Какой вид обработки персональных данных применяется в банке

Как банкам защитить свои данные

Банки давно существуют в том виде, в котором мы знаем их сейчас. Изменения претерпела только форма обслуживания клиентов, а принципы работы остались прежними. Люди привыкли доверять банкам – они не сомневаются, что их деньги и личные данные будут под надежной защитой. Финансовые организации, в свою очередь, делают все, чтобы оправдать ожидания своих клиентов, в частности используют эффективные инструменты для безопасности информационной среды. Обсудим, как строится защита персональных данных в банке.

Какую информацию обрабатывают банки

Банк имеет право запросить у клиентов следующие персональные данные:

• Паспортные данные и сведения о регистрации по месту жительства.
• Фактический адрес проживания.
• Семейное положение.
• Информацию о месте работы и доходах.
• Сведения об образовании.
• Контакты самого клиента, его родственников и друзей, работодателей.
• Информацию о наличии кредитов.
• Перечень финансовых операций клиентов, данные карт.

Таким образом, банки осуществляют сбор сведений, благодаря которым можно идентифицировать человека и составить объективный портрет клиента. Точный перечень запрашиваемых данных зависит от цели визита в финансовое учреждение. Максимум информации требуется от клиентов, желающих оформить кредит. Потенциальный заемщик должен заполнить подробную анкету, приложить подтверждающие доход документы и дать разрешение запечатлеть себя на фото. В отдельных случаях требуются сведения о людях, выступающих поручителями, и контактные данные третьих лиц, через которых банк будет искать клиента в случае недоступности личного контакта.

Финансовая организация обязана предоставить клиенту возможность подписать согласие на обработку персональных данных. Этот документ дает право распоряжаться полученными сведениями в рамках законодательства, а для клиента выступает гарантией защиты его персональных данных. В нем перечислены все разрешенные с персональными данными операции. Также там есть пункт, гласящий, что финансовая организация обязана соблюдать конфиденциальность сведений.

Также банки должны соблюдать конфиденциальность персональных данных сотрудников. Это положение является обязательным условием трудового законодательства.

Какие действия с персональной информацией совершает банк

Финансовые организации наделены правом собирать сведения, использовать их для идентификации клиента и проверки его платежеспособности, актуализировать, хранить и удалять.

Закон не регламентирует максимальный срок хранения персональной информации. Обычно банки удаляют данные спустя 5 лет после того, как человек выполнил свои обязательства перед финансовой организацией.

Клиент может потребовать удалить сведения в случае прекращения договорных отношений. Например, при закрытии счета. Банк обязан это сделать, если у клиента не осталось долговых обязательств перед учреждением.

Законодательство в сфере защиты персональных данных

Все данные, подпадающие под категорию персональных, перечислены в ФЗ № 152 от 27 июля 2006 года. В документе есть разделы, посвященные вопросам конфиденциальности, принципам хранения и обработки сведений, мерам обеспечения безопасности.

Также ФЗ содержит пункт об ответственности за несоблюдение требований законодательства. Вот примеры нарушений, за которые может последовать ответственность банковской организации:

• Ненадлежащая обработка персональных данных.
• Несоблюдение требований обеспечения конфиденциальности сведений.
• Запрашивание сведений, которые не имеют отношения к целям, заявленным клиентом банка.
• Нарушение процедуры подписания документа о согласии на обработку данных.

В законодательстве нет требований к перечню нормативных документов конкретных финансовых организаций. Как правило, банки сами разрабатывают и внедряют политику обработки данных, где перечислены положения по защите персональных сведений о сотрудниках и клиентах.

Система защиты данных банка

Система защиты данных банка строится на двух аспектах – организационном и техническом. Организационные меры защиты включают:

• Обеспечение прозрачности данных. У всех сотрудников организации должно быть понимание, где хранится информация, как проходит ее сбор и обработка.
• Создание четкого регламента работы с данными. Каждый сотрудник банка обязан следовать алгоритмам, определяющим последовательность взаимодействия с конфиденциальной информацией.
• Работа с персоналом – обучение, проведение инструктажей. Следует извещать сотрудников о любых изменениях в сфере информационной безопасности организации, уведомлять о последствиях нарушения политик безопасности. Также в обязательном порядке нужно составить должностную инструкцию для лиц, напрямую отвечающих за обработку персональных данных клиентов.
• Контроль над USB-устройствами и другими съемными носителями с целью не допустить кражу данных и заражение рабочих станций вирусным ПО.
• Регламентирование доступа в помещения, где хранится и обрабатывается информация ограниченного доступа. Для надежности следует использовать журналирование с целью фиксации данных о сотрудниках, которые взаимодействовали с серверами.
• Инсценировка кибератак для проверки готовности сотрудников службы безопасности выявлять и устранять угрозы. Также эта мера помогает оценить эффективность технических и программных средств защиты.

Второй этап обеспечения безопасности – внедрение технических инструментов защиты. Они должны выполнять следующие функции:

• Защита данных банка в момент их движения.
• Шифрование конфиденциальных сведений.
• Защита от фрода (мошенничества).
• Сканирование конфиденциальной информации в состоянии покоя.

Решение перечисленных выше задач возможно с помощью DLP-решений (Data Leak Prevention). Решения этого класса предотвращают утечки конфиденциальной информации, выявляют признаки корпоративного мошенничества и предоставляют инструменты для проведения расследований инцидентов безопасности.

DLP для защиты данных банка

DLP-решения защищают конфиденциальные сведения независимо от местонахождения хостов и способа их подключения к сети. Они работают даже тогда, когда устройства не подключены к интернету. Непрерывный контроль за соблюдением установленных политик безопасности лишает внутренних злоумышленников возможности похитить данные и использовать их в своих корыстных целях.

Решения класса Data Leak Prevention используются для непрерывного мониторинга коммуникаций и движения конфиденциальных сведений по каналам коммуникаций, а также выявления фактов их хранения в неположенных для этого местах (файловых хранилищах). В ходе такого мониторинга выявляются не только потенциальные внутренние злоумышленники (сотрудники группы риска), но и сотрудники, уже фактически нарушающие политики работы с данными.

Преимущества решений для защиты данных банка:

• Профилактика и предотвращение инцидентов.
• Анализ поведения пользователей и сбор доказательной базы для расследования инцидентов.
• Формирование интерактивных отчетов на основе проведенного мониторинга.
• Выявление ранее пропущенных инцидентов.
• Способность функционировать в геораспределенном режиме.
• Совместимость со всеми операционными системами.

Практика применения DLP-систем показывает, что решения помогают избежать утечек данных в организациях различных сфер деятельности. Они выявляют подозрительную активность по всем каналам движения информации и помогают на ранних этапах обнаружить угрозы и принять меры по реагированию.

Для финансовых организаций подойдет система Solar Dozor. Solar Dozor является программным средством защиты от неправомерной передачи из информационной системы конфиденциальных сведений и соответствует требованиям по безопасности информации по 4 уровню доверия, изложенным в следующих документах:

Приказ ФСТЭК России № 76 от 2 июня 2020 г., утвердивший «Требования по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».

Технические условия ТУ 5014-003-17764670-2019 (сертификат соответствия № 4459).

DLP-система Solar Dozor может применяться в информационных системах для обеспечения до 1 уровня защищенности персональных данных, в том числе в организациях финансовой сферы, что отвечает положениям Приказа ФСТЭК № 21.

Финансовые организации уделяют пристальное внимание защите персональных данных своих клиентов. Подход к защите ПДн должен быть комплексным, и одним из компонентов комплексной системы защиты являются DLP-решения – инструмент для мониторинга движения и хранения конфиденциальной информации, контроля коммуникаций и оперативного реагирования на инциденты.

Аналитика Публикации

Тема регулирования и защиты персональных данных с каждым годом становится все актуальнее, сохраняя при этом определенную долю специфики в зависимости от направления деятельности оператора персональных данных. Своеобразие проблем, пробелов в регулировании персональных данных и возникающих в связи с этим споров существует и в банковской отрасли.

Наиболее ярким примером нарушений в банковской отрасли могут служить случаи утечки баз данных, содержащих персональные данные субъектов, а также участившиеся случаи несанкционированной передачи персональных данных со стороны финансовых организаций третьим лицам. В последнем случае типичной иллюстрацией может служить практика передачи кредитной организацией информации о задолженности и должнике коллекторским агентствам. Так, Федеральный закон «О потребительском кредите (займе)»[1] допускает передачу персональных данных заемщика и лиц, выступивших поручителями, третьим лицам при уступке прав (требований) по договору потребительского кредита (займа). Однако несмотря на обязанность соблюдения законодательства о персональных данных, кредитные организации нередко оставляют их без внимания и передают данные заемщика третьим лицам без получения согласия субъекта персональных данных на такую передачу. С появлением законодательства[2], регулирующего деятельность по возврату просроченной задолженности, требования к коллекторским агентствам стали жестче, однако все еще есть сомнения, что специальный закон сможет в один момент устранить все проблемы с персональными данными.

Стоит отметить, что в области соблюдения законодательства о персональных данных бизнесом положительная статистика все же просматривается. Так, статистика штрафов, назначенных Роскомнадзором по итогам проверок, снизилась с 10,5 млн рублей в 2015 году до 6 млн в 2016 году. Количество выявленных нарушений по сравнению с 2014 и 2015 гг. и выданных Роскомнадзором предписаний также снизилось, что свидетельствует о том, что бизнес-сообщество стало приспосабливаться к более жестким требованиям законодательства о персональных данных. Скорее всего такая тенденция сохранится и в будущем, учитывая поправки в КоАП РФ[3] (ст. 13.11), вступившие в силу 1 июля 2017 г., с принятием которых были внесены существенные изменения в положения, устанавливающие ответственность за нарушение законодательства в области персональных данных.

Тем не менее, несмотря на общую положительную тенденцию, на конец 2016 года наибольшее количество жалоб граждан поступило на действия кредитных учреждений (преимущественно на действия, связанные с передачей персональных данных без их согласия), что в первую очередь, связано с обработкой ими персональных данных значительного числа граждан.

В настоящей статье будет дан практический обзор основных нарушений в области персональных данных, наиболее характерных для банковской сферы, и предложены методы регулирования внутренних процессов обработки персональных данных. В завершении будет представлен ряд рекомендаций практической направленности, как для бизнеса в банковском секторе, так и в отношении субъектов персональных данных.

II. Основные понятия и применимое законодательство

Регулирование отношений, связанных с обработкой персональных данных с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, осуществляется на базе Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных»). Вместе с тем, регулирование персональных данных в российском праве осуществляется с применением ряда других нормативно-правовых актов, включая Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Трудовой кодекс РФ. Не стоит упускать из виду и ведомственные акты, которые, касаются наиболее специфичных вопросов в сфере обработки персональных данных[4].

Понятие персональных данных является одним из центральных определений, содержащихся в действующем законодательстве. Статья 3 Закона о персональных данных определяет персональные данные в качестве любой информации, относящейся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Интересно, что в Общем Регламенте Европейского Союза о защите персональных данных[5] персональные данные толкуются как «любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»)», а идентифицируемое лицо толкуется как «лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица». В сравнении с российским европейский законодатель выработал более конкретный подход и указал ряд формальных критериев, необходимых для квалификации информации в качестве персональных данных. Возможность идентификации любого живого лица должна быть основана на конкретной информации. В США персональные данные (англ. personal identifiable information) являются частью права на неприкосновенность частной жизни (англ. privacy).

По аналогичному пути пошел и российский правоприменитель. Так, обзор разъяснений Роскомнадзора и судебной практики позволяет сделать вывод о том, что ключевым аспектом является способность идентифицировать лицо с помощью таких данных. В связи с тем, что Закон о персональных данных не уточняет, что именно на базе таких данных лицо может быть установлено/определено, в судебной практике часто возникают споры о том, что следует относить к персональным данным субъекта.

Например, достаточно часто возникают споры относительно того, можно ли считать IP-адрес персональными данными или нет, ведь IP-адрес позволяет идентифицировать устройство, с которого был осуществлен выход в интернет, но никак не конкретного пользователя[6]. Хотя Суд Европейского союза, например, считает иначе, заявляя о том, что IP-адреса являются охраняемыми персональными данными[7]. Российские суды не так категоричны и прямо не указывают в своих решениях на то, что IP-адрес можно отнести к персональным данным. Однако, совершенно очевидно, что в подавляющем большинстве случаев с помощью IP-адресов можно идентифицировать устройство, с которого выполнялся выход Интернет, и круг пользователей, а также их взаимосвязь, если пользователи выходили в сеть с одного IP-адреса[8].

Понятие оператора персональных данных также нуждается в пояснении. Оператором признается лицо, которое самостоятельно или совместно с другими лицами организует или осуществляет обработку персональных данных, а также определяет цель обработки, состав подлежащих обработке персональных данных и круг действий, совершаемых с персональными данными. Оператор персональных данных несет ответственность за нарушение прав субъекта персональных данных при их обработке.

Понятие обработки персональных данных включает в себя любое действие/операцию или совокупность действий/операций, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. Любая обработка персональных данных должна осуществляться на законной и справедливой основе, в строгом соответствии с целями обработки, имея в виду, что содержание и объем обрабатываемых данных полностью соответствует заявленным целям обработки.

III. Практический обзор основных нарушений в области персональных данных

Следующие нарушения в области Персональных данных в банковском секторе можно выделить в качестве основных:

Ненадлежащее обеспечение сохранности и конфиденциальности данных

Избыточная обработка данных или несоответствие обработки заявленным целям

Ненадлежащее оформление согласия на обработку данных с субъектом

Далее рассмотрим отмеченные составы на примере судебных решений.

Обеспечение сохранности и конфиденциальности данных

Нарушения в области обеспечения сохранности персональных данных, их конфиденциальности и законности передачи данных клиентов банков третьим лицам (преимущественно при уступке прав по договорам кредитования) являются наиболее распространенными в банковском секторе. Так, в типовые договоры кредитования банки зачастую включают безальтернативные условия о согласии субъекта на передачу его данных третьим лицам. Включение в договор условий о согласии на передачу персональных данных одновременно составляют нарушение Закона о персональных данных в части требований к письменной форме согласия и указанию конкретного перечня третьих лиц, в отношении которых клиент дает такое согласие. В частности, суды указывают на необходимость устанавливать в договоре наименование, адрес третьих лиц, которые позволят их идентифицировать, а также определенно предоставлять субъекту право выразить согласие или отказ на передачу его данных.

Так, крупнейший отечественный банк был привлечен к административной ответственности по ч. 1 и 2 ст.14.8 КоАП. Банком заключил с физическим лицом договор о потребительском кредите, который не содержал ярко выраженное альтернативное условие, предоставляющее лицу возможность согласиться на уступку банком прав требования по договору третьим лицам или отказаться от такой уступки. Пункт договора содержал безальтернативное условие об уступке прав требования по договору, а также не содержал конкретного перечня третьих лиц, которым впоследствии будут переуступлены права и переданы персональные данные субъекта. Апелляционный суд также отказал банку в удовлетворении требования об оспаривании привлечения к ответственности, придя к выводу о предоставлении банком третьим лицам необоснованного права на обработку персональных данных клиентов банка без получения их предварительного согласия[9].

Аналогично предыдущему делу, отечественная страховая организация, входящая в крупнейший российский банковский холдинг, была привлечена к административной ответственности по ч. 2 ст. 14.8 КоАП. Обстоятельство дела заключалось в том, что в страховом полисе содержался безальтернативный пункт о согласии потребителя на уступку прав по договору третьим лицам и на соответствующую обработку его данных третьими лицами. У лица отсутствовал выбор при предоставлении согласия, а также были нарушены требования Закона о персональных данных об определении в согласии конкретного перечня лиц. Так, суд сделал вывод о том, что факт подписания клиентом страховой организации договора не является надлежащим доказательством предоставления гражданину возможности на выражение согласие или отказа от предоставления сведений о клиенте третьим лицам, поскольку условия договора были разработаны таким образом, что у лица отсутствовала свобода выбора[10].

Аналогичные выводы судов содержатся во многих решениях, включая Решение Арбитражного суда Самарской области от 23.08.2017 по делу № А55-6296/2017, Решении Арбитражного суда города Москвы от 13.09.2017 по делу № А40-102354/2017, Решении Арбитражного суда города Москвы от 23.10.2017 по делу № А40-13362/2017.

Избыточная обработка и ее несоответствие заявленным целям

В области избыточной обработки персональных данных и обработки данных в нарушение целей, которые указаны в согласии субъекта, банковские организации зачастую допускают нарушения в виде возложении на субъекта обязанности уведомлять об отдельных событиях и изменениях во время исполнения договора кредитования. Так, банки стремятся быть в курсе любой информации, которая может негативно повлиять на способность заемщика исполнить обязательства по кредитному договору. В частности, банки требуют сообщать информацию об изменении состава семьи, возбуждении уголовного дела, изменении места работы, адреса проживания и иную информацию. Суды приходят к выводу, что включение в договоры кредитования обязанности субъекта данных по информированию банков о различных аспектах своей жизни нарушает действующее законодательство, так как сбор таких данных является избыточным и не влияет на существо кредитных отношений. До заключения договора банк имеет законную возможность запросить всю необходимую информацию и в отдельных случаях отказаться от кредитования.

Так, отечественный банк был привлечен к административной ответственности по ч. 2 ст.14.8 КоАП. В одном из пунктов кредитного договора было прописано, что заемщик обязан уведомить кредитора о заключении (изменении) брачного договора, об изменении состава семьи, работы или места жительства, о смене фамилии и об иных данных, позволяющих идентифицировать субъекта. Суд пришел к выводу, что соответствующий пункт кредитного договора ущемлял права потребителя установлением обязанности по предоставлению в банк персональной информации, обязательность предоставления которой не установлена законодательством РФ и не влияет на исполнение целей кредитного договора[11].

Похожие выводы также содержатся в Постановлении Седьмого арбитражного апелляционного суда от 25.08.2017 по делу № А27-4649/2017. Так, суд подтвердил правомочность привлечения крупного банка к административной ответственности, проверка типовых договоров которого выявила необоснованное включение положений о праве кредитора запросить у заемщика всю необходимую информацию о заемщике. Позиция суда заключалась в том, что действующее законодательство не предусматривает обязанности заемщика- гражданина после получения займа уведомлять кредитора о возникновении, изменении любых обстоятельств, способных повлиять на выполнение Заемщиком обязательств по договору, поскольку это не может являться основанием для выдвижения кредитором требований о досрочном исполнении договора, в связи с чем, условия Договоров, предусматривающие соответствующие положения об уведомлении Кредитора об изменении адреса регистрации (прописки), места работы, паспортных данных (замене паспорта) ущемляют права потребителя.

Аналогичные выводы содержатся и в иных судебных решениях (см., например, Решение Арбитражного суда Самарской области от 14.07.2017 по делу № А55-5923/2017).

Наличие ненадлежащим образом оформленных согласий

Оформление согласий субъектов персональных данных на обработку и передачу данных третьим лицам неоднократно сопряжено с нарушениями законодательства. Это не обошло стороной и хозяйствующих субъектов в банковской и страховой сферах, оформление согласий которыми зачастую сопровождают другие нарушения законодательства в области персональных данных.

Так, видами нарушений финансовыми организациями в данной области являются следующие правонарушения:

Включение в договор безальтернативных условий о согласии, вследствие чего оно не отвечает признаку сознательности;

Отсутствие пояснение в адрес субъекта персональных данных специальных терминов, содержащихся в согласии, вследствие чего оно не отвечает признаку информированности;

Отсутствие уведомления субъекта данных о его праве на отзыв предоставленного согласия;

Неполучение согласия на обработку данных третьих лиц (родственников заемщика или совместно с ним проживающих лиц), и обработка их данных не в соответствии с целью предоставления кредита.

Довольно частым механизмом нарушения является получение согласия субъекта в форме подписания договора кредитования с условием о согласии, вследствие чего согласие не получено свободно, волей и в интересе субъекта. В согласии указываются общие формулировки, которые позволяют оператору обрабатывать избыточные данные заемщиков, передавать данные заемщиков неопределенному кругу третьих лиц, а также обрабатывать персональные данные родственников заемщика, которые не требуются для целей предоставления кредита. Так, в одном договоре кредитования может содержаться множество нарушений процедур сбора, обработки, хранения и передачи персональной информации.

Показательным является итог судебного дела в отношении крупного банка, согласно которому банк был привлечен к административной ответственности по ч. 2 ст. 14.8 КоАП на основании жалобы клиента банка в Роскомнадзор. Так, заключенный договор содержал пункт о даче согласия потребителем на предоставление банковской организации врачебной информации о состоянии страхователя или застрахованного лица. Между тем, включение такого пункта в анкету-заявление, являющуюся неотъемлемой частью договора кредитования, нарушает требования к форме письменного согласия субъекта ПД, а также нарушает режим врачебной тайны. Суд в своем решении указал, что условие договора о необходимости разглашения сведений, составляющих врачебную тайну, ущемляет права потребителя посредством установления возможности страховщикам от любого врача, больницы, поликлиники или любой другой организации или любого лица, владеющего любой информацией о страхователе/застрахованном получать эту информацию, включая копии либо подлинники документов с указанием заболеваний или несчастных случаев, лечения, произведенных обследований и их результатов, консультаций или госпитализаций[12].

Страховая организация безуспешно пыталась обжаловать предписание Роскомнадзора и в итоге также была привлечена к административной ответственности. В данном споре были выявлены нарушения как в части несоблюдения формы письменного согласия, так и в части избыточной обработки, обработки данных третьих лиц и несоблюдения конфиденциальности персональных данных. Так, судом не был воспринят довод страховой организации о том, что страхователем было предоставлено письменное согласие страховщику на обработку его персональных данных, ссылаясь на подписанный страхователем договор страхования, предусматривающий право застрахованного в любое время отозвать указанное согласие, суд первой инстанции не принял. Подписывая заранее разработанный текст договора страхования, напечатанный очень мелким шрифтом и содержащий такие специфические, используемые в целях Закона о персональных данных и не используемые в обиходе понятия и термины, как «обработка персональных данных», страхователь вряд ли был достаточно информирован об истинном смысле этих понятий и терминов, а также о возможных последствиях своего согласия на обработку своих персональных данных. Содержащееся в договоре страхования согласие на обработку персональных данных не является надлежащим, поскольку оно не отвечает требованиям о письменном согласии, изложенным Законе о персональных данных в части того, что согласие на обработку персональных данных должно быть конкретным, информированным и сознательным и предполагает, как минимум, письменное разъяснение субъекту персональных данных значения понятия «обработка персональных данных». Однако ни договор страхования, ни какой-либо другой документ не содержали каких-либо сведений о разъяснении страхователю, как субъекту персональных данных, указанного понятия. Суд также отметил, что субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку не просто путем подписания договора с условием о согласии, но выражает его свободно, своей волей и в своем интересе отдельно.

Более того, суд также обратил внимание что страховая организация, будучи оператором персональных данных, получил право обрабатывать предоставленные ему персональные данные в полном объеме, включая такие действия в отношении персональных данных, как распространение и трансграничную передачу персональных данных, подразумевающих соответственно действия, направленные на раскрытие персональных данных неопределенному кругу лиц и передачу персональных данных на территорию иностранного государства, при этом никак не обусловливая и не объясняя такой необходимости с точки зрения целей обработки. По мнению суда, указанное обстоятельство свидетельствуют об избыточности действий по обработке персональных данных[13].

Дополнительной иллюстрацией нарушений, сопряженных с получением согласия на обработку данных субъекта, являются выводы, заложенные в Решении Арбитражного суда Уральского округа от 22.12.2016 по делу № А76-5164/2016. По результатам проверки банка социального развития был выявлен ряд нарушений, а именно обработка персональных данных в случаях, не предусмотренных законодательством — обработка персональных данных в отношении членов семьи, проживающих совместно с клиентом; персональных данных совершеннолетних детей, проживающих отдельно от клиента; персональных данных родителей клиента, изложенных в заявлении-анкете на предоставление кредита. Суд в своем решении указал, что включение в заявление-анкету на предоставление кредита сведений о персональных данных лиц, с которыми договор не заключается и которые не давали согласие на передачу и обработку своих персональных данных, исключительно по мотиву расчета норматива банка, является прямым нарушением Закона о персональных данных. Суд также отметил, что обязательность указания персональных данных упомянутых лиц не зависит от того, имеются ли у них кредитные обязательства, которые могут повлиять на расчет указанного банком норматива.

IV. Регулирование внутренних процессов обработки персональных данных

При осуществлении проверок первоочередное внимание контролирующие органы уделяют внутренним документам финансовых организаций, регулирующих процессы обработки персональных данных в компании.

Перечня обязательных к оформлению актов, регулирующих процессы обработки данных в компании действующее законодательство не содержит. Таким образом, организации зачастую натыкаются на так называемую серую зону, задаваясь вопросом какие локальные акты обязательны к оформлению, а оформление каких является опциональным.

Как правило, деятельность компании в части защиты персональных данных регламентируют два базовых документа: Политика обработки персональных данных и Положение о защите, хранении, обработке и передаче персональных данных работников. К внутренней документации банковских организаций также следует отнести третий документ — Положение о защите, хранении, обработке и передаче персональных данных потребителей.

При составлении Политики обработки персональных данных (наличие которой в силу ст. 18.1 Закона о персональных данных является обязательным) финансовые организации могут смело руководствоваться Рекомендациями Роскомнадзора[14], опубликованными в открытом доступе на официальном сайте ведомства.

Так, согласно рекомендациям Роскомнадзора, в Политику финансовой организации в отношении обработки персональных данных рекомендуется включить следующие разделы:

Какой вид обработки персональных данных применяется в банке

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

АССОЦИАЦИЯ РОССИЙСКИХ БАНКОВ

АССОЦИАЦИЯ РЕГИОНАЛЬНЫХ БАНКОВ РОССИИ (АССОЦИАЦИЯ «РОССИЯ»)

ПО ВЫПОЛНЕНИЮ ЗАКОНОДАТЕЛЬНЫХ ТРЕБОВАНИЙ ПРИ ОБРАБОТКЕ

ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ БАНКОВСКОЙ СИСТЕМЫ

(на основе комплекса документов в области стандартизации

Банка России «Обеспечение информационной безопасности

организаций банковской системы Российской Федерации»)

В Банк России, Ассоциацию российских банков и Ассоциацию региональных банков России (Ассоциацию «Россия») поступают многочисленные обращения организаций банковской системы Российской Федерации (БС РФ) по вопросу применения положений Федерального закона от 27 июля 2006 года N 152-ФЗ «О персональных данных» (далее — Федеральный закон «О персональных данных»). Банками отмечается, что выполнение норм Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных является крайне важной задачей и способствует защите интересов граждан.

С целью выполнения в организациях банковской системы Российской Федерации (далее — БС РФ) требований Федерального закона «О персональных данных» и требований (рекомендаций) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор), Федеральной службы безопасности Российской Федерации (далее — ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее — ФСТЭК России) Центральный банк Российской Федерации при участии Роскомнадзора, ФСБ России, ФСТЭК России (далее — Регуляторы, если по смыслу не требуется детализация), Ассоциации российских банков (далее — АРБ) и Ассоциации региональных банков России (Ассоциации «Россия») разработал отраслевые документы по приведению организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. Эти документы включают:

1. Четыре документа, входящие в комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (далее — Комплекс БР ИББС):

— Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации» (РС БР ИББС-2.4) (далее — Отраслевая модель угроз);

— Доработанные в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее — стандарт Банка России СТО БР ИББС-1.0) и СТО БР ИББС-1.2 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0»;

— Рекомендации в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации» (далее — рекомендации в области стандартизации Банка России РС БР ИББС-2.3).

2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ (далее — Методические рекомендации).

Методические рекомендации разработаны Ассоциацией российских банков и Ассоциацией региональных банков России (Ассоциацией «Россия») совместно с Банком России для обеспечения методической поддержки применения организациями БС РФ Комплекса БР ИББС.

Место вышеуказанной документации показано на примерной структурной схеме документационного обеспечения выполнения законодательных требований при обработке персональных данных в организациях БС РФ (Рис. 1).

Рис. 1. Примерная структурная схема верхних уровней

документационного обеспечения выполнения законодательных

требований при обработке персональных данных

в организации БС РФ

II. Общие положения

Отраслевая модель угроз разработана на основе «Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных», рекомендованной ФСТЭК России, и содержит перечень угроз безопасности персональным данным, актуальных для организаций БС РФ.

Стандарты Банка России Банка России позволяют обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных (ИСПДн), т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют ФСБ России и ФСТЭК России, так и в иных автоматизированных банковских системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих банковскую тайну, коммерческую тайну и др.).

При введении Стандартов Банка России в организации БС РФ приказом требования по получению лицензий на деятельность по технической защите конфиденциальной информации и требования аттестации ИСПДн не являются обязательными (в соответствии с пунктом 9.6 СТО БР ИББС-1.0-2010).

В случае применения организацией БС РФ для обеспечения безопасности персональных данных шифровальных (криптографических) средств защиты информации (далее — СКЗИ), организации БС РФ обязаны получать лицензии ФСБ России в соответствии с законодательством Российской Федерации.

Рекомендации содержат набор практик, способствующих выполнению в организациях БС РФ требований Стандартов Банка России и тем самым — выполнению требований Федерального закона «О персональных данных», а также требований и рекомендаций Регуляторов.

III. Особенности и ограничения

В соответствии с Федеральным законом от 27 декабря 2002 г. N 184-ФЗ «О техническом регулировании» все стандарты носят рекомендательный характер.

Вместе с тем, в случае введения их в организации БС РФ приказом, стандарты принимают статус документов, обязательных для выполнения в этой организации. В этом случае организация БС РФ добровольно принимает на себя обязательство внедрить Стандарты Банка России, оценить соответствие организации БС РФ его требованиям (с использованием стандарта Банка России СТО БР ИББС-1.2) и официально подтвердить это, направив в адрес Банка России и территориальных органов Регуляторов — Роскомнадзора, ФСТЭК России, ФСБ России (в пределах их полномочий) «Подтверждение соответствия организации БС РФ стандарту Банка России СТО БР ИББС-1.0».

Если организация БС РФ не вводит Стандарты Банка России приказом, то ее деятельность при обработке персональных данных подлежит оценке при осуществлении надзора и контроля уполномоченными государственными органами на соответствие требованиям нормативных документов Регуляторов в области персональных данных, без учета отраслевых особенностей банковской сферы деятельности, отраженных в Комплексе БР ИББС.

IV. Программа действий по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных»

1. Принятие решения о присоединении или неприсоединении к Стандартам Банка России. Подготовка и выпуск приказа.

2. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных». Указанная комиссия будет координировать работы по приведению организации БС РФ в соответствие с требованиями Стандартов Банка России и настоящих рекомендаций и по проведению самооценки.

3. Разработка плана по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» (в соответствие с требованиями Стандартов Банка России).

4. Формирование перечня обрабатываемых персональных данных, а также формулирование целей и оснований для обработки этих данных.

5. Определение и выработка условий и принципов обработки персональных данных в организации БС РФ.

6. Составление перечня систем организации БС РФ, в которых обрабатываются персональные данные. Выделение ИСПДн и проведение их классификации.

7. Принятие решения о вводе в действие в организации БС РФ Отраслевой модели угроз. Разработка, в случае необходимости, собственной частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных организации БС РФ.

8. Оценка возможности обезличивания персональных данных. Проведение обезличивания. Проведение, в случае необходимости, повторной классификации ИСПДн.

9. Оценка существующих защитных мер на предмет соответствия требованиям Стандартов Банка России.

10. Решение вопроса о выделении необходимых материальных, кадровых и финансовых ресурсов для реализации мероприятий, предусмотренных планом мероприятий.

11. Реализация плана, включая выпуск необходимых документов. Доработка уже существующих документов с целью их соответствия требованиям Федерального закона «О персональных данных».

12. Проведение контроля в форме:

— Оценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-2010 внешней организацией (аудита);

— Самооценки соответствия организации БС РФ положениям стандарта Банка России СТО БР ИББС-1.0-2010.

13. Выпуск документа о подтверждении соответствия организации БС РФ требованиям стандарта Банка России СТО БР ИББС-1.0 с указанием соответствия в целом и по направлениям Регуляторов — Роскомнадзора, ФСБ России и ФСТЭК России (в пределах их полномочий).

14. Направление этого документа в адрес Банка России и территориальных органов Регуляторов (по готовности, но не позже 31 декабря 2010 года, в дальнейшем — один раз в три года).

V. Комментарии к программе действий

a. Создание комиссии по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» (пункт 2 программы действий)

Перед началом работ по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных» организационно-распорядительным порядком создается комиссия, на которую будет возлагаться реализация приведенных выше этапов. В состав данной комиссии входят представители юридического подразделения, подразделений общей и информационной безопасности, подразделений информатизации (разработки и обеспечения банковских технологий и обработки информации), кадровой службы (отдела кадров), управления делами (делопроизводства), подразделений по работе с клиентами (физическими лицами), а также представители других структурных подразделений, имеющих непосредственное отношение в организации БС РФ к сфере действия Федерального закона «О персональных данных».

Целесообразно, чтобы председатель комиссии был одновременно назначен ответственным за выполнение законодательных требований при обработке персональных данных в организации БС РФ.

Одной из задач комиссии является классификация информационных систем персональных данных.

После выполнения плана по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных» рекомендуется продолжить работу комиссии на постоянной основе.

b. Разработка плана по приведению в соответствие (пункт 3 программы действий)

Все этапы программы действий (кроме первого) могут быть детализированы в поэтапном плане по приведению организации БС РФ в соответствие с требованиями Федерального закона «О персональных данных».

Данный поэтапный план утверждается с указанием конкретных сроков реализации каждого этапа.

c. Типовой перечень персональных данных (пункт 4 программы действий)

В организации БС РФ рекомендуется сформировать перечень персональных данных с указанием целей и сроков их обработки (в т.ч. и хранения). Это позволит облегчить решение ряда задач, например:

разработка положения о защите персональных данных и иной организационно-распорядительной документации в области обработки персональных данных;

планирование и реализация мероприятий по защите персональных данных;

разработка уведомления в Роскомнадзор;

реагирование на запросы субъектов персональных данных.

При составлении Перечня персональных данных организация БС РФ может воспользоваться примерным перечнем, приведенным в Приложении 3.

При составлении перечня персональных данных, обрабатываемых организацией БС РФ, важно определить цели и сроки такой обработки. Например, если для регистрации паспортных данных посетителей организации БС РФ выбрана цель — «однократный проход посетителей на территорию организации БС РФ», то покидание посетителем организации БС РФ приводит к необходимости уничтожения зафиксированных персональных данных. Этого требует Федеральный закон «О персональных данных», так как по достижению цели обработки персональные данные должны быть уничтожены. Это пример некорректно выбранной цели. Теперь приведем пример некорректно выбранного срока хранения персональных данных. Если во внутренних документах организации БС РФ написано, что «хранение персональных данных персонала организации БС РФ осуществляется в течение срока действия трудового договора», то организация БС РФ может столкнуться с ситуацией, когда персональные данные уволенного работника должны быть удалены, а сделать это невозможно, так как эти данные должны быть использованы при предоставлении отчетности в органы Федеральной налоговой службы, Пенсионный Фонд Российской Федерации, Фонд обязательного медицинского страхования и т.п. С целью упрощения определения целей и сроков обработки персональных данных организация БС РФ может воспользоваться формулировками, приведенными в Перечне персональных данных, обрабатываемых организацией БС РФ (Приложение 3).

Данный этап также позволит выделить персональные данные, которые потребуют особых условий обработки, — видео и фотоизображения человека, геометрия руки и дактилоскопия, голосовые данные в центрах обработки вызовов и т.п.

При наличии в организации БС РФ утвержденного Перечня сведений конфиденциального характера допускается включить в него новый пункт — «персональные данные» (вместо разработки и утверждения отдельного Перечня обрабатываемых персональных данных). Это позволит легитимным образом распространить уже существующие режимы конфиденциальности, а также разработанную по этим вопросам нормативно-распорядительную документацию, и на обрабатываемые в организации БС РФ персональные данные.

При обработке персональных данных клиентов организации БС РФ рекомендуется минимизировать обработку персональных данных, отнесенных Федеральным законом «О персональных данных» (статья 10) к специальным категориям персональных данных.

d. Классификация ИСПДн (пункт 6 программы действий)

В связи с тем, что согласно статье 19 Федерального закона «О персональных данных» операторы обязаны защитить персональные данные от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий, то все ИСПДн организации БС РФ относятся к категории специальных в соответствии с пунктом 8 Порядка проведения классификации информационных систем персональных данных, утвержденного Приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Автоматизированные системы, в которых обрабатываются персональные данные, но целью работы которых не является обработка персональных данных, включаются в перечень систем, обрабатывающих персональные данные, но не классифицируются как ИСПДн.

По результатам классификации ИСПДн составляется Акт классификации.

e. Разработка частной модели угроз (пункт 7 программы действий)

В соответствии с пунктом 16 Порядка проведения классификации информационных систем персональных данных, утвержденного Приказом Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации и Министерства информационных технологий и связи Российской Федерации от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных», для специальных информационных систем персональных данных должна быть разработана модель угроз безопасности персональных данных.

В качестве модели угроз безопасности персональных данных при их обработке в ИСПДн организация БС РФ может использовать Отраслевую модель угроз, содержащую актуальные угрозы безопасности персональных данных при обработке в ИСПДн организаций БС РФ (применительно к большинству организаций БС РФ) и согласованную с Регуляторами.

В случае необходимости, в организации БС РФ может быть составлена частная модель угроз безопасности персональных данных при их обработке в ИСПДн организации БС РФ (далее — частная модель угроз), учитывающая особенности обработки персональных данных в конкретной организации БС РФ.

В качестве методики выбора актуальных для организации БС РФ угроз и последующего составления частной модели угроз используются рекомендации в области стандартизации Банка России РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций БС РФ. Методика оценки рисков нарушения информационной безопасности.

f. Оценка возможности обезличивания персональных данных (пункт 8 программы действий)

Персональные данные, обрабатываемые в ИСПДн, можно обезличить с целью понижения уровня требований по обеспечению безопасности. Согласно Федеральному закону «О персональных данных» обезличивание — это действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Полностью обезличить все персональные данные невозможно — в информационных системах всегда будут присутствовать технические средства (например, автоматизированные рабочие места операционистов или принтеры), на которых будет происходить процесс, обратный обезличиванию, — для целей сверки данных, печати на принтере, отправки по электронной почте и т.п.

На основе анализа национальных и международных стандартов <*> может быть составлен следующий список алгоритмов обезличивания персональных данных (см. Таблица 1).

<*> NIST SP800-122 «Guide to Protecting the Confidentiality of Personally Identifiable Information (PII)», BS10012:2009 «Data protection — Specification for a personal information management system», ISO 25237:2008 «Health informatics — Pseudonymization».

Таблица 1. Алгоритмы обезличивания персональных

g. Реализация плана и документирование процесса обработки персональных данных (пункт 11 программы действий)

Обеспечение безопасности персональных данных осуществляется в соответствии с доработанными для использования в целях защиты персональных данных и согласованными с Регуляторами Стандартами Банка России.

Организация работ по обработке и обеспечению безопасности персональных данных сопровождается разработкой различных документов в соответствии с требованиями федерального законодательства, требованиями и рекомендациями Регуляторов. Эти документы разрабатываются в организации БС РФ и предъявляются Регуляторам в случае проведения ими контроля и надзора за соответствием обработки персональных данных законодательным требованиям. Примерный перечень документов приведен в Таблице 2, типовые шаблоны части этих документов приведены в приложениях к данным рекомендациям.

Таблица 2. Перечень документов

В случае использования организацией БС РФ для обеспечения безопасности персональных данных средств криптографической защиты информации (СКЗИ) помимо определенных выше документов разрабатываются следующие документы:

<*> В столбце приведены сокращенные названия документов:

1. Рекомендации — Рекомендации по выполнению законодательных требований при обработке персональных данных в организации БС РФ.

2. Закон — Федеральный закон от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

3. Постановление Правительства N 781 — Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

4. Приказ — Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

5. Приказ ФСТЭК — Приказ федеральной службы по техническому и экспортному контролю от 5 февраля 2010 года N 58 «Об утверждении положения о методах и способах защиты информации в информационных системах персональных данных».

6. Документы ФСБ — «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждены Руководством 8 Центра ФСБ России 21 февраля 2008 года).

7. Регламент ФСБ — Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных (утвержден Руководством 8 Центра ФСБ России 8 августа 2009 года N 149/7/2/6-1173).

8. Регламент Роскомнадзора — Административный регламент проведения проверок Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных (утвержден Приказом Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций N 630 от 01.12.2009).

<*> Содержание столбца определяется решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных».

<*> Содержание столбца определяется решением комиссии по приведению организации БС РФ в соответствие требованиям Федерального закона «О персональных данных». Могут содержаться следующие данные:

— Перечень персональных данных, которые обрабатываются в ИСПДн.

— Категория обрабатываемых персональных данных — в том случае, если в организации БС РФ проводится классификация персональных данных, в соответствии с пунктом 7.10.3 стандарта Банка России СТО БР ИББС-1.0-2010.

— Объем обрабатываемых персональных данных — количество субъектов персональных данных, персональные данные которых обрабатываются в ИСПДн.

— Виды обработки персональных данных — заполняется в соответствии с частью 3 статьи 3 Федерального закона «О персональных данных».

— Характеристики безопасности — Конфиденциальность, целостность, доступность и другие свойства безопасности персональных данных.

— Структура ИСПДн, Наличие подключения ИСПДн к сетям связи общего пользования и сетям международного информационного обмена, Режим обработки персональных данных, Режим разграничения прав доступа пользователей к ИСПДн, Местонахождение технических средств ИСПДн -заполняется в соответствии с пунктами 9 — 13 Порядка проведения классификации информационных систем персональных данных, утвержденного Приказом ФСТЭК, ФСБ и Минсвязи от 13 февраля 2008 г. N 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

<**> В соответствии с определенными критериями классификации (пункт 7.11.3 стандарта Банка России СТО БР ИББС-1.0-2010).

1. Акт составляется раздельно на каждый способ уничтожения носителей.

2. Все листы акта, а также все произведенные исправления и дополнения в акте заверяются подписями всех членов комиссии.

к Приказу от «__» _____ 20__ г. N ___

ТИПОВЫЕ ОШИБКИ ПРИ РЕАЛИЗАЦИИ ТРЕБОВАНИЙ

ЗАКОНОДАТЕЛЬСТВА О ПЕРСОНАЛЬНЫХ ДАННЫХ

В таблице приведены типовые и распространенные ошибки кредитных организаций, допускаемые при реализации законодательства о персональных данных, которые выявляются Роскомнадзором, ФСТЭК России и ФСБ России в процессе исполнения ими функций государственного контроля и надзора.

2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ, разработанные совместно Банком России, АРБ и Ассоциацией региональных банков России (Ассоциацией «Россия»).

Документы Комплекса БР ИББС согласованы ФСБ России, Роскомнадзором, ФСТЭК России. Текст документов опубликован в «Вестнике Банка России» и размещен на Web-сайте Банка России в сети Интернет.

Из банков утекают данные клиентов

С вероятностью 66% ваши персональные данные окажутся в открытом доступе или будут продаваться на черном рынке. Если банк незаконно передал информацию о вас другому лицу, вы вправе обратиться в суд или попросить об этом Роскомнадзор

За январь – сентябрь 2020 г. в России утекло 96,5 млн записей персональных данных и платежной информации. 4 февраля 2021 г. об этом сообщила первый зампред Комитета Совета Федерации по конституционному законодательству и госстроительству Ирина Рукавишникова на конференции, посвященной формированию единой цифровой среды доверия в обществе.

Давайте-ка посчитаем вместе: население России составляет 146,8 млн человек. Если на каждого человека приходится по одной записи персональных данных, то 96,5 млн записей – это примерно 66% от их общего объема. При грубом подсчете именно с такой вероятностью сведения о нас окажутся в открытом доступе.

Чаще утечки информации обнаруживают в госсекторе, IT-индустрии и сфере финансов. Особенно большой резонанс вызвала утечка персональных данных клиентов Сбербанка летом 2019 г., когда на черном рынке оказалась база данных с информацией о владельцах 60 млн кредитных карт.

В России персональные данные защищаются прежде всего Законом «О персональных данных», а в банковской сфере – Законом «О банках и банковской деятельности» и нормами Гражданского кодекса РФ.

В статье речь пойдет о наших правах и возможностях их защитить в отношениях с банками.

Как банки используют персональные данные и как клиенты на это соглашаются?

Банк является оператором персональных данных, которые он собирает и обрабатывает для выполнения своих функций. Под обработкой данных подразумевается целый набор действий: сбор, запись, систематизация, накопление, хранение, уточнение и т.д.

Такая работа с личной информацией клиентов возможна только с их письменного согласия. Но обычно человек не обращает внимания на то, когда и в каком объеме он разрешает обрабатывать свои персональные данные. Согласие может быть дано при посещении офиса в бумажном документе или через Интернет во время заполнения формы на сайте и даже просмотра информации на нем.

Например, Сбербанк разместил на своем сайте такую информацию для пользователей:

«Продолжая работу на сайте, я выражаю свое согласие ПАО Сбербанк на автоматизированную обработку моих персональных данных … с совершением действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ), в том числе трансграничная, партнерам Сбербанка, предоставляющим сервис по указанным метрическим программам…»

Чтобы узнать, какие полномочия предоставлены кредитной организации, можно обратиться с письменным запросом в отделение банка или найти образец согласия на обработку персональных данных на его сайте.

Тут может возникнуть вопрос: а что, если не соглашаться на обработку данных? Субъект персональных данных принимает решение об их предоставлении и дает согласие на их обработку свободно, своей волей и в своем интересе (п. 1 ст. 9 Закона «О персональных данных»). Вы можете не передавать данные банку или не разрешить их обрабатывать. Но в этом случае банк вправе отказать вам в оказании услуг.

Что будет с персональными данными, когда отношения с банком прекратятся?

Закрытие счета или погашение кредита не означает автоматического уничтожения персональных данных. Для этого необходимо подать заявление об их отзыве или уничтожении. Чтобы быть уверенным в том, что их у банка не осталось, можно запросить акт о прекращении обработки данных или выписку из журнала учета уничтожения персональных данных.

На сайте Роскомнадзора подробно расписано, как уничтожаются личные данные клиентов:

«Порядок документальной фиксации уничтожения персональных данных субъекта определяется оператором персональных данных самостоятельно. Уничтожение персональных данных субъекта осуществляется комиссией либо иным должностным лицом, созданной (уполномоченным) на основании приказа оператора. Наиболее распространенными способами документальной фиксации уничтожения персональных данных субъекта являются оформление соответствующего акта о прекращении обработки персональных данных либо регистрация факта уничтожения персональных данных в специальном журнале. Типовая форма акта и журнала утверждаются оператором».

При этом даже в случае запрета обрабатывать данные клиента банк может продолжать это делать. Например, при сохранении договора с банком для работы с ним (п. 5 ч. 1 ст. 6 Закона «О персональных данных»). Также кредитное учреждение сохраняет личную информацию о клиенте в течение не менее 5 лет с момента истечения срока договора согласно ч. 4 ст. 7 Закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». И наконец, кредитные организации сохраняют первичные учетные документы, регистры бухгалтерского учета и бухгалтерскую отчетность в течение сроков, устанавливаемых в соответствии с правилами организации государственного архивного дела, но не менее 5 лет (ст. 17 Закона «О бухгалтерском учете»).

Суды придерживаются такой же позиции. Один из примеров: гражданин обратился с требованием о прекращении правоотношений с банком и направлении ему акта об уничтожении сведений, содержащих персональные данные. В заявленных требованиях суд отказал, поскольку банк должен хранить персональные данные клиентов в течение не менее 5 лет со дня прекращения отношений, а также в предусмотренных законом случаях предоставлять информацию и документы уполномоченному органу по его запросу 1 .

Может ли банк передать персональные данные клиентов другим организациям?

Банк вправе поручить обработку данных сторонней организации с согласия субъекта персональных данных (п. 3 ст. 6 Закона «О персональных данных»). Это возможно, например, при проведении рекламной кампании и сборе заявок или хранении собранной информации на серверах IТ-компаний.

Но для таких действий необходимо согласие клиентов. И, как правило, они его дают. Выше приводилась выдержка из согласия на обработку персональных данных с сайта Сбербанка. В нем есть такая фраза: «…передача (предоставление, доступ), в том числе трансграничная, партнерам Сбербанка, предоставляющим сервис по указанным метрическим программам». Чаще встречаются более расплывчатые формулировки – просто упоминается о передаче данных сторонним организациям. Иногда ставят ссылку на перечь организаций-партнеров, которым может передаваться информация.

С кредитной организацией трудно будет договориться о корректировке таких формулировок. Как уже было сказано, в случае несогласия предоставить персональные данные банк может отказать в оказании услуг. Тем не менее всегда обращайте внимание, на что вы даете свое согласие, особенно при заключении договоров с организациями из других сфер.

Как защитить свои права?

Чтобы не тратить время на изучение законодательства или деньги на оплату работы юристов, с требованием о защите персональных данных можно обратиться в Роскомнадзор. Если нарушения будут обнаружены, то составлять исковое заявление, подавать его в суд и отстаивать ваши интересы будет именно Роскомнадзор, а не вы.

В случае нарушения ваших прав вы можете обратиться в суд с требованием о возмещении морального вреда. Но доказать придется и факт передачи персональных данных, и незаконность такой передачи. Вы вправе также заявить требование о запрете дальнейшего распространения информации и иного нарушения прав. Но, как указано выше, в подобных требованиях суд может отказать, если речь будет идти об обязанности банка хранить данные в течение 5 лет или о предоставлении информации уполномоченным органам.

Подавать исковое заявление можно в суд по месту регистрации гражданина. На это указал Верховный Суд РФ в Определении от 14 июля 2020 г. № 58-КГ20-2 (читайте об этом в новости «ВС: Роскомнадзор вправе подавать иск в порядке гражданского судопроизводства»).

Суды нередко выносят решения в пользу граждан. Только размеры компенсации морального вреда составляют всего несколько тысяч рублей. Например, в одном из дел, рассмотренных Новосибирским областным судом, передача информации о клиенте банком коллекторской организации была признана незаконной, но размер компенсации морального вреда составил лишь 5 тыс. руб. 2

Чтобы попробовать увеличить размер компенсации, можно запастись справками о своих физических и нравственных страданиях. Например, подойдут выписки из медицинских документов, подтверждающие осмотры терапевта и невролога, к которым пришлось обращаться с жалобами на головные боли, нарушение сна и иные симптомы, возникшие из-за постоянных звонков коллекторов.

1 Апелляционное определение Московского городского суда от 14 июня 2019 г. по делу № 33-25479/2019.

2 Определение Новосибирского областного суда от 21 января 2014 г. по делу № 33-383/2014.