+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Защита персональных данных в банке

Содержание

Защита персональных данных в кредитно-финансовых учреждениях

Защита персональных данных в банке

27 Марта 2009 17:00

Вопросы о том, являются ли операторами персональных данных банки, бюро кредитных историй, коллекторские агентства, относятся ли автоматизированные банковские системы (АБС) и системы дистанционного банковского обслуживания (ДБО) к информационным системам персональных данных (ИСПДн), нуждаются ли они в аттестации или сертификации и т. п., уже не стоят. Ответы на них получены и от представителей регуляторов в области персональных данных (ФСБ, ФСТЭК, Россвязькомнадзор), и от банковского сообщества. Проблемы перешли в практическую плоскость — что и как нужно делать, чтобы при работе с персональными данными выполнялись положения закона. До «экзаменов» совсем недолго — к 1 января 2010 г. обработка данных в ИСПДн должна быть приведена в соответствие с требованиями законодательства. О проблемах, возникающих в связис вступлением Закона в силу, рассказывает статья Михаила Емельянникова, директор по развитию бизнеса компании “Информзащита”.

Масштабы и границы

Уже сейчас ясно, что мероприятия по обеспечению безопасности обработки персональных данных являются технически сложными, требуют высокой квалификации исполнителей, специальных знаний, глубокого понимания функциональности как приложений, обрабатывающих персональные данные, так и средств защиты информации.

Именно поэтому нормативные документы регуляторов предусматривают лицензирование деятельности операторов персональных данных по технической защите конфиденциальной информации.

Выходом для банковских учреждений, которые по тем или иным причинам не могут или не хотят получать лицензию, является заключение договора со специализированной организацией-лицензиатом на аутсорсинг услуг по технической защите персональных данных.

Независимо от того, кто будет выполнять работы по обеспечению безопасности обработки персональных данных, первые шаги оператора достаточно очевидны. Необходимо (1) выявить все информационные системы, обрабатывающие персональные данные (ИСПДн), (2) классифицировать все выявленные ИСПДн и (3) сформировать и актуализировать для каждой из них или групп однотипных систем модель угроз.

При этом важно понимать, что определение границ ИСПДн и их классификация — задачи неформальные, требующие понимания бизнес-процессов. Ключевыми моментами на этапе сбора и анализа исходных данных по ИСПДн являются определение целей обработки персональных данных и формирование перечня ПДн (определение состава сведений, отнесенных к такой категории).

Приведем два примера.

Первый пример.

Большинство крупных организаций, и банки здесь — не исключение, имеют внутренние корпоративные порталы, содержащие среди прочего и справочную систему, в которой размещены сведения о сотрудниках с указанием их фамилии, имени, отчества, должности, номера служебного телефона и кабинета, адреса электронной почты, в некоторых случаях — и фотографии.

При определении категории подобных персональных данных по методике совместного приказа ФСТЭК, ФСБ и Мининформсвязи России от 13 февраля 2008 г.

№ 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных» необходимо исходить из цели обработки данных — идентификация сотрудников для установления контакта с ними (категория 3), а при оценке коэффициента, характеризующего количество обрабатываемых записей (ХНПД), в качестве параметра выбрать «персональные данные субъектов персональных данных в пределах конкретной организации». В этом случае справочная система будет относиться к классу 3 (К3) типовых ИСПДн, даже если в организации работает более 1000 сотрудников.

Второй пример. При формировании перечня персональных данных для сегмента АБС, связанного с ведением кредитной истории клиента, перечень обрабатываемых персональных данных можно определить на основании Федерального закона от 30 декабря 2004 г. № 218-ФЗ «О кредитных историях». Тогда к персональным данным именно в этой ИСПДн будут относиться следующие сведения о заемщике:

фамилия, имя, отчество;

  • дата и место рождения;
  • данные паспорта или иного документа, удостоверяющего личность (номер, дата и место выдачи, наименование выдавшего его органа);
  • ИНН;
  • страховой номер индивидуального лицевого счета;
  • место регистрации и фактическое место жительства;
  • сведения о государственной регистрации физического лица в качестве индивидуального предпринимателя.

    На этапе инвентаризации и классификации ИСПДн следует оценить необходимость и целесообразность отнесения ИСПДн к специальным системам, исходя их положений упомянутого выше совместного приказа и особенностей обработки данных в конкретной системе.

    Формирование актуализированной модели угроз также является непростой и неформальной задачей. Есть мнение, что на данном этапе можно существенно снизить требования к безопасности и упростить систему защиты, признав большинство угроз неактуальными. Это не так.

    Актуализация угроз, безусловно, относится к полномочиям оператора, но не может выполняться произвольно.

    В ходе нее необходимо следовать методологии регуляторов, изложенной в нормативно-методических документах, и соблюдать установленные в них критерии оценки актуальности.

    Правовые проблемы

    Важная часть работы по приведению модели в соответствие с требованиями регуляторов — выявление и анализ законности оснований для обработки персональных данных и, что особенно сложно, для передачи их третьим лицам. Такими основаниями применительно к банкам являются:

  • случаи, прямо предусмотренные федеральными законами;
  • договор об оказании услуг физическому лицу;
  • выполнение обязанностей работодателя по отношению к собственным работникам.

    Договоры с физлицами должны содержать их прямое согласие на все случаи обработки данных, выходящие за пределы собственно оказания банковских услуг.

    Весьма сомнительными с юридической точки зрения выглядят положения договоров, предусматривающие передачу персональных данных в случаях, не предусмотренных законами, например: «Банк и Заемщик обязуются не разглашать каким-либо способом третьим лицам информацию…, включая персональные данные Заемщика, за исключением случаев, предусмотренных законодательством Российской Федерации и настоящим Договором, в том числе … иным лицам, в процессе осуществления и защиты Банком своих прав, обязанностей и законных интересов, когда предоставление персональных данных происходит в соответствии со сложившимся обычаем делового оборота» (выделено автором). Нет в соответствующем ФЗ такого основания передачи, как обычаи делового оборота.

    Система безопасности ИСПДн банка

    На основе исходных данных, указанных в акте классификации ИСПДн и актуализированной модели угроз, определяются механизмы безопасности, которые должны быть реализованы в системе защиты, и конкретные требования к функциональности этих механизмов.

    Рассмотрим этот тезис на примере.

    Для абсолютного большинства ИСПДн необходимо выполнение мероприятий по защите персональных данных от несанкционированного доступа (НСД) и иных неправомерных действий, включающих:

  • управление доступом;
  • регистрацию и учет;
  • обеспечение целостности;
  • контроль отсутствия недекларированных возможностей;
  • антивирусную защиту;
  • обеспечение безопасного межсетевого взаимодействия ИСПДн;
  • анализ защищенности;
  • обнаружение вторжений.

    Подсистему управления доступом рекомендуется реализовывать на базе программных средств блокирования НСД, сигнализации и регистрации (специальных, не входящих в ядро какойлибо ОС средств защиты самих ОС), электронных баз персональных данных и прикладных программ, реализующих функции диагностики, регистрации, уничтожения, сигнализации, имитации.

    В свою очередь, средства сигнализации должны обеспечивать предупреждение операторов при их обращении к защищаемым персональным данным, а также предупреждение администратора об обнаружении фактов:

  • НСД к персональным данным;
  • искажения программных средств защиты;
  • выхода или вывода из строя аппаратных средств защиты;
  • других фактах нарушения штатного режима функционирования ИСПДн.

    Такой же анализ должен быть осуществлен и при определении способов нейтрализации остальных актуальных угроз, на основании которого выбираются сертифицированные средства защиты информации с требуемой функциональностью.

    Имеющихся на данный момент сертифицированных средств защиты информации достаточно для реализации практически всех требований, изложенных в нормативно-методических документах ФСТЭК и ФСБ, вопрос лишь в знании их возможностей и правильном сочетании.

    Сегодня созданы все необходимые условия для выполнения требований по обеспечению безопасности персональных данных, и в оставшееся до 1 января 2010 г. время все кредитнофинансовые учреждения должны построить подсистему защиты этой категории сведений ограниченного доступа.

  • Источник: https://banktech.ru/articles/zaschita-personal-nyh-dannyh-v-kreditno-finansovyh-uchrezhdeniyah

    Меры по защите персональных даных сотрудников

    Защита персональных данных в банке

    За рубежом сложились два основных подхода к определению персональных данных: в некоторых государствах (Нидерланды, Швеция, Новая Зеландия и др.

    ) они отождествляются с любой информацией, имеющей отношение к конкретному лицу, в других – прослеживается детализация, установление определенных критериев отнесения информации к указанной категории (Великобритания и др.).

    В Великобритании не допускается сбор данных о расовом происхождении, политических, религиозных и прочих взглядах работников, их физическом и умственном здоровье, сексуальной жизни, судимости.

    В США многие штаты приняли законы, запрещающие предпринимателям проводить расследования прошлого нанимаемых работников. Согласно этим законам, прежде чем вступить в контакт с прежним работодателем, новый наниматель должен получить согласие на это кандидата на рабочее место.

    У нас в соответствии с ТК РФ под персональными данными подразумевается информация, необходимая работодателю в связи с установлением трудовых отношений и касающаяся конкретного работника (ст. 85). При этом законодатель не устанавливает перечня таких сведений.

    А это означает, что круг сведений и вид информации, которые составляют персональные данные работника, компаниям следует определять в локальном нормативном акте, но в пределах, установленных федеральным законодательством.

    Другой документ, где дается характеристика персональным данным, – это ФЗ № 152 «О персональных данных».

    В нем указывается, что персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основе физическому лицу (субъекту персональных данных).

    Она включает фамилию, имя, отчество, число, месяц, год и место рождения, а также адрес, сведения о семейном, социальном, имущественном положении, об образовании, профессии, доходах и иные.

    Обязательное и добровольное предоставление данных

    Предоставление данных может быть обязательным и добровольным. Обязательное предусмотрено федеральными законами (например, ФЗ от 01.04.

    1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования») в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства (перечень приведен в п. 2 ст. 9 ФЗ «О персональных данных»).

    Без получения согласия субъекта может осуществляться обработка его персональных данных в целях исполнения договора, одной из сторон которого он является, либо в случае, если это необходимо для доставки почтовых отправлений и т. п. Полный перечень таких исключений приведен в п. 2 ст. 6 ФЗ № 152

    Соблюдения конфиденциальности не требуется и в отношении общедоступных персональных данных.

    Так, столичный мировой суд отказал советнику Президента РФ Сергею Дубику в претензиях к порталу «Гражданский контроль», обнародовавшему неправомерно, по мнению чиновника, его персональные данные.

    Суд признал законной публикацию на сайте «Гражданский контроль» фамилии и должности советника Путина, и судья постановила, что использование в публикациях информации об именах и должностях госслужащих не является нарушением закона.

    Является ли ваша компания оператором?

    Если организация, например, передает данные работника в банк для выпуска «зарплатной» карты, то она является оператором. Если у фирмы есть клиенты – физические лица, то ее также следует считать оператором. Если предприятие осуществляет передачу персональных данных в другие организации, любым лицам, то и оно – оператор.

    Статья 22 Федерального закона «О персональных данных» закрепила за операторами обязанность до начала обработки персональных данных сообщать в уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять такой процесс.

    Уведомления должны быть посланы в письменной форме и подписаны уполномоченным лицом или отправлены в электронном виде и подписаны электронной цифровой подписью Операторам необходимо зарегистрироваться в Реестре операторов персональных данных на сайте Роскомнадзора: rsoc.

    ru/p582/p585/ и указать цель обработки персональных данных.

    Это может быть, например, кадровый учет сотрудников по трудовому договору; исполнение трудового договора; подбор кадров; поддержка иностранных сотрудников; продвижение товаров на рынке; продажа рекламных мест; возврат утерянных паспортов; учет обращений в медицинский кабинет; организация пропускного режима; автоматизация обмена почтовыми сообщениями.

    Что касается оснований, при которых работодатель вправе обрабатывать персональные данные без уведомления Роскомнадзора, то они перечислены в ч. 2 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». В частности, это можно делать, если персональные данные работника используются в соответствии с трудовым законодательством.

    Обрабатывать такие данные разрешается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания содействия работникам в трудоустройстве, обучении и продвижении по службе, создания условий для личной безопасности персонала и сохранности имущества организации, контроля качества выполняемой работы (ст. 86 ТК РФ).

    Итак, направлять уведомления об обработке персональных данных в Роскомнадзор нет необходимости в том случае, когда персональные данные работников обрабатываются согласно трудовому законодательству.

    При этом, если работодатель планирует в рамках совместного с банком «зарплатного» проекта выплачивать зарплату работнику через банковскую карту или оформить ему договор добровольного медицинского страхования, то такие отношения выходят за рамки трудового законодательства.

    В такой ситуации необходимо отослать в Роскомнадзор уведомление установленного образца.

    Защита персональных данных

    Любое юридическое лицо в силу требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» обязано принимать меры по защите персональных данных, при этом перечень таких мер оно вправе определять самостоятельно.

    Мероприятия по защите персональных данных можно разделить на две большие подгруппы: по внутренней и внешней защите персональных данных.

    К мерам по внутренней защите персональных данных относятся следующие действия:

    • ограничение числа работников (с регламентацией их должностей), которым открыт доступ к персональным данным. Кого может включать этот перечень? Абсолютно всех, кто имеет доступ к личным делам, т. е.

    сотрудников отделов кадров или ответственных за кадровое делопроизвод- 
    ство, работников бухгалтерии, секретарей-делопроизводителей, специалистов, которые заключают договоры с физическими лицами, а также инженеров, программистов, юристов;

    • назначение ответственного лица, обеспечивающего исполнение организацией законодательства в рассматриваемой сфере;

    • утверждение перечня документов, содержащих персональные данные;

    • издание внутренних документов по защите персональных данных, осуществление контроля за их соблюдением;

    • ознакомление работников с действующими нормативами в области защиты персональных данных и локальными актами; проведение систематических проверок соответствующих знаний работников, обрабатывающих персональные данные, и соблюдения ими требований нормативных документов по защите конфиденциальных сведений. Следует иметь в виду, что все сотрудники, которые имеют доступ к персональным данным других людей, должны быть ознакомлены с особенностями законодательства в области защиты персональных данных;

    • рациональное размещение рабочих мест для исключения несанкционированного использования защищаемой информации;

    • утверждение списка лиц, имеющих право доступа в помещения, в которых хранятся персональные данные;

    • утверждение порядка уничтожения информации;

    • выявление и устранение нарушений требований по защите персональных данных;

    • проведение профилактической работы с сотрудниками по предупреждению разглашения ими персональных данных.

    Среди мер по внешней защите персональных данных следует выделить такие:

    • введение пропускного режима, порядка приема и учета посетителей;

    • внедрение технических средств охраны, программных средств защиты информации на электронных носителях и др.

    Несмотря на то что законом не установлены конкретные требования к количеству и содержанию локальных актов, принимаемых в организации по вопросам обработки и защиты персональных данных, практика реализации данного нормативного акта сформировала необходимый минимум документов, которые должны быть разработаны в компании:

    • общий документ, определяющий политику фирмы в отношении обработки персональных данных, например положение о персональных данных;

    •  список лиц, обрабатывающих персональные данные;

    • приказ о назначении сотрудника, ответственного за организацию обработки персональных данных.

    Указанное лицо должно осуществлять внутренний контроль за соблюдением компанией и ее работниками законодательства о персональных данных, в том числе требований к их защите, доводить до сведения персонала положения законодательства о персональных данных, локальных актов по вопросам их обработки, а также требования к защите таких данных, организовывать прием и обработку обращений и запросов субъектов персональных данных и (или) контролировать прием и обработку таких обращений и запросов;

    • положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

    В данном положении рекомендуется прописать конкретные меры по защите персональных данных (введение пропускного режима, применение программных средств защиты информации – паролей, антивирусных программ, хранение персональных данных обособленно от других сведений, на отдельных материальных носителях и в специально оборудованных помещениях с ограниченным доступом и т. д.);

    •  локальный акт, устанавливающий процедуры,направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений.

    Так, в компании могут быть разработаны план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, вестись журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных.

    Иные организационные и технические меры, направленные на защиту персональных данных

    Следует позаботиться также об организационных и технических мерах, предназначенных для защиты персональных данных. Вот как может выглядеть их список:

    • утверждение требований к помещению, где хранятся персональные данные.

    Следует иметь в виду, что законодательством они не установлены.

    Однако если исходить из имеющихся аналогичных законов, учитывать положения Трудового кодекса РФ, то во избежание несанкционированного доступа к персональным данным на бумажных носителях необходимо оборудовать помещение, где они хранятся, запирающимися шкафами.

    В локальном нормативном акте следует установить требования к помещению, где хранятся персональные данные, а также издать приказ об определении помещений, где обрабатываются персональные данные, и утвердить перечень лиц, имеющих допуск туда;

    • обеспечение программной защиты информационной системы организации.

    При использовании электронных систем обработки персональных данных необходимо учитывать требования по обеспечению безопасности таких данных, установленные в Положении об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных.

    В том числе следует ограничить доступ к определенным сведениям в информационных системах (например, установить пароли и т. д.).

    Целесообразно также ограничить доступ к электронным базам данных, содержащим персональные данные акционеров, двухуровневой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных. Пароли должны устанавливаться администратором баз данных и администратором сети соответственно и сообщаться индивидуально сотрудникам, имеющим доступ к персональным данным, при этом их следует как можно чаще (например, ежемесячно) менять;

    • ведение журнала учета работы с персональными данными. В целях соблюдения конфиденциального режима работы с персональными данными целесообразно вести журнал учета выдачи персональных данных другим лицам, организациям и государственным органам.

    В нем следует регистрировать поступающие запросы, а также фиксировать сведения о лице, направившем запрос, дате передачи персональных данных или факте уведомления об отказе в их предоставлении, а также отмечать, какая именно информация была передана.

    Передача персональных данных третьим лицам

    Поводов для передачи персональных данных третьим лицам может быть масса – заключение договоров дополнительного медицинского страхования, получение «зарплатных» банковских карт и т. д.

    Если организация большая – несколько тысяч работников, то получение с каждого из них согласия на обработку персональных данных может занять много времени. Да и сами работники от этого будут не в восторге.

    Таким образом, возникает вопрос: можно ли заранее решить эту проблему, включив данный пункт в трудовой договор?

    По своему опыту скажу, что собирать со всех согласие на передачу данных в любом случае придется. В трудовой договор, конечно, можно включить соответствующий пункт, но все равно необходимо будет выполнить требование о получении согласия работника. Причем проще будет оформить это согласие отдельно.

    Сделайте коллективный договор с работниками и перечислите там всех тех третьих лиц, которым будут передаваться персональные данные, указав их наименование, адрес, цель передачи им данных, включив перечень их возможных действий с персональными данными и обозначив срок, в течение которого они будут обрабатывать эти данные. Все работники распишутся – и дело будет закрыто.

    Какие контрольные органы вправе затребовать персональные данные

    Суды и другие правоохранительные органы могут беспрепятственно получать от компаний персональные данные сотрудников, клиентов или контрагентов без согласия последних. Но ответ на вопрос о том, имеют ли аналогичные права другие контролирующие структуры и какие именно, приходится искать не только в законах, но и в судебной практике.

    Источник: https://hr-portal.ru/article/mery-po-zashchite-personalnyh-danyh-sotrudnikov

    Персональные данные: инструкция по применению, судебная практика

    Защита персональных данных в банке

    Каждый год Роскомнадзор публикует свою статистику по жалобам о неправомерном использовании персональных данных граждан. Уже не первый год банки являются лидерами данного рейтинга. В начале этого года Роскомнадзор сообщил, что на долю банков приходится 14,2 тыс.

    жалоб граждан и значительно меньше жалоб на других операторов персональных данных. Видимо, для банков еще долго тема использования персональных данных будет актуальна.

    В данной статье рассмотрены изменения в законодательстве, связанном с персональными данными, а также даны инструкции оператору по правильному поведению, которые позволят не получить штрафы

    В феврале 2021 года были приняты поправки в ст. 13.11 КоАП РФ, а именно:

    – изменился максимально возможный размер штрафа с 10 тыс. рублей до 75 тыс. рублей. Следует обратить внимание на то, что размер штрафа указан за одно нарушение, если при проверке Роскомнадзор найдет несколько нарушений, то юридическое лицо будет оштрафовано за каждое в отдельности;

    – изменилась сама процедура привлечения к административному наказанию, теперь Ромкомнадзору не нужно обращаться в Прокуратуру, функция привлечения к наказанию передана ему.

    Чтобы не получать ненужные штрафы, нужно правильно организовать в компании обработку персональных данных.

    Не стоит забывать, что в случае судебного спора с организации могут быть взысканы судебные расходы и денежные средства за причиненный моральный вред.

    В соответствии со ст. 3 Федерального закона от 27.07.

    2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных) обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    Обязанности оператора можно разделить на два вида: • выполняемые при любом положении; • выполняемые при определенных обстоятельствах (либо имеются исключения).

    Выполняемые при любом положении Выполняемые при определенных обстоятельствах
    1. Соблюдение принципов обработки персональных данных (ст. 5 Закона о персональных данных)1. Уведомляем уполномоченный орган о намерении осуществлять обработку персональных данных (ч. 1 ст. 22 Закона о персональных данных), но есть исключения, которые перечислены в ч. 2 указанной статьи: обрабатываемые в соответствии с трудовым законодательством; полученные оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не будут распространяться и будут использованы только в рамках заключенного договора; относящиеся к членам (участникам) общественного объединения или религиозной организации и обрабатываемые соответствующими общественным объединением, не распространяемые без согласия субъекта персональных данных; сделанные субъектом персональных данных общедоступными; включающие в себя только фамилии, имена и отчества субъектов персональных данных и др.
    2. Обработка данных, только в случаях, прямо предусмотренных Законом2. Предоставление доступа владельцу к его персональным данным (ст. 14 Закона о персональных данных)
    3. Защита полученных персональных данных3. По требованию владельца произвести следующие действия с персональными данными:

    • уточнить;
    • уничтожить;
    • блокировать
    4. Обработка персональных данных на российских серверах4. Оператор персональных данных обязан уведомить / получить согласие владельцев биометрических персональных данных о том, что он производит фото- или видеосъемку. Из разъяснений Роскомнадзора становится понятным, что достаточно повесить предупреждающие таблички
    5. Должно быть назначено ответственное лицо
    6. Публикуем политику в отношении персональных данных

    Согласно положениям Закона о персональных данных, оператор обязан получить согласие от их владельца.

    Я бы разделила субъектов персональных данных на две группы: сотрудники и все остальные.

    Согласие может быть получено в виде отдельного документа либо в электронном виде, если действия происходят на сайте.

    Так, Ростовским областным судом было рассмотрено дело по иску о предоставлении информации и взыскании морального вреда.

    Обстоятельства дела: истец получил кредитную карту в банке, далее банк сделал переуступку прав требования, новый банк направил истцу уведомление о необходимости явиться в офис банка для подписания документов, Истца смутило, что банк от него не получил согласия на обработку персональных данных, в связи с чем истец направил в банк заявление о предоставлении ему информации, связанной с его персональными данными. Банк от удовлетворения требований истца уберегло грамотно составленное согласие на обработку персональных данных, в котором было указано, что одной из целей обработки является сбор задолженности в случае передачи банком третьим лицам функций и (или) полномочий по обслуживанию кредита и сбору задолженности на основании заключаемых банком договоров с данными лицами.

    Работодатель не всегда обязан получать согласие своих работников на обработку персональных данных, а только в том случае, если он планирует:

    • обрабатывать биометрические персональные данные;

    • использовать полиграф;

    • передать данные третьим лицам;

    • запросить данные у третьих лиц;

    • поручить обработку персональных данных аутсорсеру;

    • передать данные в банк, чтобы оформить зарплатную карту;

    • передать данные за границу;

    • обрабатывать специальные категории персональных данных.

    Обезличиваем персональные данные

    Согласно п. 9 ст. 3 Закона о персональных данных, обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

    В случаях когда оператор достигает цели обработки или им потерян интерес к целям, Закон предоставляет оператору право выбора: обезличить или уничтожить персональные данные.

    Чтобы обезличить персональные данные оператор выбирает один из методов, указанных в Приказе Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных»:

    • метод введения идентификаторов — замена части сведений (значений персональных данных) идентификаторами с созданием таблицы;

    • метод изменения состава или семантики;

    • метод декомпозиции;

    • метод перемешивания.

    Обратите внимание, что данные методы установлены для государственных органов, для коммерческой организации они необязательны и в компании могут применяться другие.

    Конечно, каждому оператору проще было бы просто уничтожать ненужные данные, но есть случаи, когда это невозможно, работодателям нельзя уничтожать большую часть кадровой документации, так как для нее установлен срок хранения.

    Другие же операторы обезличивают персональные данные, когда в этом есть необходимость, например медицинской организации для статистики.

    Уничтожаем персональные данные

    Самый простой способ избавиться от ненужных персональных данных — уничтожить их.

    Согласно п. 8 ст. 3 Закона о персональных данных, уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

    Законом установлены случаи, когда оператор обязан уничтожить персональные данные:

    1. Владелец персональных данных требует уничтожить их (ч. 3 ст. 20 Закона о персональных данных). Срок уничтожения — семь рабочих дней с момента поступления требования.

    Так, Нижегородским областным судом было рассмотрено дело о неправомерном использовании персональных данных по иску об уничтожении персональных данных и взысканию морального вреда.

    Обстоятельства дела таковы: между ответчиком и третьим лицом было заключено соглашение о предоставлении овердрафта, впоследствии у третьего лица по данному соглашению образовалась просроченная задолженность.

    Истец, являющийся адвокатом, в рамках оказания юридических услуг обратился со своего телефонного номера к ответчику для получения информации по задолженности, но в последующем на телефонный номер истца стали неоднократно поступать звонки по вопросу погашения задолженности.

    Суд удовлетворил требования ответчика в полном объеме, обязал банк уничтожить персональные данные в течение 10 дней с момента вступления решения в силу (Апелляционное определение Нижегородского областного суда от 11.10.2021 по делу № 33-12355/2021).

    Еще одно дело было рассмотрено Новосибирским областным судом по иску о признании кредитного договора незаключенным, уничтожении персональных данных, взыскании морального вреда и судебных расходов.

    Обстоятельства дела: истец пришла в магазин бытовой техники, где намеревалась купить товар в кредит, обратилась к кредитному менеджеру, предоставила все необходимые документы, менеджер внес в базу данные истца.

    Истец, не дождавшись ответа из банка, отказалась от заключения договора, но с того времени ей постоянно поступают звонки из банка с требованием погасить задолженность по кредиту.

    Суд удовлетворил требования истца, установив, что у банка не было законных оснований на обработку персональных данных истца (Апелляционное определение Новосибирского областного суда от 18.07.2021 по делу № 33-6839/2021).

    2. Оператор самостоятельно обнаружил, что неправомерно обрабатывает персональные данные (ч. 3 ст. 21 Закона о персональных данных). Срок уничтожения — 10 рабочих дней с момента выявления оператором такого нарушения;

    3. Достигнуты цели обработки персональных данных (ч. 4 ст. 21 Закона о персональных данных). Срок уничтожения — 30 дней с момента достижения цели;

    4. Владелец персональных данных отзывает согласие на обработку его персональных данных (ч. 5 ст. 21 Закона о персональных данных). Срок уничтожения — 30 дней с момента поступления отзыва, если для целей обработки данные больше не нужно сохранять.

    Исключение: если достигнуты цели обработки или владелец персональных данных отзывает их, оператор имеет право не уничтожать данные, если иное предусмотрено в заключенном сторонами договоре/соглашении либо оператором осуществляется обработка персональных данных на законных основаниях без согласия субъекта персональных данных.

    Чтобы уничтожить персональные данные, нужно создать комиссию по уничтожению персональных данных и утвердить акт об уничтожении персональных данных.

    В заключение хотелось бы сказать, что принцип, который позволит сэкономить на штрафах и иных расходах, прописан в ст. 6 Закона о персональных данных, а именно: обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных указанным Федеральным законом.

    Источник: https://bosfera.ru/bo/personalnye-dannye-instrukciya-po-primeneniyu-sudebnaya-praktika

    Защита персональных данных в банках | Особенности защиты персональных данных в банковской сфере

    Защита персональных данных в банке

    Заключая договор на банковское обслуживание или оформляя кредит, клиент финансового учреждения предоставляет ему для обработки существенный массив своих персональных данных – от имени и реквизитов паспорта до сведений о недвижимости и семейном положении. Не всегда при этом он подписывает согласие на их обработку. Насколько защищены его права, и существует ли ответственность кредитных учреждений за неправомерную обработку персональных данных или передачу их третьим лицам?

    Правила защиты персональных данных в банках

    Степень успешности банковского бизнеса зависит во многом и от умения учреждения хранить банковскую тайну.

    Персональные данные клиентов имеют иной режим конфиденциальности, при их защите используются другие методы правового регулирования, но организационные и технические меры, применяемые для защиты обоих массивов данных, могут быть идентичными. Разница состоит лишь в том, что стандарты защиты устанавливаются:

    • для персональных данных – требованиями ФСТЭК России;
    • для банковой тайны – инструкциями Центрального банка РФ.

    Строгие требования побуждают банки системно подходить к защите персональных данных, тем более что их утечка несет за собой риски для деловой репутации и судебных исков, связанных с возмещением ущерба, причиненного гражданину.

    В кредитном учреждении персональные данные граждан хранятся в следующих информационных системах:

    • в общей базе, обрабатывающей операции по счетам физических лиц (автоматизированной банковской системе, или АБС);
    • в модуле Клиент-Банк, других системах онлайн-доступа к счетам;
    • в системах, обеспечивающих перевод средств с банковской карты;
    • в бухгалтерских системах учета;
    • в кадровых системах (для персональных данных сотрудников банка).

    Кроме того, на материальных носителях их можно найти в кредитных досье, в которых содержатся договоры, заявления на получение кредита, сведения о залогах и поручителях.

    Информация, находящаяся на материальных носителях, наименее защищена от утечек, происходящих в случае неправомерных действий сотрудников.

    Система защиты персональных данных клиентов банка в этом случае должна строиться на базе контроля за действиями инсайдеров силами служб безопасности.

    Банки уже разработали технические системы защиты персональных данных, интегрированные с действующими в них информационными системами, обеспечивающими защиту сведений, относящихся к банковской тайне.

    Как показывает практика, внешние посягательства, хакерские атаки на банки больше нацелены на сведения, касающиеся счетов и вкладов, именно персональные данные интересуют преступников меньше.

    Но существует две группы рисков, о которых должен знать каждый доверяющий банку свои сведения:

    • инсайдерские риски – очень часто сведения добровольно передают своим знакомым или деловым партнерам рядовые сотрудники банков;
    • риски передачи персональных данных коллекторским агентствам при взыскании проблемной задолженности или уступке права требования.

    В первом случае ответственность понесет конкретный сотрудник, во втором наказать банк сможет только суд, но не во всех случаях.

    Нормативно-правовая документация, регулирующая защиту персональных данных в банках

    При разработке системы защиты персональных данных банки опираются на Федеральный закон «О персональных данных», Постановление Правительства № 1119, приказы ФСТЭК и ФСБ России.

    Но поскольку сведения хранятся в автоматизированной банковской системе, имеющей свои степени защиты, дополнительно работает система требований, устанавливаемых Стандартами Банка России, определяющими нормы обеспечения информационной безопасности организаций банковской системы РФ.

    Сейчас отношения в этой сфере регулируются шестью стандартами, каждый из которых освещает определенный вопрос безопасности, и дополнительно методическими рекомендациями, разработанными Ассоциацией российских банков (АРБ). Два стандарта посвящены непосредственно защите персональных данных в информационных системах банков и актуальной модели угроз.

    Стандарты определяют необходимость создания нескольких дополнительных подсистем защиты. Это подсистемы:

    • контроля доступа, идентификации и аутентификации;
    • регистрации и учета действий, совершаемых сотрудниками в отношении персональных данных, и инцидентов безопасности;
    • обеспечения целостности информационной базы персональных данных как ее ключевой характеристики;
    • межсетевой безопасности, исключающей доступ к данным пользователей, не имеющих на это специальных прав.

    В большинстве случаев системы, в которых обрабатывается банковская информация, не имеют самостоятельного доступа к сети Интернет. Но это не касается Клиент-Банка, модулей, обрабатывающих перевод денег на карты, и некоторых других баз данных. Если они имеют собственный выход в Сеть, дополнительно создаются подсистемы:

    • антивирусной безопасности;
    • выявления внешних вторжений;
    • анализа степени защищенности.

    Для распределенной системы дополнительно необходимо устанавливать криптографические средства для шифрования и защиты передаваемых персональных данных.

    Защита персональных данных при их передаче третьим лицам

    Судебные процессы по взысканию морального вреда в случае передачи банками персональных сведений граждан коллекторам уже появились в практике.

    В большинстве случаев суды встают на сторону банков, если кредитное учреждение оговорило в согласии на обработку персональных данных право на передачу информации третьим лицам. Но, с другой стороны, судебная практика утверждает, что перечень таких лиц должен быть строго определен.

    Клиент банка – субъект персональных данных – не всегда подписывает отдельное согласие на обработку данных, иногда нормы, предполагающие именно такие условия их обработки, предусмотрены в кредитном договоре.

    Если согласие как отдельный документ, оформление которого предусмотрено законом об обработке персональных данных, оформлено не было, у клиента остается возможность взыскать с кредитного учреждения не очень большие, обычно не превышающие 10 тысяч рублей суммы в виде компенсации морального ущерба.

    Правомерно и не вызывая каких-либо вопросов банк может передавать персональные данные клиентов:

    • Центральному банку РФ в целях контроля;
    • Росфинмониторингу для выполнения обязанностей, связанных с законодательством об отмывании денежных средств;
    • судебным приставам, налоговым и следственным органам по их запросам в случаях, прямо предусмотренных законодательством;
    • страховым компаниям, осуществляющим страхование рисков по кредитным договорам, если это предусмотрено предоставленным клиентом согласием.

    Во всех остальных случаях гражданин должен быть проинформирован, кому именно будут переданы его персональные данные для обработки или в иных целях, и выразить на это свое согласие.

    Заключая договор с банком, нужно крайне внимательно относиться к тем сведениям, которые ему передаются, тщательно изучать согласие на обработку персональных данных с точки зрения списка лиц, которым они могут быть переданы для обработки.

    Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-v-bankakh/

    Поделиться:
    Нет комментариев

      Добавить комментарий

      Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.