Письмо Ассоциации российских банков от 18.07.2011 N А-01/5-557 "О новой редакции статьи 19 Федерального закона N 152-ФЗ "О персональных данных"

Обращение Ассоциации российских банков обусловлено тем, что 13 июля 2011 года Советом Федерации Федерального Собрания Российской Федерации одобрен принятый Государственной Думой Федерального Собрания Российской Федерации (далее - ГД ФС РФ) Федеральный закон "О внесении изменений в Федеральный закон "О персональных данных" (далее - Закон). Принятие Закона вызывает не только большую озабоченность у представителей деловых кругов, но и не нашло единогласной поддержки со стороны парламентариев.

В настоящее время действует Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ), принятие которого стало важным шагом по защите прав граждан Российской Федерации, а также повышению качества защиты информационных систем персональных данных.

Вместе с тем, Закон N 152-ФЗ содержит целый ряд норм, выполнение которых либо крайне затруднительно, либо допускает различное толкование, либо связано с неадекватными затратами операторов персональных данных.

Особую озабоченность вызывали подзаконные нормативные акты и методические документы Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности, разработанные во исполнение Постановления Правительства Российской Федерации от 17 ноября 2007 года N 781 "Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".

Помимо юридической неурегулированности статуса принятых документов имелись также определенные вопросы к техническим требованиям, изложенным в этих документах. По мнению ряда специалистов в области информационной безопасности, представленная в документах методология защиты информационных систем персональных данных являлась организационно сложной и финансово обременительной для большинства операторов персональных данных и создавала серьезные затруднения в процессе реализации норм Закона N 152-ФЗ. В этой связи возникали сомнения в том, что основная масса организаций сможет привести свои системы персональных данных в соответствие с требованиями упомянутых документов.

В этой связи Ассоциация российских банков обращалась в уполномоченные государственные органы с вопросом о неадекватности мер по обеспечению безопасности обрабатываемых персональных данных.

В результате, по поручению Председателя Правительства Российской Федерации Путина В.В., закрепленному Протоколом совещания от 13 ноября 2009 года N ДП-П39-1пр, был разработан и внесен в ГД ФС РФ проект федерального закона N 282499-5 "О внесении изменений в Федеральный закон "О персональных данных" (далее - Законопроект). Положения Законопроекта в значительной части основывались на Рекомендациях Парламентских слушаний на тему: "Актуальные вопросы развития и применения законодательства о защите прав граждан при обработке персональных данных", состоявшихся в ГД ФС РФ 20 октября 2009 года.

Дальнейшая работа над Законопроектом велась при активном участии уполномоченных государственных органов, Банка России, банковского сообщества и всех заинтересованных лиц.

В результате многосторонних переговоров было достигнуто общее понимание о следующих принципах регулирования мер по обеспечению безопасности персональных данных при их обработке (статья 19 Закона N 152-ФЗ):

- Правительство Российской Федерации устанавливает требования по обеспечению безопасности персональных данных при их обработке в государственных и муниципальных информационных системах персональных данных с учетом содержания обрабатываемых персональных данных, характера и способов их обработки;

- Правительство Российской Федерации устанавливает требования по обеспечению безопасности биометрических персональных данных, содержащихся в основных документах, удостоверяющих личность гражданина Российской Федерации, по которым граждане Российской Федерации осуществляют выезд из Российской Федерации и въезд в Российскую Федерацию.

- Правительство Российской Федерации вправе установить требования по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, эксплуатируемых при осуществлении определенных видов деятельности, и не являющихся государственными и муниципальными информационными системами персональных данных, в зависимости от характеристик угроз безопасности этих данных (см. приложение 1).

Таким образом, модель регулирования мер по обеспечению безопасности персональных данных при их обработке должна была быть выстроена на принципах саморегулирования для различных групп организаций, осуществляющих деятельность определенного вида. Полагаем, что разработка и установление требований по обеспечению безопасности персональных данных, а также контроль за соблюдением указанных требований вполне возможно реализовать на практике, поскольку данная инициатива была поддержана Банком России и организациями, специализирующимися в области информационной безопасности.

Представляется, что такой подход является более эффективным и повлечет меньшие затраты, чем установление общего регулирования для всех участников обработки персональных данных.

Однако на последнем этапе обсуждения Законопроекта в ГД ФС РФ Комитетом ГД ФС РФ по конституционному законодательству и государственному строительству была рекомендована к принятию принципиально иная редакция статьи 19 Закона N 152-ФЗ, которая предусматривает сохранение ныне действующей, крайне жесткой, неэффективной и чрезвычайно затратной для всех операторов персональных данных модели регулирования мер по обеспечению безопасности персональных данных при их обработке (см. приложение 2).

Данная модель регулирования, в противовес изложенной выше, сосредоточена на общих подходах к установлению требований по обеспечению безопасности персональных данных и не учитывает возможности и ресурсы различных групп организаций, осуществляющих деятельность определенного вида.

Тем самым, вопреки поручению Председателя Правительства Российской Федерации Путина В.В., данному по результатам встречи 13 ноября 2009 года, в Законе N 152-ФЗ, сохранены положения, применение которых вызывает самые значительные возражения со стороны субъектов рынка и дальнейшая реализация которых повлечет несоразмерные поставленным целям затраты и издержки для всех субъектов Закона N 152-ФЗ как государственных органов, так и юридических лиц.

Данная модель регулирования, в противовес изложенной выше, содержит явные недостатки, которые на практике могут повлечь серьезные проблемы для участников обработки персональных данных. Приведем некоторые из них.

Во-первых, Законопроектом не определена отраслевая модель регулирования. Предлагаемые Законопроектом подходы к установлению жестких требований Федеральной службы безопасности Российской Федерации (далее - ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК России) по защите персональных данных не учитывает интересы кредитно-финансовых организаций. Требования ФСБ России и ФСТЭК России предполагают существенные затраты и издержки, а также технически слабореализуемыми в информационных системах современной кредитной организации.

Во-вторых, Законопроект определяет неочевидный порядок контроля и надзора для коммерческих, в том числе для кредитно-финансовых организаций. Согласно Законопроекту, правом контроля и надзора за выполнением требований по обеспечению безопасности персональных данных в государственных информационных системах обладают исключительно ФСБ России и ФСТЭК России. При этом, по решению Правительства Российской Федерации ФСБ России и ФСТЭК России могут быть наделены полномочиями по осуществлению контроля и надзора в любой отрасли.

В этом случае возникает вопрос, на соответствие каким нормам и требованиям будет осуществляться контроль и надзор регуляторами.

В-третьих, право на принятие нормативных правовых актов в области определения угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, будет иметь целый ряд органов, включая федеральные органы исполнительной власти, осуществляющие функции по выработке государственной политики и нормативному правовому регулированию в установленной сфере деятельности, органы государственной власти субъектов Российской Федерации, Банк России, органы государственных внебюджетных фондов, иные государственные органы. Полагаем, что наделение нормотворческими функциями такого обширного и, по сути, неограниченного круга лиц не будет способствовать реализации принципа правовой определенности.

Принимая во внимание изложенное, Ассоциация российских банков просит Вас рассмотреть вопрос об отклонении Федерального закона "О внесении изменений в Федеральный закон "О персональных данных".

Приложение на 10 листах.

Президент

Г.А. Тосунян