Территориальные управления

Добросовестным банкам никакие жалобы не страшны

26 сентября 2011 года

 

12.09.2011 БО №9 (152) Сентябрь 2011

 

Принятие поправок в федеральный закон №152-ФЗ «О персональных данных» и серия утечек в Интернете вновь привлекли внимание к теме защиты персональных данных. О том, как Роскомнадзор оценивает ситуацию с информационной безопасностью в банках, «БО» рассказал заместитель руководителя ведомства Роман Шередин

— Роман Валериевич, изменится ли что-либо в деятельности Роскомнадзора после принятия поправок в закон «О персональных данных»?

— Безусловно, деятельность Роскомнадзора претерпит изменения в связи с вступившими в силу поправками. Новыми положениями законодательно закреплены полномочия Роскомнадзора по осуществлению сотрудничества с аналогичными уполномоченными органами других государств, утверждению перечня стран, обеспечивающих адекватную защиту прав субъектов персональных данных, а также перечня государств, не подписавших Конвенцию Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Служба теперь вправе осуществлять судебную защиту прав и законных интересов не только конкретных граждан — субъектов персональных данных, но и неопределенного круга лиц. Расширены полномочия Роскомнадзора по контролю и надзору за выполнением правовых, организационных и технических мер по безопасности персональных данных при использовании негосударственных информационных систем.

Внесены дополнения в порядок и условия обработки персональных данных. В частности, сейчас федеральным законом установлен четкий перечень оснований, при которых допускается обработка персональных данных, а также регламентированы условия привлечения оператором сторонних организаций для осуществления определенных действий по обработке персональных данных. Мы ведем работу по корректировке подходов к своей деятельности с учетом новых требований.

— В какой степени Роскомнадзор будет учитывать при проведении проверок банков стандарт Банка России?

— При проведении проверок Роскомнадзор руководствуется исключительно нормами российского законодательства о персональных данных. Собственно, это главная цель уполномоченного органа — следить за исполнением законодательства в этой сфере. Вместе с тем отмечу, что положения стандарта Банка России СТО БР ИББС-1.0-2010 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» в целом учитывают действующие требования законодательства, предъявляемые к деятельности по обработке персональных данных.

— Необходимо ли банкам направлять в Роскомнадзор уведомление об обработке персональных данных для регистрации в реестре операторов? Что грозит кредитным организациям за уклонение от подачи уведомления?

— Федеральный закон «О персональных данных» обязывает операторов уведомить уполномоченный орган по защите прав субъектов персональных данных об обработке или о намерении осуществлять обработку персональных данных за исключением случаев, предусмотренных ч. 2 ст. 22 этого закона.

Практика контрольно-надзорной деятельности Роскомнадзора показывает, что деятельность кредитных организаций под указанные исключения не подпадает. Таким образом, направление банками уведомления об обработке персональных данных остается обязательным условием. Ненаправление уведомления влечет за собой привлечение банка к административной ответственности.

К слову, уведомление Роскомнадзора о начале деятельности по обработке персональных данных — одно из основных требований упомянутого стандарта Банка России. Благодаря совместной работе с ЦБ РФ отмечается положительная тенденция — в реестре операторов персональных данных на сегодняшний день зарегистрировано 696 финансово-кредитных учреждений.

— Какие нарушения законодательства о персональных данных со стороны банков наиболее характерны? Какие меры принимаются к нарушителям?

— Итоги контрольно-надзорной деятельности в сфере защиты персональных данных в 2010 году и в первом полугодии 2011 года свидетельствуют о том, что в банковской сфере защите информации уделяется гораздо больше внимания, чем во многих других. Вместе с тем общий объем нарушений норм законодательства о персональных данных, выявленный в деятельности банков, остается достаточно высоким.

Большинство нарушений связано с неправомерной деятельностью по обработке персональных данных, осуществляемой без уведомления уполномоченного органа — Роскомнадзора, либо с нарушениями установленного порядка осуществления такой деятельности.

Мы проанализировали материалы проверок и выявили основные типы нарушений. В первую очередь это обработка персональных данных без согласия субъекта персональных данных и с нарушением их конфиденциальности. Неоднократно встречаются случаи обработки сведений о судимости и персональных данных близких родственников клиента. Часто содержание письменного согласия субъекта персональных данных не соответствует требованиям ч. 4 ст. 9 закона «О персональных данных». Кроме того, банки предоставляют неполные или недостоверные сведения в уведомлении, которое направляется в уполномоченный орган.

Отдельной областью, которая привлекает пристальное внимание регулятора, стала работа коммерческих банков в сфере продвижения своих товаров и услуг. Итоги контрольно-надзорной деятельности и результаты рассмотрения обращений граждан показывают: банки активно занимаются продвижением и рекламой своих продуктов как самостоятельно, так и с помощью рекламных агентств. И при этом зачастую частично или полностью не соблюдают нормы законов в отношении защиты персональных данных.

Наиболее типичное нарушение — рассылка рекламных материалов банков без предварительного согласия субъектов персональных данных. Самые серьезные проблемы возникают при привлечении третьих лиц и структур, которые используют базы персональных данных граждан, происхождение и правомерность использования которых вызывает обоснованные сомнения.

О том, что защита прав субъектов персональных данных — чрезвычайно актуальная задача, свидетельствует и статистика рассмотрения результатов обращений граждан по вопросам нарушения их прав и законных интересов в качестве субъектов персональных данных. Так, в 2010 году отмечен рост числа жалоб со стороны физических лиц на действия банков. В минувшем году в Роскомнадзор поступило от населения 225 жалоб — почти в три раза больше количества жалоб, поданных годом ранее. В первом полугодии 2011 года — уже 155.

Жалобы касались в первую очередь незаконной передачи персональных данных клиентов третьим лицам, а также продвижения продуктов и услуг без предварительного согласия заявителей.

По всем фактам мы принимаем меры реагирования. В случае подтверждения нарушений, направляем материалы в суды, в органы прокуратуры. Обобщенную информацию о нарушениях в финансово-кредитных учреждениях предоставляем в ЦБ РФ.

— Были ли случаи подачи гражданами или организациями жалоб в качестве инструмента конкурентной борьбы? Если да, то как Роскомнадзору, да и самим банкам действовать в таких случаях?

— Пока таких случаев не было. Но если это произойдет, то проверять будем каждый указанный факт. Лучший способ противостоять подобным формам конкурентной борьбы — финансово-кредитным учреждениям выполнять все требования законодательства о персональных данных. Добросовестным банкам никакие жалобы не страшны.

— Давайте немного отступим от банковской проблематики. Кто, по вашему мнению, виноват в нашумевших утечках персональных данных в открытый доступ через поисковые системы Интернета? Какие меры принимаются Роскомнадзором в отношении нарушителей в подобных случаях?

— Я считаю, что владельцы сайтов должны более ответственно подходить к решению вопроса обеспечения конфиденциальности и безопасности персональных данных. Попадание в открытый доступ через поисковые системы sms-переписки абонентов сотового оператора, личных данных покупателей интернет-магазинов свидетельствует о том, что пока дело в этой сфере обстоит не лучшим образом.

Больше ответственности должны демонстрировать и пользователи разного рода интернет-сервисов. Они должны понимать, что нельзя предоставлять свои конфиденциальные данные сомнительным ресурсам! Всегда лучше пользоваться сайтами, давно и хорошо зарекомендовавшими себя на рынке, которые дорожат репутацией, а значит, уделяют должное внимание защите конфиденциальной информации пользователей.

Роскомнадзор установил более 80 интернет-магазинов, информация о покупателях которых попала в открытый доступ. В ходе аналитической выборки определены 15 интернет-магазинов, которые предоставили доступ к наиболее широкому перечню персональных данных покупателей. В настоящий момент установлены владельцы 12 интернет-ресурсов. Соответствующие материалы направлены в органы прокуратуры для принятия в отношении указанных лиц мер прокурорского реагирования по ст. 13.11 КоАП РФ.

Кроме того, в целях профилактики подобных нарушений в адрес компаний — владельцев крупнейших поисковых систем направлены письма. Мы просим их рассмотреть возможность блокирования на техническом уровне запросов пользователей, представляющих собой ссылку на определенный алгоритм, который дает доступ к информационным сегментам интернет-сайтов, содержащих персональные данные.

Представители Роскомнадзора встречались с Александром Ивановым, президентом национальной Ассоциации дистанционной торговли. Он выдвинул две инициативы, которые Роскомнадзор поддержал. Первая — о создании экспертного технического совета, в рамках которого должны быть выработаны и доведены до участников рынка интернет-торговли технические меры, позволяющие не допустить утечку персональных данных. Вторая инициатива — добровольная сертификация Ассоциацией интернет-магазинов с тем, чтобы покупатели были уверены в их надежности, в том числе с точки зрения соблюдения конфиденциальности и безопасности персональных данных.

По моему убеждению, меры, принятые и принимаемые Роскомнадзором, общественными организациями, интернет-сообществом приведут к лучшей защищенности персональных данных в Интернете.

 


Время публикации: 26.09.2011 16:35