Территориальные управления

Тезисы выступления заместителя руководителя Роскомнадзора Р.В. Шередина на IV Межбанковской конференции «Уральский форум: информационная безопасность банков» на тему «Об итогах осуществления государственного контроля (надзора) в области персональных

20 февраля 2012 года

 

(Республика Башкортостан, 14 февраля 2012 г.)

 

Добрый день, уважаемые дамы и господа!

От имени руководителя Роскомнадзора Сергея Ситникова и от себя лично благодарю организаторов IV Межбанковской конференции за возможность принять участие в данном мероприятии и желаю всем нам плодотворной работы.

 

Уважаемые участники конференции, коллеги!

 

Прошедший год ознаменовался активной нормотворческой деятельностью, направленной на гармонизацию действующего законодательства в области персональных данных, в том числе, на совершенствование правовых основ контрольно-надзорной деятельности в этой сфере.

В июле 2011 года в Федеральный закон «О персональных данных» были внесены изменения, коснувшиеся его сферы действия, используемых в Законе основных понятий, принципов и условий обработки персональных данных.

Существенно изменены нормы, касающиеся условий осуществления государственного контроля (надзора), мер по обеспечению безопасности персональных данных при их обработке, прав и обязанностей оператора, взаимоотношений оператора и субъекта персональных данных.

Действующей редакцией Закона разграничены полномочия Роскомнадзора, ФСБ России и ФСТЭК России при осуществлении государственного контроля (надзора) в отношении операторов государственных и негосударственных информационных систем персональных данных, определен перечень мер по обеспечению безопасности, определены полномочия Правительства Российской Федерации по установлению уровней защищённости персональных данных при их обработке в информационных системах персональных данных, требований к их защите, а также к материальным носителям биометрических персональных данных и технологиям их хранения вне информационных систем.

Кроме того, в соответствии со ст. 12 Закона, Роскомнадзор наделен новым полномочием по утверждению перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных.

Коллеги, внесенные изменения обусловили переработку существующих и разработку ряда новых подзаконных нормативных правовых актов.

Приказом Минкомсвязи России от 14 ноября 2011 г. № 312 утвержден Административный регламент проведения Роскомнадзором проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства. Регламент прошел все необходимые процедуры согласования и как полностью соответствующий действующему законодательству был зарегистрирован Министерством юстиции Российской Федерации 13 декабря 2011 г. № 22595.

Регламент установил требования, согласно которым, в том числе с учетом разграничения полномочий контрольных органов, при проведении проверок операторов негосударственных информационных систем Роскомнадзор будет привлекать к проведению проверок таких операторов экспертов и экспертные организации, аккредитованные в установленном порядке.

Процесс аккредитации начат, мы уже аккредитовали 4 организации и 10 граждан. Список аккредитованных экспертов и экспертных организаций размещен на нашем интернет-портале в разделе «Персональные данные». Пользуясь случаем, приглашаю всех заинтересованных лиц участвовать в этом процессе. Напомню, что порядок и условия аккредитации установлены постановлением Правительства Российской Федерации от 20 августа 2009 г. № 689 «Об утверждении Правил аккредитации граждан и организаций, привлекаемых органами государственного контроля (надзора) и органами муниципального контроля к проведению мероприятий по контролю».

В рамках работы по совершенствованию нормативной базы Роскомнадзором подготовлен и проходит процедуры согласования проект постановления Правительства Российской Федерации об утверждении Положения о государственном контроле и надзоре в области защиты персональных данных. После его принятия можно будет с уверенностью говорить о завершении очередного серьезного этапа выстраивания системы нормативно-правового обеспечения контрольно-надзорной деятельности в области защиты персональных данных.

 

Уважаемые участники!

Отдельно остановлюсь на вопросе о применимости в настоящий момент комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (далее-стандарты Банка России).

Еще в ноябре 2011 года Роскомнадзор ответил на обращение Банка России о возможности применения так называемого «Письма шестерых» после принятия последних поправок в Закон о персональных данных.

Повторяю, мы считает возможным применение согласованных стандартов Банка России в части, не противоречащей Закону, и настаиваем на скорейшей доработке стандартов с учетом норм действующего законодательства.

Мы выразили готовность, как и всегда, идти навстречу банковскому сообществу и в кратчайшие сроки рассмотреть эти изменения. Однако, уже середина февраля, а изменения на согласование в Роскомнадзор так и не поступили.

 

Уважаемые участники, уважаемые коллеги!

 

Несколько слов об итогах контрольно-надзорной деятельности в отношении организаций банковской системы.

В 2011 году в отношении таких организаций нами проведено 189 проверок, по результатам которых должностными лицами территориальных органов Роскомнадзора выдано 125 предписаний об устранении выявленных нарушений, составлено и направлено на рассмотрение в суды 36 протоколов об административном правонарушении.

Вместе с тем, необходимо отметить, что в 2011 году, по результатам проведенных плановых и внеплановых проверок, общий уровень нарушений, выявленных в деятельности банковских организаций, в сравнении с 2010 годом снизился с 61 до 48 процентов. Считаю, что эта положительная тенденция является хорошим результатом нашей совместной работы.

Однако, несмотря на положительные тенденции, объем выявленных нарушений в деятельности организаций банковской системы остается достаточно высоким.

По итогам выборочного анализа материалов проверок отмечу, что банковскими организациями, чаще всего, допускаются нарушения требований конфиденциальности, установленных ст. 7 Федерального закона «О персональных данных», допускаемые при передаче персональных данных третьим лицам без согласия гражданина и требований п. 13 постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» в части отсутствия утвержденного перечня лиц, осуществляющих обработку, либо имеющих доступ к персональным данным.

Отдельно хочу остановиться на вопросе, связанном с реализацией организациями банковской системы деятельности по продвижению своих услуг и продуктов.

В первую очередь, это касается привлечения банками третьих лиц для оказания услуг по рассылке материалов рекламного характера. Зачастую привлекаемые организации располагают базами персональных данных, собранными с нарушением законодательства при отсутствии согласия субъектов на получение подобных рекламных рассылок.

В частности, в рамках рассмотрения обращений граждан по фактам рассылки в их адрес информационных материалов рекламного характера одного из известных банков было установлено, что рассылку осуществляет ООО «Информбюро», оно же «ДатаМенеджмент», располагающее информационной базой, содержащей персональные данные граждан. Банку, при заключении соответствующего соглашения, эта организация продекларировала правомерность существования базы персональных данных. Однако в результате проведенной нами проверки было установлено обратное.

При этом обработка персональных данных осуществлялась без согласия граждан, принимаемые этой организацией меры в полной мере не обеспечивали конфиденциальность обрабатываемой персональной информации, а поданное в Роскомнадзор уведомление об обработке персональных данных не соответствовало действительности.

По выявленным фактам Роскомнадзором выданы предписания об устранении выявленных нарушений, соответствующие материалы направлены в органы прокуратуры для принятия мер реагирования.

Пользуясь случаем, обращаюсь к представителям банковских организаций с просьбой более тщательно выбирать себе партнеров для подобной деятельности и убедиться, что привлекаемая организация отвечает соответствующим требованиям, то есть, как минимум, имеет согласие клиентов, обеспечивает надежную защиту их персональной информации и ведет свою деятельность по обработке персональных данных легитимно.

 

Уважаемые коллеги, по-прежнему остается актуальным вопрос деятельности организаций банковской системы по обработке персональных данных без уведомления Роскомнадзора.

На сегодняшний день в реестре операторов зарегистрировано 722 таких организации. Однако, еще более 30% организаций банковской системы, от общего количества осуществляющих деятельность, соответствующие уведомления в Роскомнадзор до сих пор не представили.

Остро стоит вопрос об исполнении данного требования Федерального закона банковскими организациями, присоединившимися к упомянутым стандартам Банка России. По результатам анализа списка, предоставленного нам Банком России, установлены 72 организации, не представившие до настоящего времени уведомление об обработке персональных данных, что, в свою очередь, не соответствует положениям упомянутых стандартов.

Считаю такое положение дел недопустимым, поскольку присоединившись к стандартам, дав себе высокие самооценки в части соответствия определенным требованиям, требования эти все же необходимо неукоснительно соблюдать.

Более подробный анализ по этому и другим вопросам, а также по итогам контрольно-надзорной деятельности в отношении организаций банковской системы в 2011 году, мы направим в Банк России в марте этого года.

 

Уважаемые участники, уважаемые коллеги!

 

В 2011 году Роскомнадзор отмечает рост количества обращений граждан с жалобами на действия банков. Так, в 2011 году в Роскомнадзор поступило 359 жалоб, что почти на 30% больше по сравнению с 2010 годом. Необходимо отметить, что виды нарушений по сравнению с 2010 годом практически не изменились.

Так, в 2011 году граждане в основном жаловались на:

передачу персональных данных в коллекторское агентство без соответствующего согласия;

на рассылку рекламных писем и телефонные звонки с предложением услуг банка;

телефонные звонки с целью розыска третьих лиц;

рассылку уведомлений о задолженности в открытом, доступном для третьих лиц виде.

Уважаемые коллеги, как вы знаете, в ходе рассмотрения обращений граждан по фактам возможного нарушения их прав Роскомнадзором в адрес банков направляются соответствующие запросы о предоставлении сведений, подтверждающих соблюдение банками требований Федерального закона «О персональных данных», в том числе наличие согласия клиента на передачу персональных данных третьим лицам, договоры на оказание услуг по взысканию задолженности, сведения о принимаемых мерах безопасности и конфиденциальности.

К сожалению, некоторые банки, их на сегодняшний день три, со ссылкой на банковскую тайну, предоставляют запрашиваемую информацию в объеме, не позволяющем принять решение о наличии либо отсутствии признаков административного правонарушения.

Так, например, эти банки не представляют копии договоров, заключенных с клиентом и привлеченными организациями, с мотивировкой, что Роскомнадзор не указан в числе организаций, которым могут быть, представлены сведения, составляющие банковскую тайну. Коллеги, поверьте, нам не нужны сведения об операциях, о счетах и вкладах клиентов, на которые распространяется режим банковской тайны. Для рассмотрения обращения нам нужны, в частности, сведения о наличии согласия субъекта на обработку персональных данных, в том числе на передачу его персональных данных третьим лицам – коллекторским агентствам, а, как правило, эти условия содержатся как раз в кредитных договорах. Так представьте нам выписку из договора либо копию с вымаранными разделами, которые вы в силу закона не можете представить, но, пожалуйста, не занимайте категоричную позицию «нет и все тут». Такая позиция является необоснованной и влечет за собой привлечение банка к административной ответственности по статье 19.7 КоАП РФ, о чем свидетельствует судебная практика.

 

Уважаемые участники, коллеги, анализ обращений показывает, что основным предметом является вопрос, связанный с наличием, а точнее отсутствием согласия субъекта персональных данных на их обработку. Следует отметить, что сегодня формальный отказ от подписания обобщенного, единого письменного согласия на обработку персональных данных, которое обычно присутствует в любом типовом заявлении, заполняемом гражданином для получения услуг банка, не позволяет ему воспользоваться этой услугой.

Такая ситуация вызывает необходимость дифференцированного подхода к получению обязательного письменного согласия гражданина. Согласие должно быть получено только на те действия и в тех случаях, когда, оно действительно требуется.

Внесенные летом поправки в Закон о персональных данных, на наш взгляд, сегодня позволяют банкам в рамках договорных отношений при оказании соответствующих услуг осуществлять обработку персональных данных граждан в отдельных случаях без оформления письменного согласия. Так, например, определенный набор персональных данных определенными способами может обрабатываться банками в целях исполнения ими 115-го Федерального закона без получения письменного согласия, на основании части 2 части 1 статьи 6 Закона, поскольку является выполнением обязанностей, возложенных на банк законом. А, например, согласие на получение рекламной продукции, по смыслу статьи 15 Закона, должно быть оформлено все же отдельным письменным соглашением.

В любом случае, гражданин должен иметь выбор и возможность отказаться от получения дополнительных услуг, сопутствующих основной, а не получать основную услугу с каким-то «прицепом».

 

Жалобы на незаконную, по мнению заявителей, передачу их персональных данных связаны с деятельностью банковских организаций, направленной на взыскание просроченной задолженности и передаче коллекторским агентствам персональных данных проблемных клиентов.

Анализ рассмотренных обращений показывает, что банками используются как агентская схема, так и переуступка прав по договору цессии.

И если по договору цессии проблемных вопросов практически не возникает, поскольку положения Гражданского кодекса РФ позволяют переуступать право требования без согласия заемщика, то при использовании агентской схемы банкам необходимо неукоснительно следовать требованиям ст. 6 Федерального закона «О персональных данных», устанавливающей возможность поручения взыскания задолженности стороннему лицу только при наличии согласия заемщика.

При этом, по мнению Роскомнадзора, согласие заемщика, отраженное в тексте договора с Банком, должно содержать указание цели передачи персональных данных третьим лицам. В противном случае, данная передача может быть признана незаконной.

Пользуясь случаем, призываю присутствующих еще раз обратить особое внимание на приведение процедуры передачи персональных данных граждан сторонним организациям в целях взыскания задолженности в строгое соответствие требованиям Федерального закона «О персональных данных».

 

Говоря об итогах рассмотрения обращений, следует отметить, что по результатам их рассмотрения доводы о нарушениях охраняемых законом прав и интересов граждан подтвердились лишь в 35% случаях.

 

Уважаемые участники, уважаемые коллеги!

 

В завершении желаю всем участникам конференции успехов, продуктивной работы и конечно же хорошего рабочего настроения.

Уверен, 2012 год станет новым этапом развития добрых партнерских отношений между регуляторами и банковским сообществом в сфере защиты персональных данных граждан.

Спасибо за внимание!

Тезисы выступления заместителя руководителя Роскомнадзора Р.В. Шередина на IV Межбанковской конференции «Уральский форум: информационная безопасность банков» на тему «Об итогах осуществления государственного контроля (надзора) в области персональных данных в отношении финансово-кредитных организаций в 2011 году» (RTF, 135.66 Kb)

 

Поделиться:

Время публикации: 20.02.2012 12:19
Последнее изменение: 20.02.2012 15:07