Информационное письмо об организации работы СИБ банковских учреждений России в связи с принятием 261-ФЗ о внесении изменений в 152-ФЗ "О персональных данных"

1 декабря 2011 года гор. Москва


I. Обобщив поступившие запросы коммерческих банков – членов АРБ, возникшие после издания ФЗ – 261 от 25 июля т.г. Консультационный центр сообщает следующее.

В настоящее время Банком России совместно с Роскомнадзором, ФСБ России, ФСТЭК России проводится работа:
- по согласованию подходов к выполнению банковской системой РФ требований новой редакции ФЗ «О персональных данных;
- по изучению вопроса о целесообразности внесении изменений в Комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы РФ (далее – Комплекс БР ИББС)
- рассматривается возможность выпуска новой редакции письма-обращения Банка Росси, Ассоциации российских банков, Ассоциации региональных банков России (Ассоциация «Россия») и регуляторов.
Исходя из того, что до настоящего времени не завершено формирование законодательной базы, направленной на выполнение новых требований по защите ПДн рекомендуем следующий подход:
- в случае введения в организации БС РФ Комплекса БР ИББС, следует продолжать руководствоваться отраслевыми документами, содержащими положения по обработке и обеспечению безопасности ПДн, а также порядком, рекомендованном в Письме-обращении;
- в том случае, если не планируется введение комплекса БР ИББС, следует руководствоваться ранее изданными нормативными актами, а впоследствии подзаконными актами, предусмотренными ст. 19 ФЗ № 261 от 25 июля 2011 года, после их издания.

II. Ответы на отдельные вопросы.

1. О статусе Стандарта Банка России СТО БР ИББС 1.0-2010

Смотрите раздел первый настоящего письма.

2. Об определении уровней защищенности ПД и мерах по защите ПД в соответствии с уровнями защищенности ПД.

Данные вопросы будут разрешены после издания Правительством РФ соответствующего нормативного акта. В настоящее время рекомендуем использовать положения Комплекса документов Банка России.

3. Непонятна разница между удалением и уничтожением ПДн

Удаление ПДн – изъятие персональных данных из информационных систем с сохранение последующей возможности их восстановления.
Уничтожение ПДн – действия по прекращению физического существования информации с уничтожением ее носителей (см. п.8 ст.3).

4. Разные редакции понятия «автоматизированной обработки данных» в новой редакции ФЗ «О персональных данных» и Постановлении Правительства РФ № 687, которые противоречат друг другу.

На сегодняшний день следует пользоваться последним определением, данным в
редакции ФЗ от 25 июля 2011 года № 261.

5. Согласована ли частная модель угроз безопасности ПДн в РС БР ИББС-2.4-2010 с ФСБ И ФСТЭК

Да

6. Надо ли каждое перечисление ПДн сопровождать поручением на их обработку

Если обработка ПДн третьим лицом проводится на основании договора, поручение на данное действие должно являться непременным условием договора. Если это действие разовое, то такое поручение должно быть составлено с учетом требований ст. 6 ФЗ – 261.

7. Каков статус «Письма шести»

См. раздел первый письма. ЦБ РФ изучается возможность его адаптации к новой редакции ФЗ «О персональных данных».

8. В какие сроки необходимо привести свою документацию и ИС в соответствие с ФЗ «О персональных данных»

Старая редакция ФЗ «О персональных данных» предусматривала такой срок до 1 июля 2011 года. Следовательно, вся документация и ИС должны были быть приведены в соответствие к указанному сроку. Срок их корректировки, по причине издания новой редакции закона, не определен.

9. Непонятно разделение (в новой редакции) информационных систем на АБС и ИСПДн

В случае если речь идет о требованиях п.7.10.9 СТО БР ИББС-1.0-2010, следует иметь в виду следующее.

В соответствии с п. 7.10.9 СТО БР ИББС-1.0-2010 в организации БС РФ должен быть определен и документально зафиксирован подход к отнесению АБС к ИСПДн. В организации БС РФ должен быть определен и документально зафиксирован перечень ИСПДн. В перечень ИСПДн должны быть включены, как минимум АБС, целью создания и использования которых является обработка персональных данных.
Специалисты Банка самостоятельно, проведя обследование эксплуатируемых систем, должны сделать обоснованный вывод на основе сведений о функциях и технологиях АБС о возможности отнесения к ИСПДн.
При этом должны учитываться следующие данные: цели создания системы, обрабатываемые в ней персональные данные и т.д.

10. Обязательно ли использование в АБС именно сертифицированных средств защиты

В соответствии с п. 7.4.2 СТО БР ИББС-1.0.2010 использование сертифицированных средств защиты является рекомендованным.
В соответствии с п. 7.7.2 СТО БР ИББС-1.0.-2010 для обеспечения безопасности необходимо использовать СКЗИ, которые сертифицированы уполномоченным государственным органом либо имеют разрешение ФСБ России.

11. Непонятен вопрос об обработке ПДн уволившихся сотрудников, а также клиентов, после расторжения договоров с ними.

В отношении уволившихся сотрудников и клиентов после прекращений действий договоров следует руководствоваться нормами российского законодательства законодательством, определяющего сроки хранения отдельных категорий сведений, в том числе законодательства об архивном деле в РФ. В частности, ПДн бывших клиентов, связанные с оказанием банковских услуг, должны храниться до истечения сроков исковой давности (3 года, если договором не определено иное). В соответствии со ст.7 ФЗ-115, копии документов, необходимые для идентификации личности клиентов, подлежат хранению не менее 5 лет, а срок исчисляется со дня прекращения отношений с клиентом. ПДн, необходимые для исчисления налогов субъектов (бывших работников и клиентов), в отношении которых банк выступал в качестве налогового агента, в соответствии с п.5 ч.3 ст.24 Налогового кодекса РФ должны храниться в течение 4 лет. Поэтому, при определении сроков хранения ПДн и отборе их для уничтожения, к вопросу необходимо подходить крайне взвешенно, учитывая требования не только ФЗ-152, но и другие федеральные законы, как это предусмотрено ч.7 ст.5 и ч.4 ст.21 ФЗ-152.

12. В каких случая можно обрабатывать резюме и анкеты будущих работников, не имея их письменного согласия.

Во всех. В данном случае согласия соискателя должности (возможного будущего работника) не требуется, поскольку данная обработка подпадает под предусмотренную п.5 ч.1 ст.6 ФЗ-152 установку о том, что «обработка ПДн необходима для…заключения договора по инициативе субъекта ПДн». Таким договором является трудовой договор, а субъект проявил инициативу, заполнил анкету работодателя или разместил свое резюме на сайте или передал его кадровому агентству для подбора места работы.


13. Что делать с действующими договорами с физическими лицами, заключенными до принятия ФЗ-152

По общему правилу закон обратной силы не имеет. Банковская практика пошла по пути получения согласия на обработку ПДн от физических лиц по мере обновления договоров или по мере прихода их (физических лиц) в банк для решения тех или иных вопросов, связанных с исполнением договорных отношений.
В тоже время необходимо отметить, что наличие договора, стороной которого выгодоприобретателем или поручителем является субъект ПДн, является законным основанием для обработки ПДн и не требует какого-либо дополнительного согласия указанных категорий физических лиц (п.5 ч.1 ст.6 ФЗ-152). Представляется, что согласия клиента на обработку его ПДн необходимо только в отношении сведений, не являющихся необходимыми для исполнения договора.

14. Как работать с международными транзакциями.

При осуществлении международный транзакций следует руководствоваться «Конвенцией о защите физических лиц при автоматизированной обработке персональных данных» (Страсбург, 28 января 1981 года). Россия присоединилась к Конвенции 7 ноября 2001 года. Конвенцию подписало несколько десятков стран, не только Европы. При проведении операций следует сверяться со списком стран, присоединившихся к ней, это гарантия того, что ПДн права Ваших клиентов как субъектов ПДн будут надежно защищены.
Сообщаем также, что Роскомнадзор по данной проблеме готовит специальный документ с опубликованием списка стран, где защита прав субъектов ПДн соответствует положениям Конвенции. Срок введения его в действия пока не известен.

15. Необходимо ли осуществлять учет жестких дисков, на которых обрабатываются ПДн, или учитывать только внешние носители

Пунктом 5. ч.2 ст.19 ФЗ-152, в состав мер, принимаемых оператором для обеспечения безопасности ПДн, включен и учет машинных носителей ПДн, при этом закон не определяет каких либо конкретных типов машинных носителей, подлежащих учету.
В соответствии с РС БР ИББС-2.3 (п.6.3.6) в организации БС РФ должен быть определен и документально зафиксирован порядок постановки на учет и снятия с учета машинных носителей, предназначенных для размещения персональных данных. Такой же порядок может быть определен и для постановки на учет только внешних носителей

16. Положения новой редакции ФЗ «О персональных данных» противоречит законодательству об архивном деле в РФ.

Действия ФЗ «О персональных данных» не распространяется на отношения, возникающие при организации хранения, комплектования, учета и использовании содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в РФ (ч.2 ст.1 ФЗ-152).


17. Не ясно процедура выполнения предписания ст.18.1. п.2 ФЗ-262 об обязательном опубликовании или обеспечении неограниченного доступа к документу, определяющему политику оператора в отношении обработки ПДн.

Утверждение о том, что документ, определяющий политику оператора в отношении обработки ПДн, априори содержит конфиденциальную информацию, является на наш взгляд некорректным.
Документ, определяющий политику оператора в отношении обработки ПДн должен содержать высокоуровневые правила и требования к данной деятельности. В него возможно включение положения о целях и задача, информации о содержании, назначении и требованиях к деятельности по обработке ПДн без указания специфических деталей. В таком случае его возможно публиковать на сайте банка или размещать в офисах банка в свободном доступе.

18. Необходимо ли повторное предоставление регуляторам сведений, уже подаваемых ранее.

Не ясно, о каких сведениях идет речь. Если сведения предоставлялись Регуляторам ранее, и изменений в них не произошло, то повторное направление их нецелесообразно.

19. Нет критериев «избыточности ПДн по отношению к целям их использования

В соответствии с п.7.10.3 СТО БР ИББС-1.0-2010 для каждой цели обработки ПДн должны быть определены, документально зафиксированы и утверждены руководством организации БС РФ содержание ПДн (т.е. те персональные данные, которые обрабатываются для достижения определенной цели). В том случае, если для определенной цели (для реализации деятельности банка по ее достижению) нет необходимости в обработке некоторых ПДн (но такая обработка ведется), эти ПДн должны быть удалены.

20. Нет критериев совместимости объединения баз данных. Непонятно, как разграничивать ПДн, используемых одновременно в нескольких целях

В соответствии с ФЗ «О персональных данных» (ч.3 ст.5) не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой. Таким образом, можно говорить только о несовместимости целей обработки.


21. Нет разъяснения «юридических последствий» отказа предоставления субъектом ПДн. Непонятно, что надо разъяснять физическому лицу, не дающему согласия на обработку ПДн.

В зависимости от запрашиваемых (представляемых) сведений последствия отказа субъекта их представить могут бать различными. Так, отказ в предоставлении сведений могут привести к невозможности приема на работу, оказанию истребуемых услуг, невозможности предоставления социальных услуг, льгот, гарантий и т.п. Содержание разъяснений определяется в каждом конкретном случае в зависимости от того, для каких целей должны быть предоставлены ПДн.

22. Не ясно, что понимается под «…до начала обработки ПДн», если согласно определению, данному в новой редакции, под обработкой понимается любое действие с ПДн

По нашему мнению, под понятием «начало обработки» следует понимать начало любого из действий оператора, которые перечисляются в п.3 ст.3 ФЗ-152, при условии, что с этого действия оператора начинается обработка ПДн.


23. В какие сроки следует уведомлять субъекта ПДн, его представителя и третьих лиц о судьбе использованных ПДн.

В 30-дневный срок, с даты получения запроса (ст.20 ФЗ-261)


24. Неясны подробности назначения оператором лица, ответственного за ее обработку ПДн.


Процедура назначения оператором лица, ответственного за организацию обработки ПДн, изложена в ст.22-1 ФЗ-261


25. Порядок уведомления уполномоченного органа по защите прав субъектов ПДн об изменении сведений, изложенных в первоначальном уведомлении «о намерении осуществлять обработку ПДн».

Документами Роскомнадзопра порядок направления изменений не определен. Представляется, что такое уведомление должно содержать полное и сокращенное наименование оператора, его регистрационный номер в Реестре операторов и содержание измененяемых сведений, с привязкой к нумерации, установленной приказом Роскомнадзора 2011 № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомлении об обработке (о намерении обработки) ПДн».

26. Нуждается в отдельном комментарии (разъяснении) форма получения согласия субъекта ПДн на их обработку.

Форма получения согласия субъекта ПДн на их обработку может быть произвольной. В случае необходимости получения согласия при заключении договора, эти положения можно включить в текст договора, либо сделать приложением к нему. В иных случаях форма обуславливается складывающейся в каждом банке практикой.



27. Не снят вопрос обработки биометрических ПДн

В соответствии с письмом Роскомнадзора (от 05.04.2010 № ПК- 05728, ответ на запрос ЗАО «Коммерцбанк») фотография, на которой запечатлен человек, может являться носителем биометрических персональных данных при соответствии требованиям, установленным ГОСТ Р ИСО/МЭК 19794-5-2006
Указанный стандарт устанавливает требования к формату записи изображения лица, предназначенному для хранения изображения лица в записи биометрических данных (раздел 5.1. «Общие положения»). Такая запись является биометрическими данными, совместимыми с Единой структурой форматов обмена биометрическими данными (ЕСФОБД – предназначена для обмена биометрическими данными и обеспечивает стандартную запись любого биометрического образца).
Использование данного формата записи требует соответствия изображения лица определенным требованиям к структуре изображения (например, контрольные точки изображения) и представлению данных (наличие заголовков, специальных полей, кодированию, сжатию данных и др.). Такие требования могут быть выполнены только, если фотография получена, обработана и используется (например, для идентификации субъекта ПДн) с использованием специальных технологий и технических средств.
Исходя из этого, считаем, что фотография или видеозапись, на которой запечатлен человек, могут считаться биометрическими данными (является носителем биометрических ПДн) только в том случае, если они представлены в электронном виде и получены с применением специальных технологий и технических средств, позволяющих выполнять определенные требования, предъявляемые к форматам записи изображения (например, в случае фотографии установленные ГОСТ Р ИСО\ МЭК 19794-5-2006).

28. Не установлена форма отзыва согласия на обработку ПДн.

Форма отзыва согласия ФЗ-152 и подзаконными актами не установлена. Представляется, что форма отзыва согласия может быть любой, позволяющей однозначно установить, что отзыв направлен конкретным субъектом ПДн.



29. Если будут утверждены новые нормативные акты Правительства РФ и регуляторов, надо ли будет вновь пересматривать и переделывать систему защиты ПДн

После выхода подзаконных актов Правительства РФ, ФСБ России, ФСТЭК России может возникнуть необходимость корректировки документов, содержащих требования по безопасности ПДН (Комплекс БР ИББС, а также локальных актов операторов), а уже затем может возникнуть необходимость и корректировки систем защиты ПДн.



Консультационный центр