Письмо Ассоциации российских банков от 12 июля 2011 г. N А-01/5-540 "О новой редакции статьи 19 Федерального закона N 152-ФЗ "О персональных данных"

Письмо Ассоциации российских банков от 12 июля 2011 г. N А-01/5-540
"О новой редакции статьи 19 Федерального закона N 152-ФЗ "О персональных данных"


Принятие Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) стало важным шагом по защите прав граждан Российской Федерации, а также повышению качества защиты информационных систем персональных данных.

Вместе с тем, Закон N 152-ФЗ содержит целый ряд норм, выполнение которых либо крайне затруднительно, либо допускает различное толкование, либо связано с неадекватными затратами операторов персональных данных.

Особую озабоченность вызывали подзаконные нормативные акты и методические документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, разработанные во исполнение Постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Помимо юридической неурегулированности статуса принятых документов имелись также определенные вопросы к техническим требованиям, изложенным в этих документах. По мнению ряда специалистов в области информационной безопасности, представленная в документах методология защиты информационных систем персональных данных являлась организационно сложной и финансово обременительной для большинства операторов персональных данных и создавала серьезные затруднения в процессе реализации норм Закона N 152-ФЗ. В этой связи возникали сомнения в том, что основная масса организаций сможет привести свои системы персональных данных в соответствие с требованиями упомянутых документов.

В этой связи Ассоциация российских банков обращалась в уполномоченные государственные органы с вопросом о неадекватности мер по обеспечению безопасности обрабатываемых персональных данных.

В результате, по Вашему поручению, закрепленному Протоколом совещания от 13 ноября 2009 года N ДП-П39-1пр, был разработан и внесен в Государственную Думу Федерального Собрания Российской Федерации проект федерального закона N 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект). Положения Законопроекта в значительной части основывались на Рекомендациях Парламентских слушаний на тему: "Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных", состоявшихся в Государственной Думе ФС РФ 20 октября 2009 года.

Дальнейшая работа над Законопроектом велась при активном участии уполномоченных государственных органов, Банка России, банковского сообщества и всех заинтересованных лиц.

В результате многосторонних переговоров было достигнуто общее понимание о следующих принципах регулирования мер по обеспечению безопасности персональных данных при их обработке (статья 19 Закона N 152-ФЗ):

- Правительство Российской Федерации устанавливает требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;

- Правительство Российской Федерации устанавливает требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.

- Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных (см. приложение 1).

Таким образом, модель регулирования мер по обеспечению безопасности персональных данных при их обработке должна была быть выстроена на принципах саморегулирования для различных групп организаций, осуществляющих деятельность определенного вида. Полагаем, что разработка и установление требований по обеспечению безопасности персональных данных, а также контроль за соблюдением указанных требований вполне возможно реализовать на практике, поскольку данная инициатива была поддержана Центральным Банком Российской Федерации и организациями, специализирующимися в области информационной безопасности.

Полагаем, такой подход более эффективен и повлечет меньшие затраты, чем установление общего регулирования для всех участников обработки персональных данных.

Однако, на последнем этапе обсуждения Законопроекта в Государственной Думе Федерального Собрания Российской Федерации Комитетом Государственной Думы Федерального Собрания Российской Федерации по конституционному законодательству и государственному строительству была рекомендована к принятию принципиально иная редакция статьи 19 Закона N 152-ФЗ, которая предусматривает сохранение ныне действующей, крайне жесткой, неэффективной и чрезвычайно затратной для всех операторов персональных данных модели регулирования мер по обеспечению безопасности персональных данных при их обработке (см. приложение 2).

Тем самым, вопреки Вашему поручению, данному по результатам встречи 13 ноября 2009 года, в Законе N 152-ФЗ сохранены положения, применение которых вызывает самые значительные возражения со стороны субъектов рынка и дальнейшая реализация которых повлечет несоразмерные поставленным целям затраты и издержки для всех субъектов Закона N 152-ФЗ как государственных органов, так и юридических лиц.

Данная модель регулирования, в противовес изложенной выше, содержит явные недостатки, которые на практике могут повлечь серьезные проблемы для участников обработки персональных данных. Приведем некоторые из них.

Во-первых, Законопроектом не определена отраслевая модель регулирования. Предлагаемые Законопроектом подходы к установлению жестких требований Федеральной службы безопасности Российской Федерации (далее - ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) по защите персональных данных не учитывает интересы кредитно-финансовых организаций. Требования ФСБ России и ФСТЭК России предполагают существенные затраты и издержки, а также технически слабореализуемыми в информационных системах современной кредитной организации.

Во-вторых, Законопроект определяет неочевидный порядок контроля и надзора для коммерческих, в том числе для кредитно-финансовых организаций. Согласно Законопроекту, правом контроля и надзора за выполнением требований по обеспечению безопасности персональных данных в государственных информационных системах обладают исключительно ФСБ России и ФСТЭК России. При этом, по решению Правительства Российской Федерации ФСБ России и ФСТЭК России могут быть наделены полномочиями по осуществлению контроля и надзора в любой отрасли.

В этом случае возникает вопрос, на соответствие каким нормам и требованиям будет осуществляться контроль и надзор регуляторами.

В-третьих, право на принятие нормативных правовых актов в области определения угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, будет иметь целый ряд органов, включая федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативному правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы. Полагаем, что наделение нормотворческими функциями такого обширного и, по сути, неограниченного круга лиц не будет способствовать реализации принципа правовой определенности.

Принимая во внимание изложенное, просим Вас рассмотреть вопрос о внесении официальным представителем Правительства в Совете Федерации Федерального Собрания Российской Федерации предложения об отклонении Советом Федерации проекта федерального закона N 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" в целях его доработки согласительной комиссией палат Федерального Собрания Российской Федерации с учетом изложенных обстоятельств.

Приложение на 9 листах.


Президент

Г.А. Тосунян


Приложение 1


Редакция статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", согласованная участниками рынка


"Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор обязан принимать или обеспечивать принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий с ними (далее - меры по обеспечению безопасности персональных данных). Указанные меры принимаются с учетом возможного вреда субъекту персональных данных, объема и характера обрабатываемых персональных данных, условий обработки персональных данных, актуальности угроз безопасности персональных данных, а также возможностей технической реализации этих мер.

2. Меры по обеспечению безопасности персональных данных включают в себя, в частности:

1) определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применение методов (способов) защиты информации и прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

3) оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

4) учет машинных носителей персональных данных;

5) обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

6) восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

7) установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

8) контроль принимаемых мер по обеспечению безопасности персональных данных.

3. Оператор, на которого в соответствии с законодательством Российской Федерации возложена обязанность обеспечивать сохранение охраняемой законом тайны, принимает меры по обеспечению безопасности персональных данных, составляющих соответствующую охраняемую законом тайну, при их обработке в информационных системах персональных данных в соответствии с требованиями, установленными для защиты сведений, составляющих соответствующую охраняемую законом тайну. Указанные меры должны обеспечивать соблюдение прав субъектов персональных данных, предусмотренных настоящим Федеральным законом.

4. Правительство Российской Федерации устанавливает с учетом частей 1 и 2 настоящей статьи:

1) требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;

2) требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.

5. Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных с учетом частей 1 и 2 настоящей статьи.

6. Контроль и надзор за выполнением требований по обеспечению безопасности персональных данных в государственных и муниципальных информационных системах персональных данных, установленных Правительством Российской Федерации в соответствии с частью 4 настоящей статьи, осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

7. Федеральные органы исполнительной власти, иные государственные органы, органы местного самоуправления, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов вправе издавать стандарты обеспечения безопасности персональных данных. Стандарты обеспечения безопасности персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требований, устанавливаемых Правительством Российской Федерации в соответствии с частью 5 настоящей статьи. Стандарты обеспечения безопасности персональных данных в государственных и муниципальных информационных системах персональных данных устанавливают способы обеспечения безопасности персональных данных в соответствии с частями 1 и 2 настоящей статьи, а также требованиями, указанными в пункте 1 части 4 настоящей статьи.

8. Оператор обязан принять решение о присоединении к стандарту обеспечения безопасности персональных данных, за исключением случаев, предусмотренных частью 22 статьи 25 настоящего Федерального закона. В случае, если необходимый стандарт обеспечения обработки персональных данных отсутствует, оператор вправе издать стандарт обеспечения безопасности персональных данных. Решение о присоединении к стандарту обеспечения безопасности персональных данных или об издании стандарта обеспечения безопасности персональных данных оператор принимает самостоятельно, если иное не установлено федеральным законом или международным договором Российской Федерации.

9. Федеральные органы исполнительной власти, иные государственные органы, операторы, саморегулируемые организации, ассоциации, союзы и иные объединения операторов уведомляют федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, об изданных ими стандартах обеспечения безопасности персональных данных, а также о своем решении о присоединении к стандартам обеспечения безопасности персональных данных."


Приложение 2


Редакция статьи 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных", изложенная в проекте федерального закона N 282499-5 "О внесении изменений в Федеральный закон "О персональных данных", принятого Государственной Думой в трех чтениях


"Статья 19. Меры по обеспечению безопасности персональных данных при их обработке

1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. Обеспечение безопасности персональных данных достигается, в частности:

1) определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:

1) уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;

2) требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;

3) требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

4. Состав и содержание необходимых для выполнения установленных Правительством Российской Федерации в соответствии с частью 3 настоящей статьи требований к защите персональных данных для каждого из уровней защищенности, организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий.

5. Федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативно-правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы в пределах своих полномочий принимают нормативные правовые акты, в которых определяют угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности, с учетом содержания персональных данных, характера и способов их обработки.

6. Наряду с угрозами безопасности персональных данных, определенных в нормативных правовых актах, принятых в соответствии с частью 5 настоящей статьи, ассоциации, союзы и иные объединения операторов своими решениями вправе определить дополнительные угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности членами таких ассоциаций, союзов и иных объединений операторов, с учетом содержания персональных данных, характера и способов их обработки.

7. Проекты нормативных правовых актов, указанных в части 5 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации. Проекты решений, указанных в части 6 настоящей статьи, подлежат согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в порядке, установленном Правительством Российской Федерации. Решение федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, и федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, об отказе в согласования проектов решений, указанных в части 6 настоящей статьи, должно быть мотивированным.

8. Контроль и надзор за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при обработке персональных данных в государственных информационных системах персональных данных осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

9. Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, и федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации, решением Правительства Российской Федерации с учетом значимости и содержания обрабатываемых персональных данных могут быть наделены полномочиями по контролю за выполнением организационных и технических мер по обеспечению безопасности персональных данных, установленных в соответствии с настоящей статьей, при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности и не являющихся государственными информационными системами персональных данных, без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.

10. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.

11. Для целей настоящей статьи под угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных. Под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.".



Письмо Ассоциации российских банков от 12 июля 2011 г. N А-01/5-540 "О новой редакции статьи 19 Федерального закона N 152-ФЗ "О персональных данных"


Текст письма размещен на сайте Ассоциации российских банков в Internet (http://www.arb.ru)


Текст документа на сайте мог устареть

Вы можете заказать актуальную редакцию полного документа и получить его прямо сейчас.

Или получите полный доступ к системе ГАРАНТ бесплатно на 3 дня


Получить доступ к системе ГАРАНТ

(1 документ в сутки бесплатно)

(До 55 млн документов бесплатно на 3 дня)


Чтобы приобрести систему ГАРАНТ, оставьте заявку и мы подберем для Вас индивидуальное решение