Разработанные к настоящему времени правовые нормы по обработке персональных данных, документы, которые еще предстоит принять, чтобы лучше структурировать защиту персональных данных в организациях, а также технические аспекты IT-систем контроллеров персональных данных — это темы, которые в последнее время освещаются во многих статьях в прессе и журналах по вопросам персональных данных. В этой статье мы остановимся на таком аспекте деятельности банков и кредитных организаций, как "нетехническая" защита обрабатываемых ими персональных данных.
Начнем с конкретного примера
Речь идет о судебном деле о защите данных, возбужденном против Сбербанка в июне 2008 года. Суть судебного разбирательства заключалась в следующем. Между гражданином и банком был заключен договор поручительства, по которому гражданин обязался отвечать перед банком за исполнение заемщиком своих обязательств по кредитному договору. Последний не выполнил свои обязательства в сроки, предусмотренные кредитным договором, и информация о поручителе как о ненадежном клиенте была внесена в автоматизированную информационную систему банка "Стоп-лист", что в свою очередь послужило основанием для отказа ему в кредитовании. Банк даже не уведомил гражданина о невыполнении заемщиком своих обязательств по кредитному договору. Кроме того, договор поручительства не содержал положения о том, что банк имеет право внести информацию о поручителе в информационную систему "Стопклатка", если заемщик не исполняет свои обязательства надлежащим образом. Таким образом, банк обработал персональные данные гражданина путем размещения информации о нем в информационной системе "Стоп-лист" без его согласия, в нарушение части 1 статьи 9 Федерального закона № 152-ФЗ от 27 июля 2006 года "О персональных данных". "О персональных данных", согласно которому субъект данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку по собственной воле и в своем интересе. Кроме того, в порядке, установленном в статье 14(1) того же Закона. В соответствии со статьей 14 (1) того же Закона гражданин обратился в банк с просьбой разрешить ему ознакомиться с информацией о нем, занесенной в компьютерную систему стоп-листа, а также заблокировать эту информацию и уничтожить ее. Банк отказался удовлетворить требования гражданина.
В результате Лениновский районный суд Владивостока удовлетворил исковые требования Управления Роскомнадзора по Приморскому краю к Сбербанку России о защите прав гражданина и обязал банк уничтожить информацию о гражданине из информационной системы "Стоп-лист "1 .
Каким образом этот пример является показательным? Банки, владеющие персональными данными значительного числа своих клиентов, без колебаний переносят их из одной базы данных в другую2 , чаще всего не информируя субъекта персональных данных, не говоря уже о получении его согласия на такие действия с его персональными данными. Конечно, банковский бизнес имеет много особенностей, и зачастую персональные данные клиентов используются не только для исполнения заключенных банком договоров, но и для контроля за исполнением обязательств клиента, но это означает, что любая манипуляция с персональными данными уже требует согласия субъекта данных.
Обработка персональных данных с 01.09.2022 / Уведомление в РОСКОМНАДЗОР / Штрафы
Затруднения в толковании положений
Так почему бы не сделать все операции с персональными данными законными? Конечно, для этого, скорее всего, потребуется привлечение внешних экспертов, поскольку даже юристы в юридических отделах крупных банков являются лишь специалистами высокого уровня в данной области, а при специфике работы в сфере персональных данных им приходится учиться практически с нуля. Поэтому лучшим решением является привлечение компаний, которые специализируются на организации системы защиты персональных данных, включая возможность проведения аудита соответствия ваших нетехнических мер по защите персональных данных требованиям законодательства.
Результаты аналитического исследования позволяют сделать выводы о том, какие положения Федерального закона № 152-ФЗ "О персональных данных" являются наиболее сложными для толкования.
Новые требования к обработке персональных данных
Согласно части 1, статье 22 данного нормативного документа, контроллер данных должен уведомить компетентный орган об обработке персональных данных. Исключения — включают случай, когда обрабатываемые персональные данные были получены в связи с заключением договора, стороной которого является субъект персональных данных, и используются оператором исключительно в целях исполнения этого договора на основании статьи 22(2) Федерального закона № 152-ФЗ "О персональных данных". Исходя именно из этого положения, некоторые банки не подают уведомление об обработке персональных данных, а многие из них даже не считают себя операторами, что в корне неверно.
Еще одна распространенная ошибка, которую допускают банки как операторы персональных данных, связанных с договорами. Согласно статье 6 вышеуказанного закона, персональные данные могут обрабатываться оператором с согласия субъектов данных, за исключением случаев, когда обработка осуществляется для исполнения договора, одной из сторон которого является субъект данных. Поэтому многие банковские учреждения объясняют отсутствие согласия субъекта персональных данных тем, что такой договор был подписан.
Но давайте подумаем, не будет ли банк как оператор использовать персональные данные субъекта, собранные при заключении договора, например, для отправки уведомлений о новых услугах, для ведения "стоп-листа"? Таким образом, обработка персональных данных осуществляется не только для целей договора, но и для других целей, достижение которых отвечает коммерческим интересам банков, а именно:
- Банки обязаны уведомлять компетентный орган об обработке персональных данных;
- Банки должны обрабатывать персональные данные только с согласия субъекта данных.
Это означает, что банки должны организовать систему работы с персональными данными своих клиентов, то есть обеспечить нетехническую защиту таких данных.
Письменное согласие на обработку персональных данных
Что касается согласия субъекта данных на обработку его персональных данных, Федеральный закон № 152-ФЗ "О персональных данных" предусматривает, что операторы могут получить письменное согласие на обработку персональных данных только в случаях, предусмотренных законом. В то же время, в соответствии с частью 3 статьи 9, бремя доказывания того, что субъект дал согласие на обработку своих персональных данных, лежит на операторе. Чтобы избежать необходимости тратить время на сбор таких доказательств (например, на поиск свидетелей), по нашему мнению, было бы лучше в каждом случае получать письменное согласие испытуемых.
Вот еще один аргумент в пользу письменной формы обработки персональных данных. Часто банковская деятельность связана с передачей данных (включая персональные данные) в иностранное государство. В связи с этим, статья 12(1) Федерального закона № 152-ФЗ "О персональных данных" гласит, что перед началом трансграничной передачи персональных данных, оператор данных должен убедиться, что иностранное государство, на территории которого осуществляется передача персональных данных, обеспечивает адекватную защиту прав субъектов данных. Если такая защита не обеспечена, трансграничная передача персональных данных возможна только с письменного согласия субъекта данных. Можно предположить, что сотруднику банка проще получить письменное согласие клиента на обработку персональных данных, чем установить степень адекватности защиты в иностранном государстве.
Обратите внимание, что информация, которая должна быть включена в письменное согласие, перечислена в части 4 статьи 9 вышеупомянутого Федерального закона, и этот перечень является исчерпывающим. Подписать приговор, например: "Я даю согласие на использование моих персональных данных" в соответствии с Федеральным законом № 152-ФЗ "О персональных данных" не является согласием на обработку персональных данных!
Казалось бы, всего несколько параграфов закона, но сколько осложнений, вплоть до судебных разбирательств, может возникнуть из-за их неправильного толкования. Более того, сегодня, когда персональные данные физических лиц часто становятся товаром в конкурентной борьбе между различными структурами, эффективное решение проблемы их защиты, обеспечение безопасности ИТ-систем банков и кредитных организаций является залогом сохранения репутации и доброго имени любой организации.
Осведомленность граждан о возможных негативных последствиях распространения их персональных данных растет с каждым днем, чему способствует появление специализированных изданий. Есть также информационные ресурсы от различных компаний. Некоторые из них в целом охватывают широкий круг вопросов, связанных с термином "информационная безопасность", в то время как другие посвящены техническим мерам и средствам обеспечения безопасности. Другими словами, информация по вопросам защиты данных становится более доступной, а это значит, что граждане будут лучше информированы о том, как защитить свои права.
