Требования по защите данных к сторонним облачным решениям станут прозрачнее

На заседании комитета Госдумы по информационной политике, информационным технологиям и связи, которое прошло 14 ноября, депутат Госдумы Антон Немкин высказал несколько замечаний комитета к законопроекту №404786-8 об аутсорсинге информационных технологий и использовании облачных услуг финансовыми организациями: "В текущей версии законопроекта субъекты правоотношений (финансовые организации - прим. ComNews) имеют право поручать поставщикам услуг аутсорсинга размещение, хранение и иную обработку информации, которую они собирают, без получения согласия лиц, к которым эти сведения относятся. Обработку персональных данных граждан во всех случаях организации должны осуществлять с согласия субъекта в соответствии с федеральным законом о персональных данных".

Андрей Саломатин, советник председателя правления ООО "Бланк Банк", бывший вице-президент и технический директор "Ренессанс Банка", считает, что это логичное, хотя и формальное замечание: "Разумеется, гражданин должен давать согласие и на обработку персональных данных (ПДн) аутсорсинговыми компаниями, например, потому, что может это согласие отозвать. В противном случае возникает коллизия, когда у финансовой организации согласие отозвано, а подрядчик по-прежнему может ПДн обрабатывать".

Адвокат коллегии "Пэн энд Пэйпер" (Pen & Paper) Виктор Рыков объяснил, что банковские организации обязаны исполнять ограничения в рамках закона о персональных данных и обеспечивать согласие субъекта персональных данных (или использовать иные основания по закону), если необходимо передать доступ к данным третьим лицам.

Юрист "Сапожников и Партнеры" / "Редль и Партнеры" Илья Лоханин объяснил, что в случаях, когда оператор передает персональные данные части бизнес-процессов на аутсорсинг третьему лицу, можно говорить о поручении обработки персональных данных, такое поручение обработки регулируется частью 3 статьи 6 Федерального закона №152 "О персональных данных" от 27.07.2006 - в соответствии с данной нормой оператор обязан получить согласие субъекта персональных данных.

"Как следствие, банк должен получать у клиентов согласия на привлечение к обработке их данных третьих лиц, если такое привлечение в принципе возможно с учетом ограничений, накладываемых режимом банковской тайны. Требования к форме такого согласия не установлены, но, очевидно, такое согласие банку разумнее будет получить в письменном виде на бумажном носителе или в электронной форме (например, через мобильное приложение). Вопрос о том, должен ли будет банк уведомлять клиентов о передаче их персональных данных поставщику ИТ-услуг в случае принятия указанного закона, пока остается открытым, поскольку данный аспект напрямую законопроектом не регламентирован", - отмечает Илья Лоханин.

"Учитывая, что обработке могут подлежать персональные данные россиян, необходимо предусмотреть в законопроекте, что поставщиками услуг могут быть только лица, находящиеся под контролем российских субъектов. В проекте законопроекта также отсутствует механизм отбора поставщиков услуг аутсорсинга информационных технологий и нет конкретных ограничений участия иностранных государств и территорий, совершающих в отношении РФ недружественные действия. В законопроекте не предусмотрен приоритет отечественных поставщиков услуг аутсорсинга. Предполагаем, что им должна быть имеющая государственную аккредитацию российская организация, осуществляющая деятельность в области информационных технологий", - добавил Антон Немкин.

Андрей Саломатин считает, что, поскольку аккредитация ИТ-компаний связана с соблюдением требований по выручке от ИТ-услуг, уровнем средней оплаты труда или наличием продуктов в реестре российского ПО, этот пункт станет дополнительным элементом минимальной защиты от недобросовестных поставщиков аутсорсинговых услуг.

https://www.comnews.ru/content/227628/2023-07-24/2023-w30/rossiyskiy-ry…

Как отмечает Антон Немкин, текущая версия законопроекта указывает, что условия о наличии у поставщика лицензии на осуществление деятельности по технической защите конфиденциальной информации может не применяться в случае, если указанный поставщик входит в банковскую группу финансовой организации, заказавшей такую услугу у поставщика. "Полагаем, указанные положения необоснованны, предлагаем исключить их из законопроекта", - заявил он.

По мнению Андрея Саломатина, это изменение логичное. "Непонятно, почему в первоначальном тексте для организаций, входящих в группу, делалось исключение. Независимый аутсорсинг такую лицензию иметь должен. Требования должны быть одинаковые, независимо от формы владения", - считает он.

По части регулирования деятельности организаций в текущей версии законопроекта предусмотрено, что контролирующим органом выступает Центральный банк. Однако, как отмечают депутаты из комитета по информполитике, законопроект не предусматривает механизм государственного контроля и надзора со стороны уполномоченных федеральных органов исполнительной власти за исполнением законодательства поставщиками услуг аутсорсинга и облачных услуг.

Егор Бигун, директор по информационной безопасности beeline cloud (ПАО "ВымпелКом"), сообщил корреспонденту ComNews: "Мы положительно оцениваем законодательную инициативу о требованиях к аутсорсингу информационных технологий на финансовом рынке. Существуют очевидные сложности при взаимодействии между провайдерами ИТ-услуг и компаниями финансового сектора. Во-первых, кредитно-финансовые организации опасаются, что поставщик услуг прямо или косвенно получит доступ к охраняемой законом информации. Во-вторых, до сих пор не решен вопрос по разграничению ответственности за невыполнение требований нормативов ЦБ РФ - например, ГОСТ Р 57580.1-2017. Рассчитываем, что новый законопроект создаст единые правила игры в этой отрасли и позволит заказчикам с финансового рынка не бояться обращаться к сервис-провайдерам".

Законопроект об аутсорсинге ИТ-услуг для финансовых организаций внесли депутаты Госдумы Анатолий Аксаков, Аркадий Свистунов, Олег Савченко и др. летом 2023 г. Он направлен на снятие ограничений использования аутсорсинга ИТ-функций и облачных услуг финансовыми организациями. Профильным комитетом является комитет Госдумы по финансовому рынку. Комитет Госдумы по информполитике является соисполнителем. Первое слушание законопроекта состоится в осеннюю сессию 2023 г.