21 Ноября 2013
Правовые вопросы защиты персональных баз данных в банковской сфере
Значительный прогресс в развитии информационных технологий в двадцатом и двадцать первом веках, а именно: практически повсеместное внедрение информационно-компьютерных технологий и телекоммуникационных сетей, связанное с этим увеличение объемов и направлений использования персональных данных в различных сферах общественной жизни, их передача новейшими коммуникационными средствами, существенно расширили возможности сбора, хранения и обработки информации относительно физических лиц, а также быстрое получение данных из других источников.
Исследование проблемы правового регулирования отношений в банковской сфере, возникающие в связи с обработкой (сбором, хранением, использованием, распространением) и защитой персональных данных, является необходимым для введения адекватного юридического механизма в национальную юридическую практику, что будет способствовать эффективной реализации положений Конституции Украины. Вопросы защиты персональных данных в банковской сфере, после принятия Закона Украины "О защите персональных данных", стало весьма актуальным. Возникла и необходимость в решении вопросов защиты персональных данных в банковской сфере в государстве согласно принципам европейских стандартов. Вместе теоретические и практические вопросы правового регулирования отношений по защите персональных данных именно в банковской сфере до сих пор оставались без внимания представителей науки. Правовое регулирование защиты персональных данных осуществляется на основе национальных законодательных актов, среди которых Законы Украины "О защите персональных данных", "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных", "Об информации", "О банках и банковской деятельности" и ряда разъяснений к ним, а также подзаконных нормативных актов и рекомендаций Национального банка Украины и Государственной службы Украины по вопросам защиты персональных данных. К сожалению, проблемные вопросы, связанные с защитой персональных данных в банковской сфере, остаются нерешенными. Вопросы защиты персональных данных физического лица исследуют отечественные ученые: А. Баранов, В. Брижко, Ю. Базанов, В. Галаган, М. Гуцалюк, А. Жуковская, В. Лужецкий, А. Пазюк, В. Цимбалюк, Т. С. Шалига и др. Не решена ранее часть общей проблемы. Механизм защиты персональных данных в банковской сфере на сегодня не достаточно совершенен и требует существенной доработки не только в Украине, но и в таких зарубежных представительствах, как банк БелВЭБ. Процесс работы банковских учреждений с персональными данными должна регулироваться не только путем принятия локальных процедурных документов, но и на государственном уровне (в частности, путем принятия соответствующего совместного документа Национальным банком Украины и Государственной службой Украины по вопросам защиты персональных данных). Целью статьи является анализ современного состояния правового регулирования защиты персональных данных в банковской сфере и поиск новых предложений и рекомендаций по построению результативной государственной и внутрибанковской системы защиты персональных данных клиентов. Изложение основного материала. Банковская деятельность тесно связана с использованием информации, в том числе персональных данных. Банковские учреждения в ходе своей деятельности становятся распорядителями и мультипликаторами многочисленных информационных массивов различного формата и назначения, для каждого из которых должен быть установлен отдельный контролируемый режим использования. Важность урегулирования процессов работы с информацией в банках имеет корни прежде всего в конфиденциальном характере данных, которыми распоряжается финансовое учреждение. Конфиденциальная информация, содержащая персональные данные, характерна тем, что может быть распространена только с разрешения и в порядке, согласованном с владельцем информации. Поэтому в рамках банковской деятельности соглашение банка с клиентом и является тем основополагающим документом, который предусматривает порядок использования персональных данных. Во нормативно-правовым регулированием защиты персональных данных следует понимать осуществляемое государством с помощью права и совокупности правовых средств упорядочения, юридическое закрепление, охрану и развитие общественных отношений в сфере защиты персональных данных. Исследование значительного количества дефиниций понятия персональных данных, показало, что все они почти тождественны. Действующее национальное законодательство дает такое определение понятию персональные данные - это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано (ст. 2 Закона Украины "О защите персональных данных"). По нашему мнению, под понятием «персональные данные» следует понимать данные о живом человеке, которое идентифицировано или может быть идентифицировано на основе этих данных или на основе этих данных и дополнительной информации, которая может попасть в лица, контролирующего данные, и содержащие выражения отношение к этому человеку и указание на определенную цель или планы относительно этого человека со стороны лица, контролирующего данные, или другого лица. Почти тождественное определение содержит Акт о защите персональных данных Великобритании ( Data Protection Act 1998) . Данное определение является конкретизированным и, что самое главное - делает акцент именно на цели использования информации о лице, которое в соответствии с положениями ст. 6 Закона Украины "О защите персональных данных", обязательно должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или других документах, регулирующих деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных. Проект Типового порядка обработки персональных данных в базах персональных данных (далее - Типовой порядок ) определяет следующую классификацию персональных данных:
Положение международных стандартов предусматривают для всех субъектов информационных отношений обязанность, при котором персональные данные должны:
Закон Украины "О защите персональных данных" ввел прогрессивные нормы, которые призваны охранять конфиденциальные данные и личную информацию граждан при их обработке и хранения в различных базах данных. При этом Закон все же является базовым документом, на основе которого началась и продолжается активная работа по разработке целого ряда подзаконных актов, детализирующие нормы Закона на стадии их практического применения. Правовой механизм защиты персональных представляет собой систему взаимодействующих между собой элементов, среди которых выделяют правовые средства реализации прав человека, а также средства охраны и защиты. Правовые средства реализации включают в себя совокупность полномочий субъекта персональных данных. Средства охраны включают меры, которые направлены на недопущение нарушения прав личности связанных с ее персональными данными. Ими являются : наличие специально уполномоченного органа по вопросам защиты персональных - Государственной службы по вопросам защиты персональных данных Украины; специальный Государственный реестр баз персональных данных - единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных и др. Средства защиты приводят к восстановлению нарушенных прав вызванных неправомерными действиями и привлечения к ответственности лиц, виновных в совершении правонарушений. Согласно п. 3.6 . Типового порядка банк, как владелец базы персональных данных, с целью надлежащего функционирования системы управления персональными данными должна обеспечивать:
Трактовка персональных данных как сведений, по которым лицо может быть идентифицировано, является неполным, поскольку принципы идентификации не установлено. Расплывчатым является формулировка признаков третьего лица как субъекта отношений по использованию персональных данных, поскольку тесно пересекается с определением альтернативного распорядителя данных. Провозглашенные требования Закона по работе с персональными данными в некоторых направлениях корне деформируют установленные процедуры информационной деятельности банков. При этом со ссылкой на требования Закона "О защите персональных данных" банки лишены возможности осуществлять в отношении клиента маркетинговые и другие инициативные активности , если такая цель обработки персональных данных клиента не определена в договоре. Поэтому, противоречивые несогласованные положения действующих законодательных актов вызывают осложнения и невозможным информационную, в том числе и маркетинговую деятельность банковских учреждений. Установлено, что система защиты персональных данных в банковской сфере представляет собой в единстве и согласованности совокупность правовых норм и институтов , направленных на обеспечение защиты персональных данных при осуществлении банковской деятельности и должна включать следующие элементы - получение согласия субъекта персональных данных, регистрации баз персональных данных, меры по защите персональных данных в соответствии с Типовым порядком обработки персональных данных в базах персональных данных и др. Продолжая исследования системы защиты персональных данных в банковской сфере, по нашему мнению, целесообразно было бы рассмотреть Проект Рекомендации по обеспечению защиты персональных данных в базах персональных данных от незаконной обработки , а также от незаконного доступа к ним (далее - Проект Рекомендаций) . Согласно положениям вышеупомянутого проекта именно банк, как владелец базы персональных данных, должен создавать условия для защиты персональных данных и обеспечивать защиту этих персональных данных от незаконной обработки, а также от незаконного доступа к ним. В каждом случае банк может провести детальный анализ угроз и факторов, влияющих на уровень риска. На основе анализа рисков он должен решить, какой уровень защищенности базы персональных данных является необходимым для создания условий по защите персональных данных. Обеспечение банком условий для защиты персональных данных в базах персональных данных является постоянным процессом, который обычно должен включать:
Возможность применения ответственности за нарушение законодательства в сфере защиты персональных данных стала той мотивацией и рычагом, которые ускоряют приведения владельцами баз персональных данных своей деятельности в соответствие с положениями действующих нормативных актов, тем самым создавая более надежные условия для реализации субъектами персональных данным свои законных прав в этой сфере. В соответствии с положениями Кодекса Украины об административных правонарушениях , лицами, имеют право составлять протоколы об административных правонарушениях по делам о нарушении законодательства в сфере защиты персональных данных являются уполномоченные на то должностные лица специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных - Государственной службы Украины по вопросам защиты персональных данных. Проанализировав ее структуру, мы считаем , что фиксация правонарушений в сфере защиты персональных данных будет осуществляться недостаточно эффективной, в связи с тем , что весь штат работников данного органа находится в Киеве, а проводить работу по выявлению правонарушений необходимо будет осуществлять по всей территории Украины. Таким образом установлено, что на сегодня осуществления полного анализа системы защиты персональных данных в банковской сфере остается проблематичным . На сегодня кроме Закона Украины "О защите персональных данных" и других подзаконных актов общего характера, существует только один Письмо Национального банка Украины относительно урегулирования вопроса защиты персональных данных в банковской сфере, в котором сказано , что порядок обработки персональных данных , относящихся к банковской тайны, утверждается Национальным банком Украины. Причем, Национальный банк Украины только после принятия соответствующими органами нормативных актов в сфере защиты персональных данных, в случае необходимости, внесет изменения в действующие Правила хранения, защиты, использования и раскрытия банковской тайны, утвержденных постановлением Правления Национального банка Украины № 267 от 14.07.2006, или утвердит новые. До этого момента банки должны обеспечивать хранение, защиту, использования и раскрытия банковской тайны (в том числе персональных данных) в соответствии с действующими Правилами. Положение же вышеупомянутых Правил по хранению, защите информации, содержащей банковскую тайну, не охватывают всех проблемных вопросов, связанных с защитой персональных данных. Подчеркиваем, что Государственной службой Украины по вопросам защиты персональных данных совместно с Национальным банком Украины должно ускориться принятия мер по разработке Порядка обработки персональных данных, относящихся к банковской тайн . При этом разработка профессиональными банковскими объединениями корпоративных кодексов поведения в целях обеспечения эффективной защиты прав субъектов персональных данных может стать важным фактором обеспечения соблюдения законодательства в банковской сфере. Количество показов: 4161
Короткая ссылка на новость: http://www.law-clinic.net/~jkLPu
|