Письмо Ассоциации российских банков от 12 июля 2011 г. N А-01/5-540 "О новой редакции статьи 19 Федерального закона N 152-ФЗ "О персональных данных"

Письмо Ассоциации российских банков от 12 июля 2011 г. N А-01/5-540
"О новой редакции статьи 19 Федерального закона N 152-ФЗ "О персональных данных"

 

Принятие Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) стало важным шагом по защите прав граждан Российской Федерации, а также повышению качества защиты информационных систем персональных данных.

Вместе с тем, Закон N 152-ФЗ содержит целый ряд норм, выполнение которых либо крайне затруднительно, либо допускает различное толкование, либо связано с неадекватными затратами операторов персональных данных.

Особую озабоченность вызывали подзаконные нормативные акты и методические документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, разработанные во исполнение Постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Помимо юридической неурегулированности статуса принятых документов имелись также определенные вопросы к техническим требованиям, изложенным в этих документах. По мнению ряда специалистов в области информационной безопасности, представленная в документах методология защиты информационных систем персональных данных являлась организационно сложной и финансово обременительной для большинства операторов персональных данных и создавала серьезные затруднения в процессе реализации норм Закона N 152-ФЗ. В этой связи возникали сомнения в том, что основная масса организаций сможет привести свои системы персональных данных в соответствие с требованиями упомянутых документов.

В этой связи Ассоциация российских банков обращалась в уполномоченные государственные органы с вопросом о неадекватности мер по обеспечению безопасности обрабатываемых персональных данных.

В результате, по Вашему поручению, закрепленному Протоколом совещания от 13 ноября 2009 года N ДП-П39-1пр, был разработан и внесен в Государственную Думу Федерального Собрания Российской Федерации проект федерального закона N 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект). Положения Законопроекта в значительной части основывались на Рекомендациях Парламентских слушаний на тему: "Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных", состоявшихся в Государственной Думе ФС РФ 20 октября 2009 года.

Дальнейшая работа над Законопроектом велась при активном участии уполномоченных государственных органов, Банка России, банковского сообщества и всех заинтересованных лиц.

В результате многосторонних переговоров было достигнуто общее понимание о следующих принципах регулирования мер по обеспечению безопасности персональных данных при их обработке (статья 19 Закона N 152-ФЗ):

- Правительство Российской Федерации устанавливает требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;

- Правительство Российской Федерации устанавливает требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.

- Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных (см. приложение 1).

Таким образом, модель регулирования мер по обеспечению безопасности персональных данных при их обработке должна была быть выстроена на принципах саморегулирования для различных групп организаций, осуществляющих деятельность определенного вида. Полагаем, что разработка и установление требований по обеспечению безопасности персональных данных, а также контроль за соблюдением указанных требований вполне возможно реализовать на практике, поскольку данная инициатива была поддержана Центральным Банком Российской Федерации и организациями, специализирующимися в области информационной безопасности.

Полагаем, такой подход более эффективен и повлечет меньшие затраты, чем установление общего регулирования для всех участников обработки персональных данных.

Однако, на последнем этапе обсуждения Законопроекта в Государственной Думе Федерального Собрания Российской Федерации Комитетом Государственной Думы Федерального Собрания Российской Федерации по конституционному законодательству и государственному строительству была рекомендована к принятию принципиально иная редакция статьи 19 Закона N 152-ФЗ, которая предусматривает сохранение ныне действующей, крайне жесткой, неэффективной и чрезвычайно затратной для всех операторов персональных данных модели регулирования мер по обеспечению безопасности персональных данных при их обработке (см. приложение 2).

Тем самым, вопреки Вашему поручению, данному по результатам встречи 13 ноября 2009 года, в Законе N 152-ФЗ сохранены положения, применение которых вызывает самые значительные возражения со стороны субъектов рынка и дальнейшая реализация которых повлечет несоразмерные поставленным целям затраты и издержки для всех субъектов Закона N 152-ФЗ как государственных органов, так и юридических лиц.

Данная модель регулирования, в противовес изложенной выше, содержит явные недостатки, которые на практике могут повлечь серьезные проблемы для участников обработки персональных данных. Приведем некоторые из них.

Во-первых, Законопроектом не определена отраслевая модель регулирования. Предлагаемые Законопроектом подходы к установлению жестких требований Федеральной службы безопасности Российской Федерации (далее - ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) по защите персональных данных не учитывает интересы кредитно-финансовых организаций. Требования ФСБ России и ФСТЭК России предполагают существенные затраты и издержки, а также технически слабореализуемыми в информационных системах современной кредитной организации.

Во-вторых, Законопроект определяет неочевидный порядок контроля и надзора для коммерческих, в том числе для кредитно-финансовых организаций. Согласно Законопроекту, правом контроля и надзора за выполнением требований по обеспечению безопасности персональных данных в государственных информационных системах обладают исключительно ФСБ России и ФСТЭК России. При этом, по решению Правительства Российской Федерации ФСБ России и ФСТЭК России могут быть наделены полномочиями по осуществлению контроля и надзора в любой отрасли.

В этом случае возникает вопрос, на соответствие каким нормам и требованиям будет осуществляться контроль и надзор регуляторами.

В-третьих, право на принятие нормативных правовых актов в области определения угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, будет иметь целый ряд органов, включая федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативному правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы. Полагаем, что наделение нормотворческими функциями такого обширного и, по сути, неограниченного круга лиц не будет способствовать реализации принципа правовой определенности.

Принимая во внимание изложенное, просим Вас рассмотреть вопрос о внесении официальным представителем Правительства в Совете Федерации Федерального Собрания Российской Федерации предложения об отклонении Советом Федерации проекта федерального закона N 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" в целях его доработки согласительной комиссией палат Федерального Собрания Российской Федерации с учетом изложенных обстоятельств.

Приложение на 9 листах.

 

Президент

Г.А. Тосунян

 

 

Откройте актуальную версию документа прямо сейчас или получите полный доступ к системе ГАРАНТ на 3 дня бесплатно!

Получить доступ к системе ГАРАНТ

Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.


Письмо Ассоциации российских банков от 12 июля 2011 г. N А-01/5-540 "О новой редакции статьи 19 Федерального закона N 152-ФЗ "О персональных данных"


Текст письма размещен на сайте Ассоциации российских банков в Internet (http://www.arb.ru)