К. Сумманен: «Жесткие запреты не решают проблемы»

Сама суть банковской работы подразумевает конфиденциальность и защиту информации. Но защита персональных данных регламентируется ФЗ-152 и, по мнению банковских специалистов, это порождает ситуацию типа «масло масляное» - значительное увеличение расходов при несущественном изменении результата. О проблеме в сфере защиты ПД в банковской отрасли рассказывает вице-президент одного из крупнейших российских банков Карл Сумманен.

- Какие положения текущего законодательства в области персональных данных Вы бы определили как малоприменимые для банковской сферы?

- На мой взгляд, основная проблема, на самом деле, общая для всех, а не только для банковской сферы, – это некоторое смещение баланса в сторону избыточной защиты данных, даже тех, защита которых большого смысла не имеет. Большой беды в избыточной защите персональных данных не было бы, если бы эта защита не сопровождалась значительным увеличением стоимости многих процессов и появления прямых затрат на защиту персональных данных.

Иначе говоря, у нас есть понятная благородная цель: «персональные данные надо защищать». Однако, с другой стороны, очевидно, что «ничто не должно делаться избыточно». Если защита персональных данных приводит к остановке или сильному удорожанию или ухудшению бизнес-процессов, то имеет смысл задуматься, насколько оправданы эти последствия и соизмеримы ли они со степенью уменьшения отрицательных последствий в результате защиты. Например, запрет на передачу ПД делает невозможным обмен этими данными в целях защиты от мошеннических транзакций при переводах денежных средств, то есть, фактически, в этом случае закон идет вразрез с интересами владельца персональных данных. И таких примеров немало.

На мой взгляд, при написании закона несколько сместился фокус. Как-то забыли (хотя и написали в законе), что цель защиты персональных данных заключается не в защите персональных данных, а в защите интересов их владельца. Если исходить из этого, то акцент должен был бы сделан именно на защите интересов, например, на возмещении владельцу ПД вреда, причиненного нарушением требований по защите персональных данных, и т.п. В действующей же редакции закона акцент лежит на технических мероприятиях по защите и наказании операторов. Поэтому я считаю, что законодатель должен подумать над тем, как сбалансировать этот закон. Я бы вообще исключил из понятия «персональные данные» такие публичные вещи, как ФИО, дата и место рождения. Я не вижу смысла эти данные защищать, особенно теми способами, которые сейчас требуются…

Интервью полностью читайте в №12 журнала «Персональные данные».