"Юридическая работа в кредитной организации", 2011, N 2
Спорные вопросы закона о персональных данных
С 1 июля 2011 г. все юридические и физические лица, использующие в своей деятельности персональные данные в электронном виде, должны будут осуществлять необходимые мероприятия по их защите согласно Федеральному закону от 27.07.2006 N 152-ФЗ "О персональных данных". Напрямую обязательные требования по защите данной категории информации, сформулированные в Законе и подзаконных актах, затрагивают и большинство российских банков. Однако выполнить их на практике оказывается не так-то просто как для кредитных организаций, так и для их клиентов.
Вопросы защиты информации в кредитных организациях в последнее время приобретают все большее значение <1>. Банковская индустрия сегодня находится в условиях жесткой конкурентной борьбы. Появление новых информационных технологий оказывает серьезное воздействие на выработку стратегической политики банка, ведь хранимая в банковской системе информация представляет собой реальные деньги. Поскольку практически все кредитно-финансовые учреждения обрабатывают персональные данные, для них являются актуальными и требования, которые Закон предъявляет к защите персональных данных <2>.
--------------------------------
<1> Защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
<2> По материалам исследования компании InfoWatch, в 2009 г. среди всех зарегистрированных утечек информации персональные данные составили 89,8%.
Вопросами защиты персональных данных отечественные законодатели озадачились уже давно. Еще осенью 2005 г. Государственная Дума ратифицировала Конвенцию Совета Европы "О защите личности в связи с автоматической обработкой персональных данных", а 27 июля 2006 г. был принят Федеральный закон N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных).
Закон вступил в силу в январе 2007 г., но именно сейчас проблемы защиты персональных данных стали актуальными для всех, поскольку в срок не позднее 1 июля 2011 г. существующие системы персональных данных необходимо привести в соответствие с требованиями данного Федерального закона. Примечательно, что "час X" в части введения обязательных требований для ранее созданных информационных систем неоднократно переносился и сделано это было во многом по требованию банков. Вместе с тем информации о переносе очередного срока в настоящее время не имеется <1>.
--------------------------------
<1> Изначально в Законе была названа дата 1 января 2010 г. Однако в конце 2009 г., когда стало очевидным, что ни сотовым операторам, ни банкам, ни страховщикам, ни торговому бизнесу не хватит времени подготовиться к вступлению норм Закона в силу, было решено предоставить отсрочку на год и перенести дату введения обязательного аудита информационных систем персональных данных на 1 января 2011 г. Несмотря на это, сложности, возникшие при реализации ч. 3 ст. 25 Закона о персональных данных, предусматривающей порядок введения в действие данного положения, устранены не были, и 29 декабря 2010 г. Президент РФ подписал Федеральный закон, согласно которому информационные системы персональных данных, созданные до 1 января 2011 г., должны быть приведены в соответствие с требованиями Закона о персональных данных не позднее 1 июля 2011 г.