28.09.2018. Получен ответ Департамента информационной безопасности Банка России на обращение НСФР о порядке осуществления надзора за исполнением Федерального закона от 31.12.2017 № 482-ФЗ
28.09.2018. Получен ответ Департамента информационной безопасности Банка России на обращение НСФР о порядке осуществления надзора за исполнением Федерального закона от 31.12.2017 № 482-ФЗ
В связи с возникающими у кредитных организаций вопросами о порядке осуществления надзора за их деятельностью при применении положений Федерального закона от 31.12.2017 № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» (Закон № 482-ФЗ) в частности обработки персональных данных, а также о порядке аттестации рабочих мест, НСФР направил обращение в Департамент информационных технологий Банка России.
В полученном ответе Департамента высказана следующая позиция.
По вопросу 1 обращения:
Согласно частям 1-1.1 статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор, организующий и осуществляющий государственный контроль и надзор за соответствием обработки персональных данных.
На основании части 11 статьи 14.1 Федерального закона от 27.07.2006 № 149-ФЗ контроль и надзор за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании ЕБС осуществляется Банком России.
Таким образом, при обработке персональных данных, как при первичном размещении сведений о физических лицах в ЕСИА и ЕБС, так и при дистанционной идентификации физических лиц с использованием ЕСИА и ЕБС, контроль осуществляется Роскомнадзором, а контроль и надзор за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании ЕБС осуществляет Банк России.
По вопросу 2 обращения:
Исходя из определения информационной системы персональных данных, предусмотренной пунктом 10 статьи 3 Закона № 152-ФЗ, в него включаются рабочие места сотрудников банков, на которых происходит непосредственный сбор биометрических персональных данных, а также сети связи для их передачи.
В этой связи, оператор по обработке персональных данных должен провести проверку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (пункт 2 части 2 статьи 19 Закона № 152-ФЗ).
При этом ни Законом № 152-ФЗ, ни нормативными актами Банка России не установленытребования к указанной оценке эффективности. Таким образом, по мнению Департамента, форма оценки эффективности принимаемых мер по обеспечению безопасности персональных данных определяются внутренними документами банка, а также условиями использования и подключения ЕСИА и ЕБС.
При этом, по мнению Департамента, возможно выполнить аттестацию рабочих мест и сетей связи при условии применения сертифицированных программно-аппаратных средств и предусмотренных законами процедур оценки корректности их встраивания, как возможную форму оценки эффективности принимаемых мер по обеспечению безопасности персональных данных.
В связи с возникающими у кредитных организаций вопросами о порядке осуществления надзора за их деятельностью при применении положений Федерального закона от 31.12.2017 № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации» (Закон № 482-ФЗ) в частности обработки персональных данных, а также о порядке аттестации рабочих мест, НСФР направил обращение в Департамент информационных технологий Банка России.
Текст обращения НСФР
В полученном ответе Департамента высказана следующая позиция.
По вопросу 1 обращения:
Согласно частям 1-1.1 статьи 23 Федерального закона от 27.07.2006 № 152-ФЗ уполномоченным органом по защите прав субъектов персональных данных является Роскомнадзор, организующий и осуществляющий государственный контроль и надзор за соответствием обработки персональных данных.
На основании части 11 статьи 14.1 Федерального закона от 27.07.2006 № 149-ФЗ контроль и надзор за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании ЕБС осуществляется Банком России.
Таким образом, при обработке персональных данных, как при первичном размещении сведений о физических лицах в ЕСИА и ЕБС, так и при дистанционной идентификации физических лиц с использованием ЕСИА и ЕБС, контроль осуществляется Роскомнадзором, а контроль и надзор за выполнением банками организационных и технических мер по обеспечению безопасности персональных данных при использовании ЕБС осуществляет Банк России.
По вопросу 2 обращения:
Исходя из определения информационной системы персональных данных, предусмотренной пунктом 10 статьи 3 Закона № 152-ФЗ, в него включаются рабочие места сотрудников банков, на которых происходит непосредственный сбор биометрических персональных данных, а также сети связи для их передачи.
В этой связи, оператор по обработке персональных данных должен провести проверку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных (пункт 2 части 2 статьи 19 Закона № 152-ФЗ).
При этом ни Законом № 152-ФЗ, ни нормативными актами Банка России не установлены требования к указанной оценке эффективности. Таким образом, по мнению Департамента, форма оценки эффективности принимаемых мер по обеспечению безопасности персональных данных определяются внутренними документами банка, а также условиями использования и подключения ЕСИА и ЕБС.
При этом, по мнению Департамента, возможно выполнить аттестацию рабочих мест и сетей связи при условии применения сертифицированных программно-аппаратных средств и предусмотренных законами процедур оценки корректности их встраивания, как возможную форму оценки эффективности принимаемых мер по обеспечению безопасности персональных данных.
Текст ответа от ЦБ