Банки

Недостижимый абсолют: 152-ФЗ предстоит переписывать

Классическая формулировка, выработанная еще в Древнем Риме: dura lex, sed lex – не сработала в случае со 152-ФЗ. Менее чем за месяц до вступления закона в силу было принято решение отложить это вступление на полгода. И есть все основания полагать, что «на выходе» это будет уже совсем другой документ.

Классическая формулировка, выработанная еще в Древнем Риме: dura lex, sed lex – не сработала в случае со 152-ФЗ. Менее чем за месяц до вступления закона в силу было принято решение отложить это вступление на полгода. И есть все основания полагать, что «на выходе» это будет уже совсем другой документ.

Ситуация вокруг закона «О персональных данных», или 152-ФЗ, в своем роде беспрецедента в российской законодательной практике. Впервые Госдума утвердила его еще в декабре 2009 года, но с условием, что вступление закона в силу будет отложено на год и он заработает с 1 января 2011 года. За это время планировалось найти консенсус по ряду ключевых вопросов, а также дать российским организациям время на адаптацию информационных систем к новым требованиям. Но договориться по всем позициям различным регуляторам не удалось. В итоге в начале декабря 2010 года была принята очередная отсрочка – по срокам вступления в действие статьи 25 (сроком на полгода). То есть формально закон принят, но по факту – из-за приостановки одной главы, где прописаны сроки вступления его в силу, – не работает. Принятию решения предшествовали длительные баталии, в которых приняли участие представители множества отраслей, чьи интересы затрагивают положения документа. Коснется он практически всех, в том числе социальных структур, таких как детские сады и поликлиники. Но особую остроту проблема приобрела для телекоммуникационных компаний и финансового сообщества.

Причиной единодушного неприятия 152-ФЗ стало чрезмерно расширенное толкование того, что является информацией, подлежащей защите, то есть подпадает по понятие «прайвеси», считают эксперты. Второй глобальной проблемой оказалось то, что в документе не была учтена отраслевая специфика в работе с информацией. Очевидно, что невозможно установить единые правила для детского сада и финансовой организации, говорит депутат Госдумы, финансовый омбудсмен РФ Павел Медведев.

«Изначально подход заключался в том, что закон должен быть един для всех. Но еще до его принятия стало понятно, что одинаковый для всех закон невыполним в силу того, что у банков, компаний телекоммуникационного сектора и других отраслей совершенно по-разному выстроены процессы по обработке данных, – говорит Карл Сумманен, вице-президент, начальник управления банковских процессов и технологий ВТБ. – Итогом вступления всех статей закона в силу в нынешнем виде стало бы его массовое невыполнение со стороны порядка 5 млн субъектов».

«Прайвеси», возведенное в абсолют

Проблемных мест в 152-ФЗ оказалось много, и они не могли не отразиться на банковском бизнесе, требующем сбора и хранения значительных объемов информации о потенциальных клиентах. Так, согласно требованиям закона, организация должна запрашивать согласие клиента на обработку его персональных данных, а также передачу этих данных третьему лицу, не связанному договором с самим субъектом персональных данных. Если же в документах упоминаются третьи лица – такие как родственники, поручители, – необходимо и их согласие тоже. В этой связи у банка возникают сложности, и не только при обмене информацией с Бюро кредитных историй, но даже между филиалами одного банка.

При этом клиент по 152-ФЗ получал право на отказ от предоставления его персональных данных третьим лицам, а значит, возможность скрыть любую отрицательно характеризующую его или компрометирующую информацию, в том числе – о наличии судимости. Таким образом, доводя до абсолюта защиту интересов частных лиц, законодатели заложили в закон серьезные риски для банковской деятельности. Возникали неизбежные сложности с проверкой подлинности документов, предоставляемых в банк потенциальными заемщиками или соискателями.

Помимо того возникли бы и трудности с уничтожением персональных данных. Положения 152-ФЗ жестко требовали уничтожения информации после ее обработки, что при современных объемах банковского бизнеса технически непросто как с точки зрения утилизации бумажных носителей, так и с точки зрения «стирания» электронных баз данных. К тому же при ликвидации информации нельзя исключать риск ошибочного удаления нужных данных, возникновения ошибок или сбоев в системе, влекущих за собой случайное уничтожение сведений, важных для других клиентов. А значит, при уничтожении электронной информации банку пришлось бы делать страховые и резервные копии в нескольких экземплярах, что также плохо согласуется с положениями закона о персональных данных.

Снизить уровень абсурда

«Проблема в том, что законодательные требования трудновыполнимы. И следование им повлечет как значительные расходы для банков, так и существенно утяжелит многие бизнес-процессы», – говорит Карл Сумманен.

«Мне кажется очень правильным решение отложить вступление закона в действие. Зачастую он требует защищать информацию, которая явно не стоит того. Это очень дорого и «нагрузочно» для банка, а мне как гражданину безразлично: я довольно свободно сообщаю свою фамилию и прочие данные, – соглашается с банкиром Павел Медведев. – На заседании Комитета по финансовым рынкам была серьезная дискуссия, что само по себе редкий случай. В процесс обсуждения судьбы закона вмешался председатель Комитета ГД по конституционному законодательству и государственному строительству Владимир Плигин. Он поддержал идею отложить вступление закона о персональных данных в силу – правда, не на год, как просили представители банковского сообщества, а на полгода. И пообещал оказать существенную помощь при обсуждении изменений. Что он предлагает поменять, пока остается за кадром, но идеология его выступления очень верная». Депутат уверен, что «поменять надо очень много абсурдных вещей, в том числе убрать всю избыточную секретность». При этом в самом комитете по финансовым рынкам НБЖ сказали, что претензий к закону не имеют, поправок и альтернативных законопроектов не писали и подтвердили, что вступление 152-ФЗ было отложено по настоянию Комитета ГД по конституционному законодательству и государственному строительству.

Тезис о потерянном времени

Некоторые банкиры в неофициальных беседах говорят, что 2010 год фактически прошел впустую: не было ясности относительно судьбы закона, было очевидно, что он невыполним, а значит, в банковском сообществе отсутствовало понимание, что должен делать конкретный банк для выполнения требований и норм нового закона.

С этим утверждением категорически не согласен заместитель начальника главного управления безопасности и защиты информации Банка России Андрей Курило. «Когда банкир говорит, что год потерян, он лукавит. Просто некоторые банкиры не хотят делать эту работу. Как бы закон ни выглядел, он все равно будет, и требования его придется выполнять», – настаивает представитель ЦБ.

С тезисом о том, что время было упущено, не согласен и Павел Медведев, хотя по иным причинам. «Год точно не пропал впустую: сформировалось общественное мнение, и если бы не это, мы бы не смогли противостоять вступлению 152-ФЗ в действие. Закон должен был созреть, и сейчас он уже на том уровне зрелости, когда большинство тех, кто влияет на принятие решения, понимает: в нынешнем виде он существовать не может, – убежден депутат. – Введя его в действие, мы в очередной раз получили бы ситуацию, в которой жили бы не по закону, а по понятиям. Это советский менталитет: надо сделать каждого виноватым, а наказывать только того, кто мне не нравится. Выполнить невозможно, поэтому виноваты все».

Пока депутаты и отраслевые лоббисты пытались инициировать принятие поправок в закон, российский Центробанк пошел по пути пересмотра технических требований, прописанных в нормативных документах регуляторов. Так, положения данного закона подпадают под деятельность сразу трех проверяющих структур, не считая самого Банка России: ФСБ, ФСТЭК и Роскомнадзора. ЦБ внес изменения в отраслевые стандарты безопасности, а регуляторы в лице ФСБ и ФСТЭК пересмотрели ряд своих требований. По словам Андрея Курило, ФСТЭК выпустил приказ №58, в котором требования по обеспечению безопасности были существенно смягчены, а решением коллегии отменил наиболее одиозные документы, вызывавшие сильную критику.

В итоге Банку России удалось согласовать стандарты безопасности с ФСТЭК, ФСБ и Роскомнадзором, которые согласились с тем, что выполнение требований ЦБ автоматически является выполнением требований этих трех надзорных органов. Банку достаточно подтвердить, что он присоединяется к стандартам безопасности ЦБ, и далее привести свои системы в соответствие с этими стандартами, говорит Карл Сумманен. Они хоть и носят рекомендательный характер, дают банку, присоединившемуся к ним и предоставляющему полноценную отчетность по данным стандартам, возможность избежать бесконечных проверок.

«Коммуникационное сообщество, скорее всего, пойдет по тому же пути, что и банки: выработает свои единые стандарты, которые по аналогии с тем, как это сделал Банк России, также будут согласованы с ФСТЭК, ФСБ и Роскомнадзором, – считает Карл Сумманен. – И это принципиальный момент. По сути, сейчас идет борьба в части возможностей ФСБ и ФСТЭК выставлять свои требования по защите персональных данных в одностороннем порядке. И теоретически в любой момент может быть выпущен нормативный правовой акт, устанавливающий новые требования к защите персональных данных, выполнить который будет невозможно или очень дорого. Автоматически появится масса организаций, формально не выполняющих требования закона».

Трудности с комментариями

Таким образом, все участники процесса солидарны во мнении, что закон нужно менять. Но теперь у банковского сообщества возник новый повод для беспокойства: никто не понимает, как он будет трансформироваться. Банкиров вполне устраивают стандарты, разработанные и согласованные ЦБ, и им не хочется терять достигнутые позиции.

«На сегодня действительно возникла такая неопределенность, что даже прокомментировать проблему практически невозможно. Перенос сроков вступления в силу закона – лишь часть общей проблемы, – поясняет Андрей Курило. – Закон вступил в действие, но по одной статье: которая устанавливает сроки окончательной готовности систем, – во второй раз переносятся сроки готовности систем к выполнению требований безопасности.

Одновременно в Госдуме лежат четыре десятка листов поправок – фактически это альтернативный закон, внесенный Владиславом Резником (председателем Комитета ГД по финансовому рынку – Прим. ред.). Лучшая перспектива – в первой половине 2011 года закон, возможно, примут, но его текст до того момента может сильно поменяться».

«Известно, что работа над текстом продолжается. И даже несмотря на то, что банки защищены стандартами Банка России, существуют опасения, что изменения в тексте затронут финансовое сообщество. Поэтому мы по возможности стараемся участвовать в разработке закона в рамках различных банковских ассоциаций», – говорит Карл Сумманен.

Андрей Курило выражает надежду, что итоговый текст документа будет максимально приближен к европейскому законодательству: «Мы стремимся в ВТО, к расширению взаимодействия с ЕС, и в этом направлении нужно двигаться, а закон наложит на нас некоторые обязательства, которые надо выполнять». Представитель ЦБ убежден, что вне зависимости от того, как будет трансформироваться закон и в какие сроки он вступит в силу, банки должны систематически делать свою работу, а не сидеть в ожидании. «Законы и стандарты нужно выполнять не для того, чтобы пройти проверку со стороны регуляторов, а чтобы реально обеспечить безопасность данных. Эту работу нужно делать, не дожидаясь, когда придет проверка», – говорит Андрей Курило. Он предлагает следовать рекомендациям, которые выработал ЦБ. Не убеждают представителя Банка России и сетования российских банкиров на дороговизну мероприятий по обеспечению всех мер по безопасности. «Финансовые проблемы для банков фактически сняты: блок требований, прописанных регуляторами, действительно был очень дорогостоящим. Но Банку России удалось согласовать меры, которые существенно снижают расходы, – говорит Андрей Курило. – Так что банки должны продолжать делать свою работу по приведению своих систем в соответствие со стандартами Банка России, а не ждать, пока примут закон».

Екатерина ЯБЛОКОВА, заместитель директора по развитию бизнеса Stonesoft в России, СНГ и странах Балтии

Каждый день появляются новые угрозы, открываются новые уязвимости в прикладном и общесистемном ПО. Поэтому совершенно необходимо, чтобы технологии защиты успевали за этими изменениями, обеспечивая надежный уровень защиты для информационных систем банковских и финансовых организаций, поскольку именно они в первую очередь становятся мишенью киберпреступников.

Обеспечить полноценную защиту от угроз на сетевом уровне помогут системы предотвращения вторжений (IPS), именно эти продукты при их правильной настройке способны отследить злонамеренную активность до того, как будет нанесен ущерб целевой информационной системе. Проблема в том, что на их правильную настройку, а затем постоянный мониторинг и управление может быть затрачено немало сил и времени. Как понять при установке обновления, какая сигнатура попала в активную политику, а какая осталась неактивной? И стоит ли ее активировать, не «просядет» ли при этом производительность? Решать все эти вопросы, а также осуществлять разбор инцидентов, бороться с ложными срабатываниями предстоит администратору безопасности. И тут без помощи продуманной и легко управляемой системы не обойтись.

Систему предотвращения сетевых вторжений StoneGate IPS отличают именно гибкие возможности по централизованной настройке и управлению. В профиле по умолчанию уже активированы все сигнатуры, и при этом ее производительность четко соответствует заявляемым характеристикам, что подтверждают независимые тестирования NSS и ICSA Labs. Распределенная архитектура и наличие механизма интеллектуальной корреляции обеспечивают один из самых низких в индустрии процентов ложных срабатываний.

StoneGate IPS поддерживает как сигнатурные, так и поведенческие методы обнаружения вторжений, осуществляет полный разбор и нормализацию протоколов, что позволяет ей успешно противодействовать новой категории угроз - динамическим техникам обхода AET. StoneGate IPS также успешно препятствует атакам переполнения буфера, червям, шпионскому и вредоносному ПО, DoS/DDoS, программным закладкам, троянам, сканированию сети, блокирует потенциально опасный и подозрительный трафик.

Кроме того, StoneGate IPS имеет сертификат ФСТЭК России №2163 от 31.08.2010 на соответствие требованиям по 3-му классу защищенности для межсетевых экранов, по 4-му уровню контроля отсутствия недекларированных возможностей и технических условий и может использоваться при создании автоматизированных систем до класса 1Г и информационных систем персональных данных до 1-го класса включительно.

Финансовый менеджмент: управление финансами для бухгалтера и руководителя

Cкидка до 62%!

16 900 ₽ 44 900 ₽

✔️ Методам финансового анализа бизнеса

✔️ Оценке бизнеса на основе метрик

✔️ Планированию финансовой деятельности компании

✔️ Финансовому прогнозированию для привлечения инвестиций

Этот курс превратит бухгалтера в финансового директора, а директору поможет не только удержать бизнес на плаву, но и значительно увеличить прибыль!

Скидка действует только сегодня! Запишитесь и откройте новые горизонты для роста вашего бизнеса!

Записаться на курс

Документооборот в коммерческой организации

Инструкция по организации документооборота и архива в коммерческой организации (расширенная версия в комментариях).

Комментарии

1


Похожие материалы

ВЭД

Великобритания приостанавливает соглашение об избежании двойного налогообложения с Россией

Суммы налогов, уплаченные «элементами схемы», уменьшают доначисления организатору дробления

ФНС опубликовала информацию о судебной практике, сформированной ВС РФ в отношении организаторов дробления бизнеса. Особое внимание она уделила единообразию подходов: снижение доначислений распространяется не только на налог на прибыль, но и на НДС.

📧 Региональные УФНС предупреждают об опасности поддельных писем от «межведомственной комиссии»

Злоумышленники пытаются выманить личные данные и деньги, утверждая, что выявили неофициальную занятость сотрудника.

Курсы повышения
квалификации

22
Официальное удостоверение с занесением в госреестр Рособрнадзора

Под новые санкции ЕС могут попасть 48 физлиц и 35 компаний

В России запретят продавать игровые приставки, джойстики и контроллеры для симуляторов.

В каком случае займ, выданный главбухом организации не признают фиктивным

Дело № А40-283197/2021, рассматриваемое в рамках процедуры банкротства ООО «Многопрофильного клинико-диагностического центра», представляет собой интересный прецедент, касающийся договоров займа между компанией и её сотрудником.

В каком случае займ, выданный главбухом организации не признают фиктивным

🏢 Собственники квартир не платят налог за землю, на которой стоит дом

Земельные участки, входящие в состав общего имущества многоквартирного дома, не являются объектом обложения земельным налогом.

agafosha
НДС

Совмещение налоговых режимов

Здравствуйте, подскажите, пожалуйста, ИП работает на ОСНО (услуги грузоперевозки), но есть некоторые грузоперевозки этими же транспортными средствами без НДС, как...

Читать полностью

Эксперт:

Надежда Камышева

Надежда Камышева
Эксперт

Добрый день.

Никак не получится работать без НДС при ОСНО. Можно было бы купить патент (если ИП соответствует условию применения ПСН), но тогда...

Читать полностью

С 1 апреля на Госуслугах можно проверить все зарегистрированные сим-карты

У абонентов может оказаться гораздо больше договоров с мобильными операторами, чем они думают.

Больше 15 тысяч человек начали свой бизнес с помощью службы занятости, в том числе бухгалтеры

Центры занятости предоставляют бесплатные консультации начинающим предпринимателям, а за хороший бизнес-план дают материальную поддержку.

В Госдуме предложили по-новому рассматривать антимонопольные дела

Собирать доказательства нарушений антимонопольного законодательства и принимать решения по результатам проверок будут разные сотрудники. Сейчас этим занимаются одни и те же люди, что может быть необъективным.

Диверсификация зарубежного портфеля с помощью управляемых фьючерсов

Составление портфеля — это баланс между агрессивными активами для роста (акции) и защитными активами. 2022-й год показал, что акции, облигации и даже золото могут падать синхронно. Чтобы лучше защитить свой портфель и при этом не терять постоянно деньги на покупке «страховки», инвесторы могут применять альтернативные активы — «управляемые фьючерсы».

ФНС будет автоматически определять резидентство физлиц. 🕵️‍♀️«Ночной бухгалтер» № 1874

Налоговая добавит в АИС «Налог-3» автоматизированную систему определения у физлиц статуса резидента РФ. От этого статуса зависит ставка по НДФЛ.

Иллюстрация: Вера Ревина/Клерк.ру
1

⚡️ Итоги дня: карту метро перевели на арабский, Минстрой хочет единую платежку ЖКУ, а мошенники разводят клиентов Wildberries

Подготовили обзор главных событий дня — 19 февраля 2025 года. Все самое интересное, что писали и обсуждали в сети, в одной подборке.

Как отражать операции в 1С селлерам с пониженными ставками НДС

С 2025 года упрощенцы с доходом от 60 млн руб. в год обязаны уплачивать НДС. При этом компании на УСН могут выбрать специальные ставки 5% и 7% или применять общеустановленную ставку 20%. Для тех, кто применят пониженные ставки, есть свои нюансы заполнения декларации и учета в 1С. Рассказываем, как работать с такими селлерами на обновленном онлайн-курсе.

Как отражать операции в 1С селлерам с пониженными ставками НДС

🔦 ФНС начнет автоматически получать информацию о резидентстве и загранпаспортах. Мнение налогового юриста об эффективности будущей системы

Налоговики будут собирать сведения о пересечениях границ физлицами, чтобы эффективнее определять их налоговое резидентство.

Документооборот в коммерческой организации

Инструкция по организации документооборота и архива в коммерческой организации (расширенная версия в комментариях).

НДФЛ

Необлагаемую матпомощь можно выплачивать сотрудникам несколько раз в год

В ряде случае материальная помощь сотрудникам не облагается НДФЛ. И условия о том, что она должна быть только один раз в год, в НК нет.

Сопутствующие услуги войдут в базу по туристическому налогу, но только при одном условии

Если гостиница включила в цену номера стоимость дополнительных услуг, то они будут считаться в базе по турналогу.

⚡️В поисках ответов: самое важное о VII Всероссийской бухгалтерской конференции «БухВесна-2025»

Нам начали приходить организационные вопросы от пользователей по VII Всероссийской бухгалтерской конференции «БухВесна-2025», которая пройдет 13 марта в Москве. Собрали все важное в одной статье: кто, что, как, куда, когда, во сколько, каким образом — все здесь! Забирайте в закладки, чтобы не потерять!

⚡️В поисках ответов: самое важное о VII Всероссийской бухгалтерской конференции «БухВесна-2025»
6
НДС на УСН

В каких случаях возможен вычет НДС при ставке 5%

Плательщики УСН с доходами свыше 60 млн рублей могут выбрать пониженные ставки НДС 5% и 7%, при которых нет права на вычет по покупкам.

Интересные материалы

В НК РФ могут внести нормы о глобальном минимальном налоге — «GloBE Rules»

22.01.2025 глава Минфина Антон Силуанов подписал обновленный План деятельности Федеральной налоговой службы на 2025 год и плановый период 2026-2030 годов.