Банки как операторы персональных данных: "нетехническая" защита

Марина Прохорова, редактор журнала "Персональные данные"

Наталья Самойлова, юрист компании "ИнфоТехноПроект"

Нормативноправовая база, сложившаяся к настоящему времени в сфере обработки персональных данных, документы, которые еще предстоит принять для более эффективной организации работы по защите персональных данных в организациях, технические аспекты подготовки информационных систем операторов персональных данных - именно эти темы в последнее время затрагивались во многих газетных и журнальных публикациях, посвященных проблематике персональных данных. В данной статье хотелось бы остановиться на таком аспекте организации работы банковских и кредитных учреждений, как "нетехническая" защита обрабатываемых в этих организациях персональных данных

Начнем с конкретного примера

Речь идет о судебном рассмотрении дела о защите персональных данных, возбужденном в отношении Сбербанка в июне 2008 г. Суть судебного разбирательства сводилась к следующему. Между гражданином и банком был заключен договор поручительства, в соответствии с которым гражданин принял обязательство отвечать перед банком за исполнение заемщиком обязательств по кредитному договору. Последний не выполнил свои обязательства в установленный кредитным договором срок, сведения о поручителе как о неблагонадежном клиенте были занесены в автоматизированную информационную систему банка "Стоп-лист", что, в свою очередь, явилось основанием для отказа в предоставлении ему кредита. При этом банк даже не уведомил гражданина о ненадлежащем выполнении заемщиком своих обязательств по кредитному договору. Кроме того, в договоре поручительства не было указано, что в случае ненадлежащего выполнения заемщиком своих обязательств банк вправе вносить сведения о поручителе в информационную систему "Стоп-лист". Таким образом, банком осуществлялась обработка персональных данных гражданина путем включения сведений о нем в информационную систему "Стоп-лист" без его согласия, что нарушает требования ч. 1 ст. 9 Федерального закона № 152-ФЗ от 27 июля 2006 г. "О персональных данных", согласно которой субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе. Помимо этого в порядке, предусмотренном ч. 1 ст. 14 этого же закона, гражданин обращался в банк с требованием предоставить ему возможность ознакомления со сведениями, занесенными о нем в информационную систему "Стоп-лист", а также о блокировании этих сведений и их уничтожении. Банком было отказано в удовлетворении требований гражданина.

По результатам рассмотрения дела Ленинский районный суд г. Владивостока удовлетворил исковые требования Управления Роскомнадзора по Приморскому краю к Сбербанку России о защите нарушенных прав гражданина и обязал банк уничтожить сведения о гражданине из информационной системы "Стоп-лист"¹.

Чем этот пример показателен? Банки, храня персональные данные значительного числа своих клиентов, не задумываясь, перемещают их из одной базы данных в другую², причем чаще всего не ставя об этом в известность субъекта персональных данных, не говоря уже о том, чтобы получить у него согласие на такие действия с его персональными данными. Конечно, банковская деятельность имеет ряд особенностей, и часто персональные данные клиентов используются не только для выполнения заключаемых банком договоров, но и для осуществления контроля банка за исполнением клиентом его обязательств, но это значит, что на любые манипуляции с персональными данными уже требуется согласие их субъекта.

Затруднения в толковании положений

Почему же не сделать любые операции с персональными данными законными? Безусловно, для этого, скорее всего, потребуется привлечение сторонних специалистов, так как даже юристы правовых управлений крупных банков являются первоклассными профессионалами лишь в определенной области, и со спецификой работы в сфере персональных данных им приходится знакомиться практически с нуля. Так что наилучший выход - привлечение к работам по организации системы защиты персональных данных компаний, специализирующихся в области оказания услуг по организации работы с персональными данными, в том числе способных провести аудит на предмет соответствия предпринимаемых вами мер нетехнической защиты требованиям законодателя.

Результаты аналитических исследований позволяют сделать выводы о том, что толкование каких положений Федерального закона № 152-ФЗ "О персональных данных" вызывает наибольшие затруднения.

В соответствии с частью 1 статьи 22 данного нормативного документа оператор обязан уведомить уполномоченный орган об осуществлении обработки персональных данных. Среди исключений - случай, когда обрабатываемые персональные данные были получены в связи с заключением договора, стороной которого является субъект персональных данных... и используются оператором исключительно для исполнения указанного договора на основании пункта 2 части 2 статьи 22 Федерального закона № 152-ФЗ "О персональных данных". Оперируя именно этим положением, некоторые банки не подают уведомление об обработке персональных данных, а многие и не считают себя операторами, что в корне неверно.

Также еще одна распространенная ошибка банков, как операторов персональных данных, связанная с договором, заключается в следующем. Согласно ст. 6 вышеназванного закона обработка персональных данных может осуществляться оператором с согласия субъектов персональных данных за исключением случаев, среди которых осуществление обработки в целях исполнения договора, одной из сторон которого является субъект персональных данных. Поэтому многие банковские учреждения объясняют отсутствие у них согласия субъекта персональных данных именно фактом заключения такого договора.

Но давайте задумаемся, разве банк, являясь оператором, не использует полученные при заключении договора персональные данные субъекта, например, для рассылки уведомлений о новых услугах, для ведения "Стоп-листов"? Значит, обработка персональных данных осуществляется не только в целях исполнения договора, но и в иных целях, достижение которых представляет для банков коммерческий интерес, следовательно:

• банки обязаны подавать уведомление об обработке персональных данных в уполномоченный орган;
• банки должны осуществлять обработку персональных данных только с согласия субъекта.

А это значит, что банки должны организовать систему работы с персональными данными своих клиентов, то есть обеспечить нетехническую защиту таких данных.

Письменное согласие на обработку персональных данных

Что касается согласия субъекта персональных данных на обработку персональных данных, то Федеральный закон № 152-ФЗ "О персональных данных" обязывает операторов получать письменное согласие на обработку персональных данных только в определенных законом случаях. В то же время в соответствии с ч. 3 ст. 9 обязанность доказывать получение согласия субъекта на обработку его персональных данных возлагается на оператора. Чтобы при необходимости не тратить время на сбор таких доказательств (например, на поиск свидетелей), на наш взгляд, лучше в любом случае получать согласие от субъектов в письменной форме.

Приведем еще один аргумент за письменную форму обработки персональных данных. Зачастую деятельность банков предусматривает передачу данных (в том числе персональных) на территорию иностранного государства. По этому поводу ч. 1 ст. 12 Федерального закона № 152-ФЗ "О персональных данных" гласит, что до начала осуществления трансграничной передачи персональных данных оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных. Если такой защиты не обеспечивается, трансграничная передача персональных данных возможна только с письменного согласия субъекта персональных данных. Можно предположить, что сотруднику банка проще получить письменное согласие клиента на обработку персональных данных, чем устанавливать степень адекватности их защиты в иностранном государстве.

Обращаем ваше внимание на то, что сведения, которые должны содержаться в письменном согласии, перечислены в ч. 4 ст. 9 вышеупомянутого Федерального закона, и этот перечень исчерпывающий. А подпись под фразой, например, в кредитном договоре: "Я согласен на использование своих персональных данных", согласно Федеральному закону № 152-ФЗ "О персональных данных", согласием на их обработку не является!

Казалось бы, всего несколько пунктов закона, а сколько осложнений, вплоть до судебных тяжб, может вызвать их неправильное толкование. К тому же сегодня, когда персональные данные субъектов зачастую становятся товаром в конкурентной борьбе различных структур, успешное решение вопросов их защиты, обеспечение безопасности информационных систем банковских и кредитных учреждений становится залогом сохранения репутации, честного имени любой организации.

С каждым днем повышается информированность граждан о возможных негативных последствиях распространения их персональных данных, чему способствует появление профильных изданий. Есть и информационные ресурсы различных компаний. Одни из них в целом освещают весь широкий спектр вопросов, связанных с понятием "информационной безопасности", другие -посвящены обзорам мер и средств технической защиты, кто-то, наоборот, делает упор на проблемах, связанных с нетехнической защитой. Другими словами, информация по вопросам защиты персональных данных становится все более доступной, а значит, граждане, будут более подкованы в области защиты своих прав.