Проблемы реализации 152-ФЗ О персональных данных в
advertisement
12-й Национальный форум информационной безопасности "Информационная безопасность России в условиях глобального информационного общества“ 28-29 января 2010 года, Москва Карл Сумманен комитет по банковским информационным технологиям Ассоциации региональных банков России 0 ОТДЕЛЬНЫЕ ПРОБЛЕМЫ БАНКОВ В СВЯЗИ С 152-ФЗ (1/2) Проблема Необходимость изменения сложившейся практики делового документооборота и Необходимость выполнения новых функций, не приносящих дохода и требующих дополнительного привлечения значительных трудовых ресурсов Необходимость массового перезаключения договоров с клиентами Пример • невозможность дистанционной подачи потенциальным клиентом заявки на карточку или кредит • обработка запросов субъектов • обработка запросов субъектов ПД • необходимость получения согласия субъектов • необходимость закрепления в договоре согласия клиента на передачу его персональных данных третьему лицу в случае необходимости(1) Появление новых труднореализуемых и крайне трудоемких процессов • уничтожение ПД в предусмотренных случаях • обеспечение акутальности ПД становится обязанностью оператора Появление препятствий в работе, направленной на снижение рисков невозврата кредитов и на сокращение просроченной задолженности • затрудняется деятельность по проведению проверок сведений о субъекте персональных данных на этапе подготовки к заключению кредитных договоров • в соответствии с пунктом 4 части 3 статьи 23 Закона № 152-ФЗ Риски вмешательства регуляторов в операционную деятельность кредитных организаций с последствиями, идентичными отзыву Центральным банком Российской Федерации лицензии на осуществление банковской деятельности уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия) имеет право «принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований настоящего Федерального закона» (1) непонятно зачем необходимо это требование, так как оно ничего не дает с точки зрения защиты ПД. 1 ОТДЕЛЬНЫЕ ПРОБЛЕМЫ БАНКОВ В СВЯЗИ С 152-ФЗ (2/2) Проблема Риски блокирования работы кредитной организации путем перегрузки ее запросами граждан – субъектов персональных данных Пример • право субъекта с негораниченной частотой требовать без права оператора взимать плату • данные клиентов, необходимые для осуществления банковских операций и иных Многосторонне регламентирование Сложность внедрения новых технологий и процессов, повышающих операционную эффективность мероприятий, направленных на снижение рисков банковской деятельности, традиционно защищаются в кредитных организациях в соответствии с банковским законодательством и широко распространенными стандартами безопасности и управления рисками ISO 17799, 27001-2005, 13335, COBIT, PSI DSS, СТО БР ИББС-1.0, а также документами ФСБ России и ФСТЭК России. Возникает наложение требований разных стандартов. • требования согласий и письменных делают невозможным дистанционные обслуждивание • жесткие требования по защите данных в ИС и необходимсоть осуществления в Рост расходов на ИТ течение короткого периода комплекса мероприятий по приведению ИС в соответствие с требованиями Закона • затрудняется деятельность по проведению проверок сведений о субъекте Коллизии с требованиями других нормативно-правовых актов персональных данных на этапе подготовки к заключению кредитных договоров или усиленной идентификации клиентов при совершении валютных операций и операций, подпадающих под действие Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (1) непонятно зачем необходимо это требование, так как оно ничего не дает с точки зрения защиты ПД. 2 ВИДИМЫЕ СЛЕДСТВИЯ • Необходимость отвлечения ресурсов в реализацию мер по выплнению требований Закона от более приоритетных проектов • • • Сложности с развитием прогрессивных технологий • • Риск появления новых возможностей мошенничества субъектов • Снижение операционной эффективности и технологичности бизнеса • • Снижение эффективности антикризисных мер и замедление развития • Потеря конкурентоспособности банковской сферы и экономики России в отношении других стран Риски применения санкций из-за усложнения регулирования Риски вмешательства субъектов ПД в текущую деятельность операторов Риски принятия неправильных решений (кредитных и ииных) из-за запрета использования ПД либо сокращения кредитования из-за невозможнсти принятия обоснованных решений Условия для коррупции 3 … И ИХ ПРИЧИНЫ • Особенности банков как операторов персональных данных • Особенности Российской реализации закона о персональных данных • Особенности момента времени 4 ОСОБЕННОСТИ БАНКОВ КАК ОПЕРАТОРОВ ПД • • • Большое число субъектов ПД (десятки миллионов) • • Высокий уровень автоматической обработки • Необходимость трансграничной передачи ПД в любые страны с транзитом данных через сети сторонних провайдеров (с неизвестной маршрутизацией) и промежуточные банки-корреспонденты • Необходимость выполнения правил различных международных организаций, в т.ч. включающих требования передачи ПД • • Необходимость обработки ПД субъектов, не являющихся клиентами • • Необходимость использования исторической информации о взаимодействии банка с клиентом • • • • Постоянная подверженность "атакам мошенников" Большой объем и разнообразие ПД по одному субъекту Длительные отношения с субъектом (десятки лет) с длинными интервалами отсутствия взаимодействий (годы) Высокий приоритет операционной эффективности и управления рисками в том числе необходимость внедрения высокотехнологичных форм обслуживания клиентов и обработки операций включая различные формы дистанционного обслуживания Как правило компонентная информационная система с множественными базами ПД и сложными информационными потоками между компонентами Необходимость использования данных (в том числе "чуствительных" данных) из сторонних источников без уведомления субъекта ПД Подверженность многостороннему регулированию Необходимость работы с большими объемами документов на бумаге включая длительное хранение Многообразие целей обработки ПД включая вероятность возникновения со временм новых целей 5 ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (1/3) Требования закона Россия Европа перекос в сторону субъекта как основной принцип игнорируются как основной принцип Защита ПД для документов на бумаге требуется только электронные данные Защита ПД в случае неавтоматизированной обработки требуется только автоматизированная Обновление ПД обязанность оператора в случае необходимости Уничтожение ПД требуется не требуется игнорируется как основной принцип нет ограничена ограничен не установлен установлен и большой нее установлен требование бесплатности допускается платность - как основной принцип Баланс интересов субъекта и оператора Учет реальных возможностей операторов Соразмерность мер защиты рискам Ограничение частоты запросов субъекта Ограничение срока подготовки ответа оператором Определение объема информации в ответе оператора Возможность взимания оператором платы за ответы Требование ЕС обоснованности требований национальных законов 6 ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (2/3) Требования закона Россия Европа Требование не создавать помехи развитию рынка - как основной принцип Требование не создавать помехи внедрению новых технологий - как основной принцип Требование не создавать помехи функционированию оператора - как основной принцип Регулирование специально созданным органом - как основной принцип как основной подход нет Право оператора самому определять адекватные меры исходя из особенностей бизнеса, процессов, вида и объемов ПД нет как основной принцип Ответственность оператора за формальное соблюдение формальных правил установлена нет Использование существующих стандартов защиты информации как основы для защиты ПД игнорируются как основной принцип Реалистичность мер защиты игнорируется как основной принцип не используется используется Жестко детерминированный порядок защиты ПД единый для всех категорий операторов Принцип условно-максимальной защиты(1) (1) Максимальный уровень обеспечивается, если это возможно это сделать за счет недорогих мер 7 ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (3/3) Требования закона Россия Европа требуется не требуется есть нет срок указан в Законе нет Согласие субъекта на обработку ПД требуется не требуется Принятие решений путем автоматической обработки запрещено не запрещено Право субъекта требовать блокирование ПД есть нет Право требовать уничтожения на основании неполноты, неактуальности, несоответствия целям есть нет Слияние баз ПД запрещено не запрещено Предопределенность целей обработки требуется не требуется Конфиденциальность ПД требуется не требуется Информирование субъекта о действиях над ПД Обязанность оператора немедленного предоставления информации при обращении Ограничение срока устранения нарушений 8 ОСОБЕННОСТИ МОМЕНТА • Существенное сокращение возможностей получения доходов в сочетании с ростом рисков (в первую очередь кредитных) и расходов по реализованным рискам • Усиление конкуренции между банками внутри страны, с зарубежными банками и с небанковскими организациями, предлагающими платежнорасчетные услуги • Вынужденный переход в режим "выживания" и оптимизации операционных процессов. Ограниченные возможности выделения ресурсов на крупные проекты • Приоритет на сокращении расходов через повышение операционной эффективности за счет таких мероприятий, как: • оптимизация и автоматизация процессов • переход к дистанционному обслуживанию клиентов • переход к автоматизированной обработке операций • исключение документов на бумаге • исключения действий, не приносящих дохода 9 РЕЗЮМЕ И ВЫВОДЫ • Закон значительно и необоснованно расширяет, детализует и усиливает требования по защите ПД и интересов субъектов ПД по отношению к Конвенции • Закон не использует предоставленные Конвенцией возможности смягчения отдельных требований на национальном уровне • • Закон не учитывает особенности обработки ПД в различных областях бизнеса • Закон содержит ряд практически неисполнимых и/или избыточных требований • Закон ухудшает условия существования и развития бизнеса и усложняет решение задач выхода из кризиса и модернизации экономики • Закон несвоевременен и ухудшает позиции России по отношению к другим странам Закон не отвечает требованиям принципа соразмерности мер размеру возможного ущерба 10 ЧТО ДЕЛАТЬ В 2010 году существенно переработать Закон руководствуясь следующими принципами: • приоритет национальных интересов России, в том числе в части операционной эффективности и развития экономики • ответственность операторов за реальные последствия нарушения прав субъектов ПД, а не формальное соблюдение требований • баланс прав субъектов и операторов ПД • безусловная выполнимость всех требований Закона всеми категориями операторов • соразмерность трудоемкости и отрицательного влияния на функционирование бизнеса мероприятий по защите возможным отрицательным последствиям нарушения прав субъектов ПД • в случаях, когда это возможно передача полномочий по установлению требований по защите ПД на уровень отраслевых Регуляторов • максимальное использование механизмов ослабления национальных требований, предусмотренных Конвенцией Предлагаемые действия: • исключить из Закона все положения расширяющие, детализующие или усиливающие требования Конвенции, а также требования, исключение которых возможно на основе механизмов адаптации требований на национальном уровне, предусмотренных Конвенцией • исключить из Закона все положения, устанавливающие детальные требования к порядку и средствам защиты ПД • исключить из Закона все невыполнимые требования и требования отрицательно влияющие на операционную эффективность, развитие бизнеса и новых технологий • исключить из Закона все положения вводящие избыточные права субъектов ПД • исключить из Закона все положения, относящиеся к получению согласия субъекта на обработку ПД • ограничить Закон только автоматизированной обработкой ПД в электронном виде 11 ПРИЛОЖЕНИЯ 12 КОНВЕНЦИЯ О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ ПРИ ОБРАБОТКЕ ПД(1) (1/2) Цель настоящей Конвенции состоит в обеспечении … для каждого физического лица …, уважения его прав и основных свобод … в отношении автоматизированной обработки касающихся его данных личного характера… (Г1С1) "автоматизированная обработка" включает в себя следующие операции, осуществляемые полностью или частично с помощью автоматизированных средств: хранение данных, осуществление логических и/или арифметических операций с этими данными, их изменение, уничтожение, поиск или распространение (Г1С2) Любое государство может … уведомить … о том, … что оно не будет применять настоящую Конвенцию к определенным категориям автоматизированных файлов данных личного характера (Г1С3) Данные личного характера, подвергающиеся автоматизированной обработке … являются точными и, когда это необходимо, обновляются (Г2С5Пd) • только автоматизированная обработка • понятие обработки не включает сбор, систематизацию, накопление, блокирование, обезличивание • возможность исключения изпод действия национальных законов отдельных видов файлов ПД • обновление только в случае необходимости для оператора ПД • сроки хранения определяются Сохраняются в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это требуется для целей хранения этих данных Для защиты данных личного характера … принимаются надлежащие меры безопасности … (Г2С7) • целями хранения, а не обработки нет требования уничтожения • соразмерность мер защиты рискам (1) Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (Страсбург, 28 января 1981 года) 13 КОНВЕНЦИЯ О ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ ПРИ ОБРАБОТКЕ ПД (2/2) Любое лицо вправе получать с разумной частотой(1) и без чрезмерной задержки или чрезмерных расходов подтверждение того, хранятся ли касающиеся его данные личного характера в автоматизированном файле данных, а также получить такие данные в доступной для понимания форме (Г2С8Пb) Любое лицо вправе добиваться в случае необходимости исправления или уничтожения таких данных, если они подвергались обработке в нарушение норм внутреннего законодательства, воплощающего основополагающие принципы, изложенные в статьях 5 и 6 настоящей Конвенции (Г2С8Пc) Расширенная защита. Никакие положения настоящей главы не должны толковаться как ограничивающие … возможность Стороны обеспечить субъектам данных большую степень защиты, чем та, которая предусмотрена настоящей Конвенцией. (Г2С11) Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных… (152-ФЗ) • ограничена частота запросов; • можно раздельно получать • • • подтверждение и сами ПД; срок не установлен допускается платность объем ПД не предписан • должна быть необходимость • при условии нарушения национального законодательства • возможность усиления степени защиты • Декларация не требует получения согласия субъекта ПД (1) В официальном переводе на русский язык допущена ошибка, в тексте оригинала пункт звучит как "…to obtain at reasonable intervals…" 14 РЕАЛИЗАЦИЯ КОНВЕНЦИИ ЕВРОПЕЙСКИМИ СТРАНАМИ(1) (1/2) Юридические, нормативные и технические требования, выдвигаемые в целях обеспечения защиты персональных данных … должны быть четко сбалансированы, чтобы не создавать помех для развития рынка. Достижение такого баланса возможно при выдвижении ограниченного и обоснованного количества требований, не препятствующего развитию новых технологий и функционированию операторов ПД (Директивы 95/46/ЕС и 97/66/ЕС Европейского парламента и Совета Европы) Страны-участники сообщества разрабатывают национальные акты о защите данных, в которых на оператора возлагается, в частности, требование обеспечить «адекватную» защиту ПДН. Определение того, какие именно меры можно считать адекватными, осуществляют созданные в каждой стране бюро по защите данных (Data Protection Agency, DPA) • соразмерность требований рискам • обоснованность требований • не должно быть помех: • развитию рынка • новым технологиям • функционированию ОПД • акцент на адекватности • регулирование поручется специально созданным органам Во всех исследованных случаях Регуляторы предлагают Операторам самим определять требуемые меры защиты данных с учѐтом природы и объема обрабатываемых данных, стоимости применения мер защиты, характеристик информационных систем оператора • не применяется общее жестко В рекомендациях DPA Великобритании и Ирландии прямо указано на возможность применения рекомендаций стандарта BSI 7799 и аналогичных стандартов ISO как достаточных для выполнения всех требований актов о защите данных • возможно использование детерминированное регулирование существующих актов, регулирующих защиту данных (1) По материалам исследования Банка России 15 РЕАЛИЗАЦИЯ КОНВЕНЦИИ ЕВРОПЕЙСКИМИ СТРАНАМИ (2/2) Во всех случаях от операторов не требуется применения каких-либо специальных мер защиты, кроме общепринятых (описанных в стандартах серий ISO/IEC 27002 и аналогичных http://www.Iso.Org/iso/catalogue_detail?Csnumber=50297 ) • стратегия использования существующих стандартов • нет детальных требований "низкого уровня" баланс прав и ответственности оператора на операторе лежит ответственность за реальные последствия, а не за формальное соблюдение требований Выбор конкретных мер защиты, технических решений, стандартов, которыми необходимо руководствоваться, архитектур информационных систем остаѐтся в компетенции оператора, как и непосредственная оценка риска нарушения безопасности данных • Уровень защиты должен соответствовать риску нарушения безопасности. Принимаемые меры защиты должны быть реалистичными и соответствовать природе обрабатываемых данных и масштабам обработки (Дания) • соразмерность мер защиты • реалистичность мер • зависимость мер от данных и Обработка «обычных» ПДН ни в какой ситуации не требует применения мер защиты, отличающихся от «обычных мер защиты информации» (Дания) Если данные не являются особо чувствительными, применение сложных мер по защите не обязательно (Нидерланды) Если стоимость дополнительных мер защиты высока по сравнению с добавленным уровнем безопасности – вы не должны применять эти меры. Тем не менее, если вы можете существенно повысить безопасность системы с помощью недорогих мер – вы, безусловно, должны это сделать (Нидерланды) • масштабов • преимущественное использование существующих мер защиты • использование специальных мер защиты только в специальных случаях • принцип соразмерности • принцип условно-максимальной безопасности 16 РЕАЛИЗАЦИЯ КОНВЕНЦИИ РОССИЕЙ (1/4) … с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации (Г1С1П1) Целью настоящего Федерального закона является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных… (Г1С2) Обработка персональных данных должна осуществляться на основе принципов: … недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных (Г2С5П1ПП5) • распространяется на документы на бумаге (расширение Конвенции) • распространяется на неавтоматизированную обработку (расширение Конвенции) • запрет слияния баз (расширение Конвенции) Обработка … должна осуществляться на основе принципов: … соответствия целей обработки … целям, заранее определенным и заявленным при сборе персональных данных … (Г2С5П1ПП2) • требование предопределенности целей Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении (Г2С5П2) • срок хранения определяется целями Обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных… (Г2С6П1) • требования согласия (расширение (расширение Конвенции) обработки • требование уничтожения (расширение Конвенции) Конвенции) 17 РЕАЛИЗАЦИЯ КОНВЕНЦИИ РОССИЕЙ (2/4) Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных… (Г2С7П1) • режим конфиденциальности …обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных… (Г2С9П4) • письменное согласие (расширение Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных (Г3С16П1) • запрет на принятие решений на (расширение Конвенции) • Конвенции) возможность отзыва основании только автоматической обработки (расширение Концепции) • право требовать блокирования Субъект ПД вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки … (Г3С14П1) Субъект ПД имеет право на получение … информации … : 2) способы обработки ПД…; 3) сведения о лицах, которые имеют доступ к ПД …; 4) перечень обрабатываемых ПД и источник их получения; 5) сроки обработки ПД, в том числе сроки их хранения; 6) сведения о … юридических последствиях (Г3С14П4) • (расширение Конвенции) право требования на основании неполноты, устаревания, несоответствия заявленной цели обработки (расширение Конвенции) • определен состав информации (расширение Концепции) 18 РЕАЛИЗАЦИЯ КОНВЕНЦИИ РОССИЕЙ (3/4) Если ПД были получены не от субъекта персональных данных … оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: … (Г4С18П3) Оператор обязан … сообщить субъекту ПД … информацию о наличии ПД … предоставить возможность ознакомления с ними при обращении субъекта ПД либо в течение десяти рабочих дней с даты получения запроса субъекта (С20П1) Оператор обязан безвозмездно предоставить субъекту ПД … возможность ознакомления с ПД, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие ПД по предоставлении субъектом ПД … сведений, подтверждающих, что ПД … являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта ПД … и третьих лиц, которым персональные данные этого субъекта были переданы. (С20П3) В случае выявления недостоверных ПД или неправомерных действий с ними оператора при обращении или по запросу субъекта ПД … оператор обязан осуществить блокирование ПД … (С21П1) • требование информирования субъекта (расширение Концепции) • требование немедленного сообщения • ограничение срока ответа • не ограничена частота запросов • запрет взимания платы • требование блокировки • основания: устаревание, неполнота, не соответствие целям • уведомление субъекта • требование блокирования 19 РЕАЛИЗАЦИЯ КОНВЕНЦИИ РОССИЕЙ (4/4) В случае выявления неправомерных действий с ПД оператор в срок, не превышающий трех рабочих дней … обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней … обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении ПД оператор обязан уведомить субъекта… (С21П3) • ограничен срок устранения • • нарушений требование уничтожения требование информирования В случае достижения цели обработки … оператор обязан незамедлительно прекратить обработку ПД и уничтожить соответствующие ПД в срок, не превышающий трех рабочих дней … и уведомить об этом субъекта ПД … (С21П4) • требование уничтожения • требование уведомления В случае отзыва субъектом ПД согласия … оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней …. Об уничтожении ПД оператор обязан уведомить субъекта ПД (С21П5) • возможность отзыва согласия • требование уничтожения 20
