ОСОБЕННОСТИ РЕАЛИЗАЦИИ ПОЛОЖЕНИЙ ЗАКОНА «О ПЕРСОНАЛЬНЫХ ДАННЫХ» ДЛЯ БАНКОВСКОЙ СФЕРЫ6 апреля 2010

Тимур Аитов, вице-президент ,

Ассоциации региональных банков России,

к.ф.-м.наук, timur@asros.ru

Круглый стол "Защита персональных данных на финансовом и пенсионном рынках"

Закон 152-ФЗ - ключевая тема рынка ИБЗакон вызывает нарекания - в части формулировок и трудной реализуемости требований в целом.

Впервые обратил внимание на проблемы Анатолий Аксаков - в письме в Роскомнадзор о неадекватности сроков ст. 25 п.3.

Полученная отсрочка дает возможность внести в закон ряд важных поправок.

Итоги подведены на парламентских слушаниях 20 октября 2009 года …

Меры реагирования Роскомнадзора"…операторов привлекают к административной ответственности за непредставление уведомлений об обработке персональных данных…" (Р.Шередин)

Операторы в регионах сталкиваются с различными трактовками положений закона, с недостатком разъяснений, с избирательным применением закона…

Банки хотят честно выполнять 152-ФЗ но закон не должен останавливать и, тем более, ломать бизнес,

закон должен давать выполнимые и понятные требования. ..

Некоторые банковские операции становятся незаконными

Бизнес-

процесс

НЕСКОЛЬКО ПРИМЕРОВ

Об удалении ПД

уничтожение ПД - нештатная ручная операция, по регламенту надо оставлять резервную копию на случай сбоя,

когда аккаунт клиента уничтожается, то прошлые транзакции могут стать неопределенными,

ситуация по удалению становится особенно неприятной, когда группа клиентов использует свое право отказаться от обработки своих ПД…

Создание резервной копии

Неопределенные транзакции

Отказ от обработки ПД группой

Антивирусная защита ПД

необходимо регулярное обновление антивирусной базы, еще - защита не должна нарушать логику работы остальных приложений.

Что скачивают владельцы антивирусного ПО с серверов обновлений?..

Надо разъяснить, что и у кого скачивать, и кто в ответе за возможный сбой.

Само скачиваемое обновление может являться вирусом (трояном)

надежность

совместимость

масштабируемость

унификация

Защита и стоимость банковских услуг Механизмы исполнения требований регуляторов ведут к удорожанию банковского обслуживания и нужен компромисс.

Банки понимают, компрометация клиентской базы приводит к прямым юридическим рискам, потере доли на рынке, снижению эффективности бизнеса.

Совмеcтное письмо -обращение трех Ассоциаций к И.ШУВАЛОВУ и риск-ориентированные модели

Некоторые операции становятся незаконными непонятно, как получать согласие третьих лиц на обработку их данных, не переложив эту обязанность на субъектов («перевод без открытия банковского счета»)письменное согласие на обработку – атрибут прошлого века

«…закон явно перегружен требованиями по защите субъекта персональных данных, несмотря на то, что аналогичные европейские нормы дают более мягкую трактовку. ..»

(из письма Ассоциации «Россия» в профильные комитеты Госдумы)

ГОТОВНОСТЬ 2010

Реестр не готов

Рынок не готов

Не готовы регуляторы

Банки не готовы

ГОДИЧНАЯ

ОТСРОЧКА

Годичная отсрочка нужна законодателям, чтобы внести необходимые поправки в закон

ИСТОЧНИКИ ПОТЕРЬ И КОМПРОМЕТАЦИИ ДАННЫХ, КОТОРЫЕ БЫЛИ И ОСТАЛИСЬ

Платежные системы - небанковскиеРазличные системы электронных денег, они собрали паспорта у наших граждан, но не имеют ни средств для защиты данных, ни желания этого делать.

Кроме 152-ФЗ, вообще непонятно, как они работают, так как до сих пор у них нет регулятора.

Социальный web

Социальные сети, тоже никем не контролируемые, и тоже собрали гигантские объемы личной информации о гражданах.

на Западе оформился и новый вид преступления – кража личности – Identity theft, скоро эти преступления докатятся и до нас...

Особенно опасна сексуальная эксплуатация детей в Интернет.

Инвенторные системы

Инвенторные системы содержат не только персональные данные граждан в виде PNR (Passenger Name Record), но и детальную информацию обо всех перемещениях по стране и миру.

Граждане, когда будут писать мемуары, чтобы не напутать с датами, могут обратиться в компании Амадеус или Сайбор и уточнить там маршруты своих перемещений – PNR записи там как раз не уничтожают.

ЗАКЛЮЧЕНИЕ

Системный подход

обсудить

одобрить

принять

изменить

Основные проблемы-2010 приведение банка в соответствие с законом «О персональных данных», приведение самого закона в соответствие с реалиями банковского бизнеса.

Основная угроза – взаимное недопонимание участников процесса