Download
slide1 n.
Skip this Video
Loading SlideShow in 5 Seconds..
ПРОБЛЕМЫ РЕАЛИЗАЦИИ ЗАКОНА 152-ФЗ “О ПЕРСОНАЛЬНЫХ ДАННЫХ”  В БАНКОВСКОЙ СФЕРЕ PowerPoint Presentation
Download Presentation
ПРОБЛЕМЫ РЕАЛИЗАЦИИ ЗАКОНА 152-ФЗ “О ПЕРСОНАЛЬНЫХ ДАННЫХ”  В БАНКОВСКОЙ СФЕРЕ

ПРОБЛЕМЫ РЕАЛИЗАЦИИ ЗАКОНА 152-ФЗ “О ПЕРСОНАЛЬНЫХ ДАННЫХ”  В БАНКОВСКОЙ СФЕРЕ

359 Views Download Presentation
Download Presentation

ПРОБЛЕМЫ РЕАЛИЗАЦИИ ЗАКОНА 152-ФЗ “О ПЕРСОНАЛЬНЫХ ДАННЫХ”  В БАНКОВСКОЙ СФЕРЕ

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. 12-й Национальный форум информационной безопасности "Информационная безопасность России в условиях глобального информационного общества“ 28-29 января 2010 года, Москва ПРОБЛЕМЫ РЕАЛИЗАЦИИ ЗАКОНА 152-ФЗ “О ПЕРСОНАЛЬНЫХ ДАННЫХ”  В БАНКОВСКОЙ СФЕРЕ Карл Сумманен комитет по банковским информационным технологиям Ассоциации региональных банков России

  2. ОТДЕЛЬНЫЕ ПРОБЛЕМЫ БАНКОВ В СВЯЗИ С 152-ФЗ (1/2) (1) непонятно зачем необходимо это требование, так как оно ничего не дает с точки зрения защиты ПД.

  3. ОТДЕЛЬНЫЕ ПРОБЛЕМЫ БАНКОВ В СВЯЗИ С 152-ФЗ (2/2) (1) непонятно зачем необходимо это требование, так как оно ничего не дает с точки зрения защиты ПД.

  4. ВИДИМЫЕ СЛЕДСТВИЯ • Необходимость отвлечения ресурсов в реализацию мер по выплнению требований Закона от более приоритетных проектов • Сложности с развитием прогрессивных технологий • Риски применения санкций из-за усложнения регулирования • Риски вмешательства субъектов ПД в текущую деятельность операторов • Риск появления новых возможностей мошенничества субъектов • Риски принятия неправильных решений (кредитных и ииных) из-за запрета использования ПД либо сокращения кредитования из-за невозможнсти принятия обоснованных решений • Снижение операционной эффективности и технологичности бизнеса • Снижение эффективности антикризисных мер и замедление развития • Условия для коррупции • Потеря конкурентоспособности банковской сферы и экономики России в отношении других стран

  5. … И ИХ ПРИЧИНЫ • Особенности банков как операторов персональных данных • Особенности Российской реализации закона о персональных данных • Особенности момента времени

  6. ОСОБЕННОСТИ БАНКОВ КАК ОПЕРАТОРОВ ПД • Большое число субъектов ПД (десятки миллионов) • Большой объем и разнообразие ПД по одному субъекту • Длительные отношения с субъектом (десятки лет) с длинными интервалами отсутствия взаимодействий (годы) • Высокий уровень автоматической обработки • Высокий приоритет операционной эффективности и управления рисками в том числе необходимость внедрения высокотехнологичных форм обслуживания клиентов и обработки операций включая различные формы дистанционного обслуживания • Необходимость трансграничной передачи ПД в любые страны с транзитом данных через сети сторонних провайдеров (с неизвестной маршрутизацией) и промежуточные банки-корреспонденты • Необходимость выполнения правил различных международных организаций, в т.ч. включающих требования передачи ПД • Необходимость обработки ПД субъектов, не являющихся клиентами • Как правило компонентная информационная система с множественными базами ПД и сложными информационными потоками между компонентами • Необходимость использования исторической информации о взаимодействии банка с клиентом • Необходимость использования данных (в том числе "чуствительных" данных) из сторонних источников без уведомления субъекта ПД • Постоянная подверженность "атакам мошенников" • Подверженность многостороннему регулированию • Необходимость работы с большими объемами документов на бумаге включая длительное хранение • Многообразие целей обработки ПД включая вероятность возникновения со временм новых целей

  7. ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (1/3)

  8. ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (2/3) (1) Максимальный уровень обеспечивается, если это возможно это сделать за счет недорогих мер

  9. ОСОБЕННОСТИ РЕГУЛИРОВАНИЯ ЗАЩИТЫ ПД В РОССИИ И ЗА РУБЕЖОМ (3/3)

  10. ОСОБЕННОСТИ МОМЕНТА • Существенное сокращение возможностей получения доходов в сочетании с ростом рисков (в первую очередь кредитных) и расходов по реализованным рискам • Усиление конкуренции между банками внутри страны, с зарубежными банками и с небанковскими организациями, предлагающими платежно-расчетные услуги • Вынужденный переход в режим "выживания" и оптимизации операционных процессов. Ограниченные возможности выделения ресурсов на крупные проекты • Приоритет на сокращении расходов через повышение операционной эффективности за счет таких мероприятий, как: • оптимизация и автоматизация процессов • переход к дистанционному обслуживанию клиентов • переход к автоматизированной обработке операций • исключение документов на бумаге • исключения действий, не приносящих дохода

  11. РЕЗЮМЕ И ВЫВОДЫ • Закон значительно и необоснованно расширяет, детализует и усиливает требования по защите ПД и интересов субъектов ПД по отношению к Конвенции • Закон не использует предоставленные Конвенцией возможности смягчения отдельных требований на национальном уровне • Закон не учитывает особенности обработки ПД в различных областях бизнеса • Закон не отвечает требованиям принципа соразмерности мер размеру возможного ущерба • Закон содержит ряд практически неисполнимых и/или избыточных требований • Закон ухудшает условия существования и развития бизнеса и усложняет решение задач выхода из кризиса и модернизации экономики • Закон несвоевременен и ухудшает позиции России по отношению к другим странам Закон должен быть переработан исходя из приоритета национальных интересов страны

  12. ЧТО ДЕЛАТЬ • В 2010 году существенно переработать Закон руководствуясь следующими принципами: • приоритет национальных интересов России, в том числе в части операционной эффективности и развития экономики • ответственность операторов за реальные последствия нарушения прав субъектов ПД, а не формальное соблюдение требований • баланс прав субъектов и операторов ПД • безусловная выполнимость всех требований Закона всеми категориями операторов • соразмерность трудоемкости и отрицательного влияния на функционирование бизнеса мероприятий по защите возможным отрицательным последствиям нарушения прав субъектов ПД • в случаях, когда это возможно передача полномочий по установлению требований по защите ПД на уровень отраслевых Регуляторов • максимальное использование механизмов ослабления национальных требований, предусмотренных Конвенцией • Предлагаемые действия: • исключить из Закона все положения расширяющие, детализующие или усиливающие требования Конвенции, а также требования, исключение которых возможно на основе механизмов адаптации требований на национальном уровне, предусмотренных Конвенцией • исключить из Закона все положения, устанавливающие детальные требования к порядку и средствам защиты ПД • исключить из Закона все невыполнимые требования и требования отрицательно влияющие на операционную эффективность, развитие бизнеса и новых технологий • исключить из Закона все положения вводящие избыточные права субъектов ПД • исключить из Закона все положения, относящиеся к получению согласия субъекта на обработку ПД • ограничить Закон только автоматизированной обработкой ПД в электронном виде

  13. ПРИЛОЖЕНИЯ

  14. КОНВЕНЦИЯО ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ ПРИ ОБРАБОТКЕ ПД(1) (1/2) (1) Конвенция о защите физических лиц в отношении автоматизированной обработки данных личного характера (Страсбург, 28 января 1981 года)

  15. КОНВЕНЦИЯО ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ ПРИ ОБРАБОТКЕ ПД (2/2) (1) В официальном переводе на русский язык допущена ошибка, в тексте оригинала пункт звучит как "…to obtain at reasonable intervals…"

  16. РЕАЛИЗАЦИЯ КОНВЕНЦИИЕВРОПЕЙСКИМИ СТРАНАМИ(1) (1/2) (1) По материалам исследования Банка России

  17. РЕАЛИЗАЦИЯ КОНВЕНЦИИЕВРОПЕЙСКИМИ СТРАНАМИ (2/2)

  18. РЕАЛИЗАЦИЯ КОНВЕНЦИИРОССИЕЙ (1/4)

  19. РЕАЛИЗАЦИЯ КОНВЕНЦИИРОССИЕЙ (2/4)

  20. РЕАЛИЗАЦИЯ КОНВЕНЦИИРОССИЕЙ (3/4)

  21. РЕАЛИЗАЦИЯ КОНВЕНЦИИРОССИЕЙ (4/4)