1 / 21

ПРОБЛЕМЫ РЕАЛИЗАЦИИ ЗАКОНА 152-ФЗ “О ПЕРСОНАЛЬНЫХ ДАННЫХ”  В БАНКОВСКОЙ СФЕРЕ

12-й Национальный форум информационной безопасности "Информационная безопасность России в условиях глобального информационного общества“ 28-29 января 2010 года, Москва. ПРОБЛЕМЫ РЕАЛИЗАЦИИ ЗАКОНА 152-ФЗ “О ПЕРСОНАЛЬНЫХ ДАННЫХ”  В БАНКОВСКОЙ СФЕРЕ. Карл Сумманен

loc
Download Presentation

ПРОБЛЕМЫ РЕАЛИЗАЦИИ ЗАКОНА 152-ФЗ “О ПЕРСОНАЛЬНЫХ ДАННЫХ”  В БАНКОВСКОЙ СФЕРЕ

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 12-й Национальный форум информационной безопасности "Информационная безопасность России в условиях глобального информационного общества“ 28-29 января 2010 года, Москва ПРОБЛЕМЫ РЕАЛИЗАЦИИ ЗАКОНА 152-ФЗ “О ПЕРСОНАЛЬНЫХ ДАННЫХ”  В БАНКОВСКОЙ СФЕРЕ Карл Сумманен комитет по банковским информационным технологиям Ассоциации региональных банков России

  2. ОТДЕЛЬНЫЕ ПРОБЛЕМЫ БАНКОВ В СВЯЗИ С 152-ФЗ (1/2) (1) непонятно зачем необходимо это требование, так как оно ничего не дает с точки зрения защиты ПД.

  3. ОТДЕЛЬНЫЕ ПРОБЛЕМЫ БАНКОВ В СВЯЗИ С 152-ФЗ (2/2) (1) непонятно зачем необходимо это требование, так как оно ничего не дает с точки зрения защиты ПД.

  4. ВИДИМЫЕ СЛЕДСТВИЯ • Необходимость отвлечения ресурсов в реализацию мер по выплнению требований Закона от более приоритетных проектов • Сложности с развитием прогрессивных технологий • Риски применения санкций из-за усложнения регулирования • Риски вмешательства субъектов ПД в текущую деятельность операторов • Риск появления новых возможностей мошенничества субъектов • Риски принятия неправильных решений (кредитных и ииных) из-за запрета использования ПД либо сокращения кредитования из-за невозможнсти принятия обоснованных решений • Снижение операционной эффективности и технологичности бизнеса • Снижение эффективности антикризисных мер и замедление развития • Условия для коррупции • Потеря конкурентоспособности банковской сферы и экономики России в отношении других стран

  5. … И ИХ ПРИЧИНЫ • Особенности банков как операторов персональных данных • Особенности Российской реализации закона о персональных данных • Особенности момента времени

  6. ОСОБЕННОСТИ БАНКОВ КАК ОПЕРАТОРОВ ПД • Большое число субъектов ПД (десятки миллионов) • Большой объем и разнообразие ПД по одному субъекту • Длительные отношения с субъектом (десятки лет) с длинными интервалами отсутствия взаимодействий (годы) • Высокий уровень автоматической обработки • Высокий приоритет операционной эффективности и управления рисками в том числе необходимость внедрения высокотехнологичных форм обслуживания клиентов и обработки операций включая различные формы дистанционного обслуживания • Необходимость трансграничной передачи ПД в любые страны с транзитом данных через сети сторонних провайдеров (с неизвестной маршрутизацией) и промежуточные банки-корреспонденты • Необходимость выполнения правил различных международных организаций, в т.ч. включающих требования передачи ПД • Необходимость обработки ПД субъектов, не являющихся клиентами • Как правило компонентная информационная система с множественными базами ПД и сложными информационными потоками между компонентами • Необходимость использования исторической информации о взаимодействии банка с клиентом • Необходимость использования данных (в том числе "чуствительных" данных) из сторонних источников без уведомления субъекта ПД • Постоянная подверженность "атакам мошенников" • Подверженность многостороннему регулированию • Необходимость работы с большими объемами документов на бумаге включая длительное хранение • Многообразие целей обработки ПД включая вероятность возникновения со временм новых целей

  7. ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (1/3)

  8. ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (2/3) (1) Максимальный уровень обеспечивается, если это возможно это сделать за счет недорогих мер

  9. ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (3/3)

  10. ОСОБЕННОСТИ МОМЕНТА • Существенное сокращение возможностей получения доходов в сочетании с ростом рисков (в первую очередь кредитных) и расходов по реализованным рискам • Усиление конкуренции между банками внутри страны, с зарубежными банками и с небанковскими организациями, предлагающими платежно-расчетные услуги • Вынужденный переход в режим "выживания" и оптимизации операционных процессов. Ограниченные возможности выделения ресурсов на крупные проекты • Приоритет на сокращении расходов через повышение операционной эффективности за счет таких мероприятий, как: • оптимизация и автоматизация процессов • переход к дистанционному обслуживанию клиентов • переход к автоматизированной обработке операций • исключение документов на бумаге • исключения действий, не приносящих дохода

  11. РЕЗЮМЕ И ВЫВОДЫ • Закон значительно и необоснованно расширяет, детализует и усиливает требования по защите ПД и интересов субъектов ПД по отношению к Конвенции • Закон не использует предоставленные Конвенцией возможности смягчения отдельных требований на национальном уровне • Закон не учитывает особенности обработки ПД в различных областях бизнеса • Закон не отвечает требованиям принципа соразмерности мер размеру возможного ущерба • Закон содержит ряд практически неисполнимых и/или избыточных требований • Закон ухудшает условия существования и развития бизнеса и усложняет решение задач выхода из кризиса и модернизации экономики • Закон несвоевременен и ухудшает позиции России по отношению к другим странам Закон должен быть переработан исходя из приоритета национальных интересов страны

  12. ЧТО ДЕЛАТЬ • В 2010 году существенно переработать Закон руководствуясь следующими принципами: • приоритет национальных интересов России, в том числе в части операционной эффективности и развития экономики • ответственность операторов за реальные последствия нарушения прав субъектов ПД, а не формальное соблюдение требований • баланс прав субъектов и операторов ПД • безусловная выполнимость всех требований Закона всеми категориями операторов • соразмерность трудоемкости и отрицательного влияния на функционирование бизнеса мероприятий по защите возможным отрицательным последствиям нарушения прав субъектов ПД • в случаях, когда это возможно передача полномочий по установлению требований по защите ПД на уровень отраслевых Регуляторов • максимальное использование механизмов ослабления национальных требований, предусмотренных Конвенцией • Предлагаемые действия: • исключить из Закона все положения расширяющие, детализующие или усиливающие требования Конвенции, а также требования, исключение которых возможно на основе механизмов адаптации требований на национальном уровне, предусмотренных Конвенцией • исключить из Закона все положения, устанавливающие детальные требования к порядку и средствам защиты ПД • исключить из Закона все невыполнимые требования и требования отрицательно влияющие на операционную эффективность, развитие бизнеса и новых технологий • исключить из Закона все положения вводящие избыточные права субъектов ПД • исключить из Закона все положения, относящиеся к получению согласия субъекта на обработку ПД • ограничить Закон только автоматизированной обработкой ПД в электронном виде

  13. ПРИЛОЖЕНИЯ

  14. КОНВЕНЦИЯО ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ ПРИ ОБРАБОТКЕ ПД(1) (1/2) (1) Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (Страсбург, 28 января 1981 года)

  15. КОНВЕНЦИЯО ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ ПРИ ОБРАБОТКЕ ПД (2/2) (1) В официальном переводе на русский язык допущена ошибка, в тексте оригинала пункт звучит как "…to obtain at reasonable intervals…"

  16. РЕАЛИЗАЦИЯ КОНВЕНЦИИЕВРОПЕЙСКИМИ СТРАНАМИ(1) (1/2) (1) По материалам исследования Банка России

  17. РЕАЛИЗАЦИЯ КОНВЕНЦИИЕВРОПЕЙСКИМИ СТРАНАМИ (2/2)

  18. РЕАЛИЗАЦИЯ КОНВЕНЦИИРОССИЕЙ (1/4)

  19. РЕАЛИЗАЦИЯ КОНВЕНЦИИРОССИЕЙ (2/4)

  20. РЕАЛИЗАЦИЯ КОНВЕНЦИИРОССИЕЙ (3/4)

  21. РЕАЛИЗАЦИЯ КОНВЕНЦИИРОССИЕЙ (4/4)

More Related