BIS Journal №2(2)/2011

11 июля, 2011

Актуальность консолидации

Итоги контрольно-надзорной деятельности в сфере защиты персональных данных в 2010 году свидетельствуют: общий объем выявленных нарушений соответствующих норм законодательства в деятельности кредитных организаций остается достаточно высоким. Большинство нарушений связано с неправомерной деятельностью по обработке персональных данных, осуществляемой без уведомления уполномоченного органа – Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций либо с нарушениями установленного порядка осуществления такой деятельности.

НЕПРИКАСАЕМЫХ НЕТ

Обеспечение контроля и надзора за соответствием обработки персональных данных требованиям № 152-ФЗ «О персональных данных» регламентировано п.1 ст.23 настоящего федерального закона, а также п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации № 228 от 16 марта 2009 года. Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.

Проверки показали, что, несмотря на общую положительную динамику, количество кредитных организаций, зарегистрированных в реестре операторов Роскомнадзора, не превышает 60% от их общей численности. На сегодняшний день в реестр включено лишь 509 банков. Сложившееся положение, с точки зрения регулятора, недопустимо.

Одна из главных причин – в ошибочном мнении, которое укоренилось в банковской среде: будто бы отсутствие оператора в реестре исключает возможность проведения в них проверок в области защиты персональных данных. Поэтому многие банки пока предпочитают занимать в этом вопросе выжидательную позицию.

Выборочный анализ материалов проверок выявил основные типы нарушений, допускаемых кредитными организациями. В первую очередь – обработку персональных данных без соответствующего согласия субъекта персональных данных. Второе – предоставление неполных или недостоверных сведений, содержащихся в уведомлении, которое направляется в уполномоченный орган.

Кроме того, широко распространены нарушения конфиденциальности при обработке персональных данных. Неоднократно выявлялись случаи обработки сведений о судимостях и персональных данных близких родственников клиента. Часто встречается несоответствие содержания письменного согласия субъекта персональных данных требованиям ч. 4 ст. 9 ФЗ-152.

НАРУШИТЕЛИ-ЧЕМПИОНЫ

Наибольшее число предписаний об устранении выявленных нарушений было выдано ОАО «Коммерческий Банк «Русский Южный Банк», ООО «Хакасский муниципальный банк», ООО «Коммерческий банк «Объединенный банк Республики»» в Чувашии, ООО «Промышленный сельскохозяйственный банк» и ОАО «Промышленный энергетический банк». Следует отметить, что типовые нарушения, допускавшиеся кредитными организациями в 2010 году, полностью идентичны тем, что были зафиксированы годом ранее.

Но, вместе с тем, в сфере соблюдения законодательства, регламентирующего охрану персональных данных в банковском секторе, Роскомнадзором в прошлом году отмечены и многочисленные положительные моменты. Так, если в 2009 году, по итогам проверок, нарушения законодательства в области персональных данных были выявлены регулятором в 63% случаев, то в 2010 году – только в 45% случаев. Государственными инспекторами Роскомнадзора в 2010 году банкам было выдано 48 предписаний – 2,5% общего количества банков, в то время как 2009 году доля банков, которым были выданы предписания, достигала 12%.

В связи с особой актуальностью проблематики защиты прав субъектов персональных данных руководство Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций считает необходимым, чтобы кредитные организации предпринимали действенные меры для пресечения выявленных нарушений и недопущения их в дальнейшем.

Отдельной областью, которая привлекает пристальное внимание регулятора, является работа коммерческих банков в сфере продвижения своих товаров и услуг. Итоги контрольно-надзорной деятельности и результаты рассмотрения обращений граждан показывают: банки активно занимаются продвижением и рекламой своих продуктов как самостоятельно, так и с помощью рекламных агентств. Но при этом зачастую частично или полностью не соблюдают нормы законов в отношении защиты персональных данных.

ПРИНУДИТЕЛЬНАЯ РЕКЛАМА

Наиболее типичное нарушение – рассылка рекламных материалов банков без предварительного согласия субъектов персональных данных. Самые серьезные проблемы возникают при привлечении третьих лиц и структур, которые используют базы персональных данных граждан, происхождение и правомерность использования которых вызывает обоснованные сомнения.

О том, что защита прав субъектов персональных данных – чрезвычайно актуальная задача, свидетельствует и статистика рассмотрения результатов обращений граждан по вопросам нарушения их прав и законных интересов в качестве субъектов персональных данных. Так, в 2010 году отмечен рост числа жалоб со стороны физических лиц на действия кредитных организаций. В минувшем году в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций поступило от населения 225 жалоб – почти в три раза больше количества жалоб, поданных годом ранее.

Чаще всего граждане указывали на неправомочные действия банка ЗАО «Тинькофф Кредитные Системы» – 38 жалоб. На действия банка ЗАО «Русский стандарт» жаловались в прошлом году 32 раза. В отношении OOO«Хоум Кредит энд Финанс Банк» за тот же период зафиксировано 25 обращений. Замыкает список кредитных организаций, позволяющих себе чересчур вольно обращаться с персональными данными граждан, банк «Ренессанс Капитал», на который за прошлый год пожаловались 15 раз.

Жалобы касались в первую очередь незаконной передачи персональных данных клиентов третьим лицам, а также продвижения продуктов и услуг без предварительного согласия заявителей. В большинстве случаев факты, изложенные в заявлениях граждан, были подтверждены проверками.

Примечательно, что под незаконные действия попал даже сотрудник Роскомнадзора, которому в феврале вечером выходного дня позвонили из банка «Хоум Кредит…» с предложением воспользоваться услугами банка и принять участие в его акциях. При этом никаких договорных отношений у него с этим банком не было. А по закону обработка персональных данных с целью продвижения услуг и распространения рекламы без предварительного согласия их субъекта недопустима, то есть имело место вопиющее нарушение 152-ФЗ.

К ОТРАСЛЕВЫМ СТАНДАРТАМ

В минувшем году органы государственной власти и представители операторского сообщества приложили немало усилий для выработки предложений по совершенствованию и гармонизации действующего законодательства в области защиты персональных данных. Согласование усилий велось в рамках межведомственной рабочей группы при Министерстве связи и массовых коммуникаций РФ. Итогом деятельности группы стал целый ряд предложений, учтённых в поправках, которые внесены Правительством России в Государственную Думу РФ.

Главным результатом совместной работы Роскомнадзора, Банка России, Ассоциации российских банков и других общественных организаций, представляющих интересы банковского сообщества, стала разработка нового стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Он учитывает все текущие требования законодательства, предъявляемые к деятельности по обработке персональных данных.

В короткий срок новые требования были успешно согласованы всеми регуляторами, и сегодня большинство проблем, связанных с реализацией этого отраслевого стандарта, эффективно решаются профессиональным сообществом. Большинство, но не все. Для того, чтобы стандарт соблюдался всеми участниками рынка в полной мере, необходимо разработать и принять ряд дополнительных документов. В банковском сообществе это понимают, что было подтверждено в ходе рабочей встречи, организованной Роскомнадзором.

Положительную роль во внедрении стандарта информационной безопасности банковской системы должна сыграть и создаваемая ныне отраслевая саморегулируемая организация – СРО. Регуляторов не может не радовать, что уже обсуждаются практические аспекты функционирования этой СРО. Её деятельность, несомненно, будет действенным подспорьем обеспечения защиты и конфиденциальности персональных данных при обработке кредитными организациями в соответствии с Федеральным законом №152-ФЗ «О персональных данных».

ОТКАЗ НЕДОПУСТИМ

Ст. 22 ФЗ-152 обязывает операторов уведомить уполномоченный орган по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных ещё до начала их обработки. Также, согласно ч.4 ст.25, операторы обязаны направить в уполномоченный орган по защите прав субъектов персональных данных уведомление об обработке персональных данных.

Законом установлена стандартная форма уведомлений об обработке либо намерении осуществлять обработку персональных данных, определены содержание и перечень обязательных полей, предназначенных для заполнения, а также рекомендации по их заполнению. В соответствии с законодательством Российской Федерации заполненные уведомления должны направляться в письменной форме, с подписью уполномоченного лица, или в электронной форме с электронной цифровой подписью.

На 10 февраля 2011 года в Роскомнадзор поступило 77 уведомлений от кредитных организаций о принятии стандарта информационной безопасности Банка России. Кредитные организации, которые только собираются принять СТО БР ИББС, должны направлять свои уведомления в центральный аппарат Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, а не в территориальные управления регулятора.

Уведомление кредитными организациями Роскомнадзора о начале деятельности по обработке персональных данных – одно из основных требований стандарта Банка России. Вместе с тем, как показали результаты выборочного анализа, 24 банка, заявившие о своем присоединении к стандарту ЦБ, не сочли нужным выполнить это требование. Более того, такие организации, как ООО «Ю Би Эс Банк» – российская «дочка» UBSAG, а также ОАО «Флексинвест Банк» ответили отказом на запрос Роскомнадзора о предоставлении такого уведомления. Подобные действия категорически недопустимы и неминуемо повлекут за собой привлечение нарушителей к установленной законом ответственности.

НАДЁЖНАЯ ЗАЩИТА

Законодательство Российской Федерации в области персональных данных предоставляет гражданину достаточно широкие права для защиты своих прав. Так, гражданин может самостоятельно защитить свои интересы, обратившись напрямую к оператору с требованием устранить нарушения, связанные с обработкой его персональных данных. Также есть возможность обращения в суд в порядке, предусмотренном гражданским процессуальным законодательством.

Но, как показывает практика, за защитой и восстановлением нарушенных прав наши граждане, в подавляющем большинстве случаев, предпочитают обращаться именно в Роскомнадзор. Считаю, что это и есть высшая оценка результата нашей работы и главное подтверждение тому, что уполномоченный орган по защите прав субъектов персональных данных в Российской Федерации сегодня обладает всеми необходимыми ресурсами для защиты прав и законных интересов субъектов персональных данных и выполняет эту работу эффективно.

При этом права, обязанности, все административные процедуры, используемые уполномоченным органом, делают нашу деятельность исключительно независимой. Такая норма содержится в дополнительном протоколе к Конвенции Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера, о наблюдательных органах и трансграничной передаче информации ETS №181. Сотрудники Роскомнадзора осуществляют свою деятельность в полном соответствии с этим обоснованным требованием.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

12.11.2024
Правкомиссия одобрила проект поправок о налогообложении криптотранзакций
12.11.2024
Хакер сёрфит на утечке. Волновой эффект инцидента MOVEit Transfer всё ещё силён
11.11.2024
Расходы на российские софт и хард зачтут с двойным коэффициентом
11.11.2024
Минцифры (не) меняет правила. Как поправки играют сразу в обе стороны
11.11.2024
RED Security: ИБ стала обязательным элементом устойчивого развития бизнеса
11.11.2024
Консорциум для исследований безопасности ИИ-технологий принял сразу четыре новые организации
11.11.2024
Русы и персы. Первая стадия интеграции «Мир» и Shetab запущена
11.11.2024
Этика vs. деньги. Должны ли «белые шляпы» выбирать
08.11.2024
В Совфеде прошёл круглый стол на тему страхования киберрисков при утечке ПДн
08.11.2024
Сняться ли австралийцам бенгалы? ВПО атакует кошатников

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных