не более чем мнение одного конкретного человека.

Все остальное решается более или менее просто, продуктов на рынке достаточно, есть известные «дыры» в требованиях типа проблем безопасности в виртуальной среде или при терминальном доступе, но они существуют и без персональных данных, и решать их так или иначе придется все равно.

С правовыми проблемами гораздо хуже. Они оставались в тени, несмотря на периодические вопли технарей, а сейчас стали выдвигаться на первый план, во многом – благодаря активности Роскомнадзора и его территориальных управлений.

Надо ли получать согласие пациента районной больницы на обработку его персональных данных? Если да, то кому? В каких отношениях с точки зрения ФЗ-152 находится средняя школа, ее ученики и их родители? Должен ли банк иметь подтверждаемое согласие на обработку персональных данных плательщика и получателя при отплате товаров и услуг без открытия банковского счета?  Надо ли и можно ли уведомлять выгодоприобретателя по вкладу об обработке его персональных данных банком, если на это нет согласия вкладчика? Является ли медсестра, вносящая под диктовку врача сведения в историю болезни, «лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну»?

Вопросы, первоначально обрушившиеся на совершенно не готовых к ним специалистов по информационной безопасности, наконец-то стали обсуждаться юристами. В последнее время на моих семинарах в среднем был только один технарь из 20 участников-юристов или кадровиков. И очень здорово, что совместными усилиями с правоведами мы выяснили, что персональные данные клиентов банка ни в коем случае нельзя уничтожать в течение трех суток после прекращения договора о предоставлении банковских услуг, поскольку сроки исковой давности требуют их хранения в течение трех лет. Налоговый кодекс, если банк выполнял функции налогового агента, предусматривает четыре года хранения, а закон о противодействии отмыванию незаконно полученных доходов (115-ФЗ) предусматривает, что копии документов, необходимых для идентификации личности клиента банка, подлежат хранению не менее пяти лет со дня прекращения банком отношений с ним. Причем преждевременное уничтожение этих сведений может стать основанием для привлечения к административной и даже уголовной ответственности.

Мы выстроили схему ухода под законодательство об архивном деле для реализации принципа «Знай своего клиента» без нарушений ФЗ «О персональных данных» и придумали рецепты лечения многих других болезней или их симптомов, спровоцированных непроработанностью 152-ФЗ. Без острых, нелицеприятных вопросов правоведов это было бы невозможным. Есть описанные проблемы, есть формализованные пути их решения, объем которых с каждым новым семинаром растет.

Наступает время, когда пироги будет печь пирожник, а сапоги тачать сапожник. Ну, а те, кто успел освоить и то и другое, активно в процессах поучаствуют.