АРБ просит отложить реализацию требований закона о персональных данных
Ассоциация российских банков (АРБ) предлагает перенести сроки реализации требований закона № 152-ФЗ "О персональных данных" на один год из-за имеющихся нерешенных вопросов, недостатка опыта по практическому применению его положений и подзаконных актов как у операторов, так и у контролирующих органов, а также масштабами использования персональных данных в условиях имеющихся временных ограничений и отсутствия подготовленных кадров.
Практическое выполнение требований закона наталкивается на ряд серьезных ограничений и трудностей финансового, организационного и методического характера и ставит под сомнение возможность реализации этих требований к установленному сроку, заявил исполнительный директор АРБ Валерий Шипилов, слова которого приводит пресс-служба.
Проблемы с обработкой данных
Шипилов говорит, что выявлено две группы проблем, связанных с порядком обработки (регулятор - Роскомнадзор) и защитой персональных данных (регуляторы - Федеральная служба по техническому и экспортному контролю (ФСТЭК России) и ФСБ России).
При практической реализации положений указанного закона кредитные организации столкнулись с рядом организационных проблем, требующих изменения сложившейся практики делового документооборота и дополнительного привлечения значительных трудовых ресурсов. При этом, ряд требований, например, необходимость закрепления в договоре согласия клиента на передачу его персональных данных третьему лицу в случае необходимости, практически не могут быть реализованы в приемлемые сроки, так как требуют перезаключения десятков миллионов договоров с клиентами.
"Вызывает сложности отсутствие каких-либо классификаторов и перечней персональных данных, а также процедура практической реализации уничтожения данных в сроки, установленные законом. В соответствии с ним существенно затрудняется деятельность по проведению проверок сведений о субъекте персональных данных на этапе подготовки к заключению кредитных договоров или усиленной идентификации клиентов при совершении валютных операций и операций, подпадающих под действие закона № 115 ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма"", - отмечает пресс-служба АРБ.
Данные клиентов, необходимые для осуществления банковских операций и иных мероприятий, направленных на снижение рисков банковской деятельности, традиционно защищаются в кредитных организациях в соответствии с банковским законодательством и стандартами безопасности и управления рисками ISO и ряда других, а также документами ФСБ России и ФСТЭК России.
"Это соответствует и европейской практике защиты персональных данных, в соответствии с которой страны либо просто распространяют требования стандартов ISO 27001 на защиту персональных данных, либо на базе этих стандартов готовят специальные стандарты ISO по защите персональных данных. Складывающаяся в России ситуация характеризуется необоснованностью новых национальных требований по защите персональных данных по сравнению с международными требованиями", - полагают в Ассоциации.
Документы регуляторов по защите персональных данных требуют существенного изменения самой формы работы, связанной с переносом акцента на выполнение формальных мероприятий (регулярной сертификации, аттестации и лицензирования), являющихся крайне дорогостоящими мероприятиями, к тому же растянутыми на много лет. "При этом банки будут вынуждены по-прежнему выполнять работы по обеспечению соответствия стандартам, принятым в мировом банковском сообществе, иными словами, выполнять двойную работу, как это уже имеет место при выполнении стандартов бухгалтерского учета (РСБУ и МСФО)", - отмечают в АРБ.
Требования по защите персональных данных, содержащиеся в подзаконных актах регуляторов, не учитывают условий (масштабов и характера работы), в которых находятся отдельные группы операторов персональных данных, в частности кредитные организации.
Просьба уточнить
Как следует из разъяснений ФСТЭК России, полученных АРБ, данный государственный орган исполнительной власти разработал и утвердил "методические документы, содержащие организационные и технические меры по защите персональных данных при их обработке в информационных системах персональных данных". Данные документы высланы центральным аппаратом ФСТЭК России всего в двести органов государственной власти и организаций, и в частности, всего нескольким банкам.
Необходимо отметить, пишут эксперты АРБ, что полноценная реализация норм закона возможна лишь в условиях, когда его нормы, вносимые изменения в действующее отраслевое законодательство и иные нормативные требования, будут согласованы между собой.
В связи с этим, Ассоциация готовит письмо в Госдуму и правительство Российской Федерации с просьбой об уточнении некоторых положений федеральных законов, в частности, закона о персональных данных, закона "О банках и банковской деятельности" и закона "О Центральном банке Российской Федерации (Банке России)".