НЕПРИКАСАЕМЫХ НЕТ
Обеспечение контроля и надзора за соответствием обработки персональных данных требованиям № 152-ФЗ «О персональных данных» регламентировано п.1 ст.23 настоящего федерального закона, а также п. 1 Положения о Федеральной службе по надзору в сфере связи и массовых коммуникаций, утвержденного постановлением Правительства Российской Федерации № 228 от 16 марта 2009 года. Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций.
Проверки показали, что, несмотря на общую положительную динамику, количество кредитных организаций, зарегистрированных в реестре операторов Роскомнадзора, не превышает 60% от их общей численности. На сегодняшний день в реестр включено лишь 509 банков. Сложившееся положение, с точки зрения регулятора, недопустимо.
Одна из главных причин – в ошибочном мнении, которое укоренилось в банковской среде: будто бы отсутствие оператора в реестре исключает возможность проведения в них проверок в области защиты персональных данных. Поэтому многие банки пока предпочитают занимать в этом вопросе выжидательную позицию.
Выборочный анализ материалов проверок выявил основные типы нарушений, допускаемых кредитными организациями. В первую очередь – обработку персональных данных без соответствующего согласия субъекта персональных данных. Второе – предоставление неполных или недостоверных сведений, содержащихся в уведомлении, которое направляется в уполномоченный орган.
Кроме того, широко распространены нарушения конфиденциальности при обработке персональных данных. Неоднократно выявлялись случаи обработки сведений о судимостях и персональных данных близких родственников клиента. Часто встречается несоответствие содержания письменного согласия субъекта персональных данных требованиям ч. 4 ст. 9 ФЗ-152.
НАРУШИТЕЛИ-ЧЕМПИОНЫ
Наибольшее число предписаний об устранении выявленных нарушений было выдано ОАО «Коммерческий Банк «Русский Южный Банк», ООО «Хакасский муниципальный банк», ООО «Коммерческий банк «Объединенный банк Республики»» в Чувашии, ООО «Промышленный сельскохозяйственный банк» и ОАО «Промышленный энергетический банк». Следует отметить, что типовые нарушения, допускавшиеся кредитными организациями в 2010 году, полностью идентичны тем, что были зафиксированы годом ранее.
Но, вместе с тем, в сфере соблюдения законодательства, регламентирующего охрану персональных данных в банковском секторе, Роскомнадзором в прошлом году отмечены и многочисленные положительные моменты. Так, если в 2009 году, по итогам проверок, нарушения законодательства в области персональных данных были выявлены регулятором в 63% случаев, то в 2010 году – только в 45% случаев. Государственными инспекторами Роскомнадзора в 2010 году банкам было выдано 48 предписаний – 2,5% общего количества банков, в то время как 2009 году доля банков, которым были выданы предписания, достигала 12%.
В связи с особой актуальностью проблематики защиты прав субъектов персональных данных руководство Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций считает необходимым, чтобы кредитные организации предпринимали действенные меры для пресечения выявленных нарушений и недопущения их в дальнейшем.
Отдельной областью, которая привлекает пристальное внимание регулятора, является работа коммерческих банков в сфере продвижения своих товаров и услуг. Итоги контрольно-надзорной деятельности и результаты рассмотрения обращений граждан показывают: банки активно занимаются продвижением и рекламой своих продуктов как самостоятельно, так и с помощью рекламных агентств. Но при этом зачастую частично или полностью не соблюдают нормы законов в отношении защиты персональных данных.
ПРИНУДИТЕЛЬНАЯ РЕКЛАМА
Наиболее типичное нарушение – рассылка рекламных материалов банков без предварительного согласия субъектов персональных данных. Самые серьезные проблемы возникают при привлечении третьих лиц и структур, которые используют базы персональных данных граждан, происхождение и правомерность использования которых вызывает обоснованные сомнения.
О том, что защита прав субъектов персональных данных – чрезвычайно актуальная задача, свидетельствует и статистика рассмотрения результатов обращений граждан по вопросам нарушения их прав и законных интересов в качестве субъектов персональных данных. Так, в 2010 году отмечен рост числа жалоб со стороны физических лиц на действия кредитных организаций. В минувшем году в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций поступило от населения 225 жалоб – почти в три раза больше количества жалоб, поданных годом ранее.
Чаще всего граждане указывали на неправомочные действия банка ЗАО «Тинькофф Кредитные Системы» – 38 жалоб. На действия банка ЗАО «Русский стандарт» жаловались в прошлом году 32 раза. В отношении OOO«Хоум Кредит энд Финанс Банк» за тот же период зафиксировано 25 обращений. Замыкает список кредитных организаций, позволяющих себе чересчур вольно обращаться с персональными данными граждан, банк «Ренессанс Капитал», на который за прошлый год пожаловались 15 раз.
Жалобы касались в первую очередь незаконной передачи персональных данных клиентов третьим лицам, а также продвижения продуктов и услуг без предварительного согласия заявителей. В большинстве случаев факты, изложенные в заявлениях граждан, были подтверждены проверками.
Примечательно, что под незаконные действия попал даже сотрудник Роскомнадзора, которому в феврале вечером выходного дня позвонили из банка «Хоум Кредит…» с предложением воспользоваться услугами банка и принять участие в его акциях. При этом никаких договорных отношений у него с этим банком не было. А по закону обработка персональных данных с целью продвижения услуг и распространения рекламы без предварительного согласия их субъекта недопустима, то есть имело место вопиющее нарушение 152-ФЗ.
К ОТРАСЛЕВЫМ СТАНДАРТАМ
В минувшем году органы государственной власти и представители операторского сообщества приложили немало усилий для выработки предложений по совершенствованию и гармонизации действующего законодательства в области защиты персональных данных. Согласование усилий велось в рамках межведомственной рабочей группы при Министерстве связи и массовых коммуникаций РФ. Итогом деятельности группы стал целый ряд предложений, учтённых в поправках, которые внесены Правительством России в Государственную Думу РФ.
Главным результатом совместной работы Роскомнадзора, Банка России, Ассоциации российских банков и других общественных организаций, представляющих интересы банковского сообщества, стала разработка нового стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации». Он учитывает все текущие требования законодательства, предъявляемые к деятельности по обработке персональных данных.
В короткий срок новые требования были успешно согласованы всеми регуляторами, и сегодня большинство проблем, связанных с реализацией этого отраслевого стандарта, эффективно решаются профессиональным сообществом. Большинство, но не все. Для того, чтобы стандарт соблюдался всеми участниками рынка в полной мере, необходимо разработать и принять ряд дополнительных документов. В банковском сообществе это понимают, что было подтверждено в ходе рабочей встречи, организованной Роскомнадзором.
Положительную роль во внедрении стандарта информационной безопасности банковской системы должна сыграть и создаваемая ныне отраслевая саморегулируемая организация – СРО. Регуляторов не может не радовать, что уже обсуждаются практические аспекты функционирования этой СРО. Её деятельность, несомненно, будет действенным подспорьем обеспечения защиты и конфиденциальности персональных данных при обработке кредитными организациями в соответствии с Федеральным законом №152-ФЗ «О персональных данных».
ОТКАЗ НЕДОПУСТИМ
Ст. 22 ФЗ-152 обязывает операторов уведомить уполномоченный орган по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных ещё до начала их обработки. Также, согласно ч.4 ст.25, операторы обязаны направить в уполномоченный орган по защите прав субъектов персональных данных уведомление об обработке персональных данных.
Законом установлена стандартная форма уведомлений об обработке либо намерении осуществлять обработку персональных данных, определены содержание и перечень обязательных полей, предназначенных для заполнения, а также рекомендации по их заполнению. В соответствии с законодательством Российской Федерации заполненные уведомления должны направляться в письменной форме, с подписью уполномоченного лица, или в электронной форме с электронной цифровой подписью.
На 10 февраля 2011 года в Роскомнадзор поступило 77 уведомлений от кредитных организаций о принятии стандарта информационной безопасности Банка России. Кредитные организации, которые только собираются принять СТО БР ИББС, должны направлять свои уведомления в центральный аппарат Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, а не в территориальные управления регулятора.
Уведомление кредитными организациями Роскомнадзора о начале деятельности по обработке персональных данных – одно из основных требований стандарта Банка России. Вместе с тем, как показали результаты выборочного анализа, 24 банка, заявившие о своем присоединении к стандарту ЦБ, не сочли нужным выполнить это требование. Более того, такие организации, как ООО «Ю Би Эс Банк» – российская «дочка» UBSAG, а также ОАО «Флексинвест Банк» ответили отказом на запрос Роскомнадзора о предоставлении такого уведомления. Подобные действия категорически недопустимы и неминуемо повлекут за собой привлечение нарушителей к установленной законом ответственности.
НАДЁЖНАЯ ЗАЩИТА
Законодательство Российской Федерации в области персональных данных предоставляет гражданину достаточно широкие права для защиты своих прав. Так, гражданин может самостоятельно защитить свои интересы, обратившись напрямую к оператору с требованием устранить нарушения, связанные с обработкой его персональных данных. Также есть возможность обращения в суд в порядке, предусмотренном гражданским процессуальным законодательством.
Но, как показывает практика, за защитой и восстановлением нарушенных прав наши граждане, в подавляющем большинстве случаев, предпочитают обращаться именно в Роскомнадзор. Считаю, что это и есть высшая оценка результата нашей работы и главное подтверждение тому, что уполномоченный орган по защите прав субъектов персональных данных в Российской Федерации сегодня обладает всеми необходимыми ресурсами для защиты прав и законных интересов субъектов персональных данных и выполняет эту работу эффективно.
.jpg)