28.09.2018. Получен ответ Департамента информационной безопасности Банка России на обращение НСФР о порядке осуществления надзора за исполнением Федерального закона от 31.12.2017 № 482-ФЗ

A A= A+
2018-09-28 17:03

В связи с возникающими у кредитных организаций вопросами о порядке осуществления надзора за их деятельностью при применении положений Федерального закона от 31.12.2017 № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» (Закон № 482-ФЗ) в частности обработки персональных данных, а также о порядке аттестации рабочих мест, НСФР направил обращение в Департамент информационных технологий Банка России.

Текст обращения НСФР

В полученном ответе Департамента высказана следующая позиция.

По вопросу 1 обращения:

Согласно частям 1-1.1 статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор, организующий и осуществляющий государственный контроль и надзор за соответствием обработки персональных данных.

На основании части 11 статьи 14.1 Федерального закона от 27.07.2006 № 149-ФЗ контроль и надзор за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании ЕБС осуществляется Банком России.

Таким образом, при обработке персональных данных, как при первичном размещении сведений о физических лицах в ЕСИА и ЕБС, так и при дистанционной идентификации физических лиц с использованием ЕСИА и ЕБС, контроль осуществляется Роскомнадзором, а контроль и надзор за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании ЕБС осуществляет Банк России.

По вопросу 2 обращения:

Исходя из определения информационной системы персональных данных, предусмотренной пунктом 10 статьи 3 Закона № 152-ФЗ, в него включаются рабочие места сотрудников банков, на которых происходит непосредственный сбор биометрических персональных данных, а также сети связи для их передачи.

В этой связи, оператор по обработке персональных данных должен провести проверку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (пункт 2 части 2 статьи 19 Закона № 152-ФЗ).

При этом ни Законом № 152-ФЗ, ни нормативными актами Банка России не установлены требования к указанной оценке эффективности. Таким образом, по мнению Департамента, форма оценки эффективности принимаемых мер по обеспечению безопасности персональных данных определяются внутренними документами банка, а также условиями использования и подключения ЕСИА и ЕБС.

При этом, по мнению Департамента, возможно выполнить аттестацию рабочих мест и сетей связи при условии применения сертифицированных программно-аппаратных средств и предусмотренных законами процедур оценки корректности их встраивания, как возможную форму оценки эффективности принимаемых мер по обеспечению безопасности персональных данных.

Текст ответа от ЦБ