Внимание! Не нравятся документы регуляторов — предложи свои!

zakonКоллеги, продолжая тему Заседания рабочей группы Ассоциации Российских Банков, есть предложение поучаствовать в выработке итогового документа. Сейчас я готовлю свою подборку проблемных мест закона, руководящих документов регуляторов, постановлений правительства и пр., а также рекомендации по устранению этих проблем. Учитывая, что тема касается каждого, и всем есть что сказать, предлагаю поделиться своими мыслями, найденные коллизии и возможные варианты их решений можете отправлять на tsarev()bk.ru . Актуальность запроса будет сохраняться в течение текущей недели. Со своей стороны, при передаче материалов рабочей группе, гарантирую сохранение авторства и, по возможности, буду держать в курсе решения по вашим рекомендациям.

Как управление Роскомнадзора по республике Башкортостан получило такие результаты или чем помогает власть?

Персональные данные в БашкортостанеЯ уже писал, о том, что Управление Роскомнадзора по Башкортостану является одним из самых результативных по полученным уведомлениям от операторов персональных данных и по числу проведенных надзорных мероприятий.

Сегодня хотел ответить на вопрос – почему?

Секрета никакого нет – поддержка региональной власти.

Насколько мне известно, ситуация развивалась так:
Практически сразу после создания структурного подразделения по защите прав субъектов персональных данных Президент республики, а точнее глава администрации президента написал письмо главам администраций муниципальных районов, городских округов Республики Башкортостан с требованием направить соответствующие уведомления в уполномоченный орган. Но это было еще не все, в ноябре 2007-го Роскомнадзор обратился в правительство республики с просьбой поручить своим министерствам и ведомствам инициировать работу по отправке уведомления. Премьер министр Байдавлетов поддержал просьбу.

В результате, управление по республике Башкортостан стало одним из немногих управлений, кто фактически справился с поставленной задачей по сбору уведомлений. Теперь спокойно, и достаточно жестко, проводит проверки.

Заседание рабочей группы Ассоциации Российских Банков 22 мая 2009. Практические шаги банковского сообщества в решении задачи защиты персональных данных.

arbНа сайте Ассоциации Российских Банков выложили релиз прошедшего в прошлую пятницу заседания рабочей группы по вступающему в полную силу с 1 января 2010 года ФЗ №152 «О персональных данных».

Ссылка на пресс-релиз здесь, к сожалению, на одной из фотографий видно только мой затылок 😉 . С большим удовольствием поучаствовал в данном мероприятии и сегодня дам небольшой отчет.

В открытии заседания выступил Валерий Шипилов. Запомнилось зачитанное письмо от Министерства связи по вопросу «адекватной защиты». Напомню, что АРБ писали письмо на имя Министра связи Щеголева, с просьбой разъяснить содержание этого понятия. Ответ звучит следующим образом «Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных от 28 января 1981 г., ETS № 108». Получение ответа очень радует, хоть и по-прежнему не понятно, что делать с передачей персональных данных в США.

Заместитель начальника Главного управления безопасности защиты информации Банка России Андрей Курило, прочитал общую презентацию по проблематике, принципиальных противоречиях духу закона, подчеркнул сомнительность требований регуляторов и т.д. Особо хочется отметить озвученное принципиальное различие к подходам защиты персональных данных в России и большинстве западных стран: в России нормативные документы призваны защищать В ОСНОВНОМ саму информацию, а на Западе В ОСНОВНОМ права субъектов персональных данных. Это важный момент, о котором часто забывают.

Далее последовало открытое обсуждение проблематики. Здесь коллеги из банков высказывали свое видение ситуации, те проблемы, которые лично они видят на пути к соответствию закону, высказывали свои опасения и т.д.

Из содержания докладов видно, что работы в этой области проводили очень немногие. Причины этого понятны, здесь и плохая нормативная база и отсутствие специалистов, и многое другое. Тем ни менее вопрос, не смотря на всю его сложность, волнует участников дискуссии и очевидно желание найти решение проблемы.

Далее выступали с докладами представители банков, в которых недавно прошли проверки Роскомнадзора, в частности Райффайзенбанк и ВТБ24. Информация не новая: проверки проходят достаточно лояльно, в основном взаимные консультации, не более того. Регуляторы сейчас скорее учатся и «просят разрешение» у банка на проверку 😉 . Кстати, было интересно узнать, что вместе с предписаниями Роскомнадзор дал еще и благодарственное письмо за содействие в проверке 😉 .

Финальная часть мероприятия лично мне понравилось в наибольшей степени, в силу того, что здесь из первых рук презентовалась информация, о которой я не знал. Очень интересную презентацию сделал представитель Главного управления безопасности и защиты информации ЦБ Валерий Павлович Харламов. Рассказывал он о разработках ЦБ в области персональных данных, интеграции этих документов в СТО БР ИББС. Высказывались очень смелые намерения ЦБ в части поиска компромиссов с регуляторами (особенно со ФСТЭК). Рассказывалось о том, как ЦБ видит дальнейшее развитие нормативной базы. Очень интересный и насыщенный доклад, даже не успевал записывать. Осталось очень много вопросов.

Честно говоря, уже забыл, когда присутствовал на мероприятии, где предлагают какие-то решения, практические шаги. Обычно ругают регуляторов, говорят, что осталось всего несколько месяцев до даты икс и т.д. Как мне показалось, Ассоциация Российских Банков и Банк России взялись за проблему очень решительно и ведут активную работу по созданию здорового нормативного поля. Предложения, которые высказывались, можно назвать очень интересными и даже прорывными.

Надеюсь, что на грядущей Целевой конференции банков будут предложены действенные инструменты по решению задачи защиты прав субъектов персональных данных и решению проблемы защиты самих персональных данных.