НОВОЕ В ЗАКОНОДАТЕЛЬСТВЕ
Обновления законодательства существенно изменили нормы государственного контрольного надзора, требования к мерам обеспечения безопасности персональных данных при их обработке, соотношению прав и обязанностей оператора, его взаимоотношениям с субъектами персональных данных. Новая редакция закона разграничила полномочия Роскомнадзора, ФСБ России и ФСТЭК России по осуществлению государственного контроля операторов государственных и негосударственных информационных систем персональных данных.
Был определён перечень мер по обеспечению безопасности, полномочия Правительства России по установлению уровня защищённости персональных данных при их обработке в информационных системах персональных данных, требования к их защите, а так же к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем. В соответствии со ст. 12 закона Роскомнадзор наделён новым полномочием – утверждать перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы по защите физических лиц при автоматизированной обработке персональных данных, но обеспечивающих адекватную защиту прав субъектов персональных данных.
Внесённые в закон изменения привели к необходимости переработать существующие подзаконные нормативные правовые акты и разработать ряд новых. Так, приказом Минкомсвязи России № 312 от 14 ноября 2011 года был утверждён административный регламент проведения Роскомнадзором проверок при осуществлении федерального государственного контроля и надзора за соответствием обработки персональных данных требованиям, предъявляемых законодательством. Регламент прошёл все необходимые процедуры согласования и был зарегистрирован в Министерстве юстиции 13 декабря. В марте 2012 года он вступил в силу и служит руководством к действию.
Согласно требованиям регламента, учитывающим разграничение полномочий контрольных органов, к проведению проверок операторов негосударственных информационных систем Роскомнадзор будет привлекать операторов экспертов и экспертных организаций, аккредитованных в установленном порядке.
Участвовать в этом процессе приглашаются все заинтересованные лица, порядок аккредитации установлен постановлением Правительства России № 689 от 20 августа 2009 года. Процесс аккредитации уже начат, аккредитованы 6 организаций и 12 граждан. Списки аккредитованных экспертов и экспертных организаций размещены на интернет-портале Роскомнадзора в разделе «Персональные данные» по адресу: http://www.rsoc.ru/personal-data/p415.
В рамках работы по совершенствованию нормативной базы проходит процедуру согласования подготовленный Роскомнадзором проект постановления Правительства России «Об утверждении положения о государственном контроле и надзоре в области защиты персональных данных». После его принятия можно будет с уверенностью говорить о завершении очередного серьёзного этапа выстраивания системы нормативно-правового обеспечения контрольно-надзорной деятельности в области защиты персональных данных.
НАРУШЕНИЙ СТАЛО МЕНЬШЕ
Следует отдельно остановиться на вопросе применимости в настоящий момент комплекса документов Банка России в области стандартизации обеспечения информационной безопасности организаций банковской системы. Ещё в ноябре 2011 года Роскомнадзор ответил на обращение Банка России о возможности применения так называемого «письма шестерых» после принятия последних поправок Закона «О персональных данных».
Роскомнадзор считает возможным применение ранее согласованных стандартов Банка России в части, не противоречащей Закону в его новой редакции, настаивая на скорейшей доработке стандартов с учётом новых норм действующего законодательства. Мы выразили готовность, как и всегда, идти навстречу банковскому сообществу и в кратчайшие сроки рассмотреть эти изменения.
Итогами контрольно-надзорной деятельности Роскомнадзора в 2011 году стали 189 проверок организаций банковской системы. По их результатам на рассмотрение в суды были направлены 36 протоколов об административных правонарушениях, а должностным лицам выдали 125 предписаний об устранении выявленных нарушений.
Плановые и внеплановые проверки показали, что общий уровень нарушений, выявленных банковскими организациями, по сравнению с 2010 годом снизился с 61 до 48 %. Эта положительная тенденция во многом является результатом нашей совместной работы. Однако, несмотря на положительные тенденции, объём выявленных нарушений в деятельности банковских систем остаётся достаточно высоким.
Выборочный анализ материалов проверок дает основания утверждать, что банковские организации чаще всего допускают нарушения требований конфиденциальности, установленные ст. 7 Закона «О персональных данных». А именно передают без соответствующего согласия субъектов их персональные данные третьим лицам. Отсутствие утверждённого перечня лиц, осуществляющих обработку либо имеющих доступ к персональным данным, не соответствует требованию пункта 13 Постановления Правительства России № 687 от 15 сентября 2008 года «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
ВЫБИРАТЬ ПРОВЕРЕННЫХ ПАРТНЕРОВ
Придется отдельно остановиться на нарушениях, встречающихся при продвижении услуг и продуктов организаций банковской системы. В первую очередь – при привлечении банками третьих лиц для оказания услуг по рассылке материалов рекламного характера. Зачастую привлекаемые организации располагают базами персональных данных, собранными с нарушением действующего законодательства – без согласия субъекта персональных данных на получение рекламных рассылок.
Примером может служить ход рассмотрения обращения граждан по фактам получения рассылки информационных материалов рекламного характера одного из известных банков. Было установлено, что рассылку осуществляет некое ООО «Информбюро», оно же ООО «Дата менеджмент», располагающее информационной базой, содержащей персональные данные граждан. При заключении договора с банком эта организация декларировала правомерность существования базы персональных данных.
Однако в результате проведённой Роскомнадзором проверки было установлено обратное: обработка персональных данных для осуществления рекламной рассылки осуществлялась без согласия граждан. Банк не в полной мере обеспечил конфиденциальность обрабатываемой персональной информации, поданное в Роскомнадзор уведомление об обработке персональных данных не соответствовало действительности. По указанным фактам было выдано предписание устранить выявленные нарушения. Соответствующие материалы были направлены в органы прокуратуры для принятия мер прокурорского реагирования.
Представителям банковских организаций нужно более тщательно выбирать партнёров для продвижения продукции услуг посредством информационно-рекламной деятельности. Лучше предварительно убедиться, что привлекаемая организация отвечает предъявляемым требованиям – как минимум, имеет согласие клиентов, обеспечивает надёжную защиту их персональной информации и ведёт обработку персональных данных в соответствии с действующим законодательством.
САМООЦЕНКЕ СЛЕДУЕТ СООТВЕТСТВОВАТЬ
По-прежнему актуальна проблема обработки персональных данных организациями банковской системы без надлежащего уведомления Роскомнадзора. Более 30 % организаций банковской системы, осуществляющих подобную деятельность, до сих пор не предоставили соответствующее уведомление в Роскомнадзор.
Остро стоит вопрос об исполнении этого требования Федерального закона «О персональных данных» банковскими организациями, принявшими стандарт Банка России. В предоставленном Банком России списке организаций банковской системы, принявших отраслевой стандарт, оказалось 72, в нарушение требований стандарта не представивших в Роскомнадзор уведомления об обработке персональных данных.
Такое положение дел недопустимо: организация, приняв стандарт и дав высокую самооценку соответствия его требованиям, должна их неукоснительно соблюдать, в том числе в части, касающейся защиты персональных данных. Сводные данные итогов контрольно-надзорной деятельности Роскомнадзора в 2011 году с подробным анализом и конкретными примерами банков-нарушителей будут направлены в Банк России.
В 2011 году Роскомнадзором был отмечен рост количества обращений граждан с жалобами на действия банков. Поступило 359 жалоб, почти на 30 % больше по сравнению с предшествующим 2010 годом. Виды нарушений практически не изменились: это передача, без согласия субъектов персональных данных, их личной информации в коллекторские агентства, рассылка рекламных писем и телефонные звонки с предложениями услуг банка, телефонные звонки с целью розыска третьих лиц, рассылка уведомлений о задолженности в открытом, доступном третьим лицам виде.
В ходе рассмотрения обращений граждан по фактам возможного нарушения их прав Роскомнадзор направляет в банки соответствующие запросы о предоставлении сведений, подтверждающих соблюдение банком требований Закона «О персональных данных». В том числе – о наличии согласия субъектов персональных данных на передачу этой информации третьим лицам, договоров на оказание услуг по взысканию задолженности, а также сведений о мерах, принимаемых для обеспечения информационной безопасности и конфиденциальности.
Следует отметить, что обоснованными являются только 35% от общего количества жалоб по тематике защиты персональных данных. Среди остальных попадаются и такие: «Я взял у банка денег, а отдать не могу. Обяжите их удалить мои данные, потому что возвращать им долг я не собираюсь». Понятно, что такие жалобы не станут поводом для наказания банка. Нельзя, прикрываясь законом «О персональных данных», пытаться не соблюдать другие законодательные акты, в данном случае обязывающие возвращать кредит.
ЗА ПРЕДЕЛАМИ БАНКОВСКОЙ ТАЙНЫ
К сожалению, некоторые банки, их на сегодняшний день 3, под предлогом банковской тайны отказываются предоставлять запрашиваемую информацию в объёме, позволяющем определить наличие или отсутствие состава административного правонарушения. Эти банки не предоставляют копию договора, заключённого с клиентом и с привлечёнными организациями, мотивируя отказ тем, что Роскомнадзор не указан в числе организаций, которым могут быть предоставлены сведения, составляющие банковскую тайну.
Но Роскомнадзору не нужны сведения об операциях, счетах, вкладах клиентов, на которые распространяется режим банковской тайны. Требуются, в частности, сведения о наличии согласия клиентов на обработку персональных данных, включая передачу третьим лицам. Как правило, эти условия присутствуют в тексте договора, заключаемого с клиентом. Если банк не готов представить договор полностью, достаточно заверенной выписки из него, либо заверенной копии с вымаранными разделами, содержащими банковскую тайну.
Отказ предоставить Роскомнадзору сведения, не являющиеся банковской тайной, неправилен и не обоснован. Такие действия, как показывает судебная практика, могут повлечь привлечение банков к административной ответственности по ст. 19.7 КоАП.
Анализ обращений граждан в Роскомнадзор показывает: всего жалуются субъекты персональных данных чаще на отсутствие согласия на обработку их персональных данных. Следует отметить, что сегодня любое подаваемое или заполняемое гражданином типовое заявление на получение банковских услуг, как правило, содержит единое обобщённое письменное согласие на обработку своих персональных данных. Формальный отказ подписать соответствующий пункт не позволяет гражданину воспользоваться услугами банка.
Чтобы получить обязательное письменное согласие гражданина на обработку его персональных данных, при заключении договора на предоставление банковских услуг следует проявлять дифференцированный подход. Согласие должно быть получено только на определенные действия и в тех случаях, когда оно действительно необходимо.
Нужно учитывать, что поправки, внесённые летом в закон «О персональных данных», на наш взгляд, в отдельных случаях позволяют банкам оказывать некоторые услуги гражданам без оформления их письменного согласия на обработку персональных данных. Так, например, часть персональных данных может обрабатываться банками определёнными способами во исполнение Федерального закона № 115-ФЗ от 7 августа 2001 года «О противодействии легализации (отмыванию) доходов, полученных преступным путем».
В таких случаях, в соответствии с исключениями, предусмотренными в ч. 2 ст. 6 Закона «О персональных данных», письменного согласия субъекта персональных данных не требуется. Но согласие на получение рекламной продукции, согласно ст. 15 закона «О персональных данных» должно быть оформлено отдельным письменным соглашением. Потому что гражданин должен иметь выбор, возможность отказаться от получения сопутствующих услуг, дополнительных к основным, не получать их «в нагрузку».
ЦЕССИЯ УДОБНЕЕ АГЕНТСКОЙ СХЕМЫ
Многие заявители ставят под сомнения законность действий банков, которые, пытаясь взыскать просроченные задолженности, передают персональные данные проблемных клиентов коллекторским агентствам. Анализ таких обращений показывает, что банки используют как агентскую схему, так и переуступку прав по договору цессии.
Гражданский кодекс РФ позволяет переступать право требования по договору цессии без согласия заёмщика. Но при использовании агентской схемы банку необходимо неукоснительно соблюдать требования ст. 6 закона «О персональных данных»: при поручении взыскания задолженности постороннему лицу передавать персональные данные должника разрешается только с согласия последнего.