Правовые вопросы защиты персональных баз данных в банковской сфере

21 Ноября 2013

Правовые вопросы защиты персональных баз данных в банковской сфере

Значительный прогресс в развитии информационных технологий в двадцатом и двадцать первом веках, а именно: практически повсеместное внедрение информационно-компьютерных технологий и телекоммуникационных сетей, связанное с этим увеличение объемов и направлений использования персональных данных в различных сферах общественной жизни, их передача новейшими коммуникационными средствами, существенно расширили возможности сбора, хранения и обработки информации относительно физических лиц, а также быстрое получение данных из других источников.

Исследование проблемы правового регулирования отношений в банковской сфере, возникающие в связи с обработкой (сбором, хранением, использованием, распространением) и защитой персональных данных, является необходимым для введения адекватного юридического механизма в национальную юридическую практику, что будет способствовать эффективной реализации положений Конституции Украины.

Вопросы защиты персональных данных в банковской сфере, после принятия Закона Украины "О защите персональных данных", стало весьма актуальным. Возникла и необходимость в решении вопросов защиты персональных данных в банковской сфере в государстве согласно принципам европейских стандартов. Вместе теоретические и практические вопросы правового регулирования отношений по защите персональных данных именно в банковской сфере до сих пор оставались без внимания представителей науки.

Правовое регулирование защиты персональных данных осуществляется на основе национальных законодательных актов, среди которых Законы Украины "О защите персональных данных", "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных", "Об информации", "О банках и банковской деятельности" и ряда разъяснений к ним, а также подзаконных нормативных актов и рекомендаций Национального банка Украины и Государственной службы Украины по вопросам защиты персональных данных. К сожалению, проблемные вопросы, связанные с защитой персональных данных в банковской сфере, остаются нерешенными. Вопросы защиты персональных данных физического лица исследуют отечественные ученые: А. Баранов, В. Брижко, Ю. Базанов, В. Галаган, М. Гуцалюк, А. Жуковская, В. Лужецкий, А. Пазюк, В. Цимбалюк, Т. С. Шалига и др. 

Не решена ранее часть общей проблемы. Механизм защиты персональных данных в банковской сфере на сегодня не достаточно совершенен и требует существенной доработки не только в Украине, но и в таких зарубежных представительствах, как банк БелВЭБ.  Процесс работы банковских учреждений с персональными данными должна регулироваться не только путем принятия локальных процедурных документов, но и на государственном уровне (в частности, путем принятия соответствующего совместного документа Национальным банком Украины и Государственной службой Украины по вопросам защиты персональных данных).

Целью статьи является анализ современного состояния правового регулирования защиты персональных данных в банковской сфере и поиск новых предложений и рекомендаций по построению результативной государственной и внутрибанковской системы защиты персональных данных клиентов.

Изложение основного материала. Банковская деятельность тесно связана с использованием информации, в том числе персональных данных. Банковские учреждения в ходе своей деятельности становятся распорядителями и мультипликаторами многочисленных информационных массивов различного формата и назначения, для каждого из которых должен быть установлен отдельный контролируемый режим использования. Важность урегулирования процессов работы с информацией в банках имеет корни прежде всего в конфиденциальном характере данных, которыми распоряжается финансовое учреждение. Конфиденциальная информация, содержащая персональные данные, характерна тем, что может быть распространена только с разрешения и в порядке, согласованном с владельцем информации. Поэтому в рамках банковской деятельности соглашение банка с клиентом и является тем основополагающим документом, который предусматривает порядок использования персональных данных.

Во нормативно-правовым регулированием защиты персональных данных следует понимать осуществляемое государством с помощью права и совокупности правовых средств упорядочения, юридическое закрепление, охрану и развитие общественных отношений в сфере защиты персональных данных.

Исследование значительного количества дефиниций понятия персональных данных, показало, что все они почти тождественны. Действующее национальное законодательство дает такое определение понятию персональные данные - это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано (ст. 2 Закона Украины "О защите персональных данных").

По нашему мнению, под понятием «персональные данные» следует понимать данные о живом человеке, которое идентифицировано или может быть идентифицировано на основе этих данных или на основе этих данных и дополнительной информации, которая может попасть в лица, контролирующего данные, и содержащие выражения отношение к этому человеку и указание на определенную цель или планы относительно этого человека со стороны лица, контролирующего данные, или другого лица.

Почти тождественное определение содержит Акт о защите персональных данных Великобритании ( Data Protection Act 1998) . Данное определение является конкретизированным и, что самое главное - делает акцент именно на цели использования информации о лице, которое в соответствии с положениями ст. 6 Закона Украины "О защите персональных данных", обязательно должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или других документах, регулирующих деятельность владельца базы персональных данных, и соответствовать законодательству о защите персональных данных.

Проект Типового порядка обработки персональных данных в базах персональных данных (далее - Типовой порядок ) определяет следующую классификацию персональных данных:

  • по природе - объективные и субъективные сведения о физическом лице;
  • по способам обработки - текстовые, графические сведения, сведения в фото-, кино-, аудио-, пред- и видеоформате;
  • по носителям - на бумаге или в электронной форме;
  • по степени связи с лицом - данные, касающиеся ее прямо или косвенно;
  • по сроку обработки (хранения) - краткосрочные, среднесрочные, долгосрочные и бессрочные;
  • по содержанию - идентификационные данные, паспортные данные, личные сведения, состав семьи, образование, профессия, биометрические данные, психологические данные, жилищные условия, образ жизни, финансовая информация и др.;
  • по субъектному составу - сведения граждан, наемных работников, должностных лиц, плательщиков налогов и сборов, клиентов, покупателей, потребителей, абонентов, пациентов, пассажиров, родителей, субъектов отношений в сфере страхования, субъектов финансовых отношений и других лиц.
Соглашаясь с мнением ученых Д. А. Гетманцева и Н.Г. Шуклиной, следует отметить, что персональные данные являются неотъемлемой частью сведений, составляющих банковскую тайну, и гораздо шире, чем понятие "персональные данные, которые стали известны банку". Все обстоятельства жизни клиента не могут быть известны банку. Корректно было бы охватывать режимом банковской тайны не все персональные данные, а лишь те, предоставление которых банк требует от своих клиентов. Режимом банковской тайны должны охватываться только те персональные данные клиента, банк получает официально, то есть в ходе непосредственного осуществления своей деятельности.

Положение международных стандартов предусматривают для всех субъектов информационных отношений обязанность, при котором персональные данные должны:

  • Быть получены законным путем;
  • Обрабатываться с согласием на это субъекта данных и количества минимально необходимой для определенной деятельности;
  • Быть точными и обновляться;
  • Использоваться только в строго определенных целях;
  • Быть доступными для субъекта данных и защищены от несанкционированного доступа.
Нормативно-правовое регулирование защиты персональных данных в Украине осуществляется на основе Конституции Украины, Законов Украины "О защите персональных данных", "Об информации", "О нотариате", "О банках и банковской деятельности" и др. Национальные стандарты защиты персональных данных в Украине находятся на зачаточном уровне. Украина только пытается на правовом уровне закрепить общие принципы защиты (определить информацию, относящуюся к персональным данным, порядок работы уполномоченного государственного органа по вопросам защиты персональных данных; построения механизма защиты и т.д.).

Закон Украины "О защите персональных данных" ввел прогрессивные нормы, которые призваны охранять конфиденциальные данные и личную информацию граждан при их обработке и хранения в различных базах данных. При этом Закон все же является базовым документом, на основе которого началась и продолжается активная работа по разработке целого ряда подзаконных актов, детализирующие нормы Закона на стадии их практического применения.

Правовой механизм защиты персональных представляет собой систему взаимодействующих между собой элементов, среди которых выделяют правовые средства реализации прав человека, а также средства охраны и защиты. Правовые средства реализации включают в себя совокупность полномочий субъекта персональных данных. Средства охраны включают меры, которые направлены на недопущение нарушения прав личности связанных с ее персональными данными. Ими являются : наличие специально уполномоченного органа по вопросам защиты персональных - Государственной службы по вопросам защиты персональных данных Украины; специальный Государственный реестр баз персональных данных - единая государственная информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных и др. Средства защиты приводят к восстановлению нарушенных прав вызванных неправомерными действиями и привлечения к ответственности лиц, виновных в совершении правонарушений.

Согласно п. 3.6 . Типового порядка банк, как владелец базы персональных данных, с целью надлежащего функционирования системы управления персональными данными должна обеспечивать:

  1. утверждение необходимых процедур ( методических рекомендаций и правил и т.д. ) о принятии мер по обеспечению текущего функционирования системы управления персональными данными в базах персональных данных ;
  2. защита персональных данных в базе персональных данных от незаконной обработки , а также от незаконного доступа к ним ;
  3. осуществление периодической и текущей оценки эффективности функционирования системы управления персональными данными в базах персональных данных;
  4. организацию внесение предложений руководству владельца по совершенствованию системы управления персональными данными в базах персональных данных;
  5. обязательную регистрацию баз персональных данных в Государственном реестре баз персональных данных;
  6. разработку, внедрение и обеспечение надлежащего функционирования системы управления персональными данными;
  7. поддержку требований бизнеса процедурами защиты персональных данных в базах персональных данных;
  8. регистрации инцидентов в системе управления персональными данными.
Анализ Закона Украины "О защите персональных данных" (далее - Закон ), в разрезе его влияния на банковскую сферу, показал, что именно его принятия обеспокоило игроков рынка финансовых услуг. Дискуссии вокруг положений Закона усугубляются, особенно с приближением даты введения в действие Закона Украины "О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных". Поддерживая мнения членов Ассоциация украинских банков и Ассоциации "Украинский Кредитно-Банковский Союз" следует обратить внимание на то, что терминологический блок Закона не освещает ряда понятий, о которых идет речь в документе. Так, дано определение понятия, процесса и параметров проведения идентификации, с которой связан ряд направлений работы с персональными данными.

Трактовка персональных данных как сведений, по которым лицо может быть идентифицировано, является неполным, поскольку принципы идентификации не установлено. Расплывчатым является формулировка признаков третьего лица как субъекта отношений по использованию персональных данных, поскольку тесно пересекается с определением альтернативного распорядителя данных. Провозглашенные требования Закона по работе с персональными данными в некоторых направлениях корне деформируют установленные процедуры информационной деятельности банков. При этом со ссылкой на требования Закона "О защите персональных данных" банки лишены возможности осуществлять в отношении клиента маркетинговые и другие инициативные активности , если такая цель обработки персональных данных клиента не определена в договоре. Поэтому, противоречивые несогласованные положения действующих законодательных актов вызывают осложнения и невозможным информационную, в том числе и маркетинговую деятельность банковских учреждений.

Установлено, что система защиты персональных данных в банковской сфере представляет собой в единстве и согласованности совокупность правовых норм и институтов , направленных на обеспечение защиты персональных данных при осуществлении банковской деятельности и должна включать следующие элементы - получение согласия субъекта персональных данных, регистрации баз персональных данных, меры по защите персональных данных в соответствии с Типовым порядком обработки персональных данных в базах персональных данных и др.

Продолжая исследования системы защиты персональных данных в банковской сфере, по нашему мнению, целесообразно было бы рассмотреть Проект Рекомендации по обеспечению защиты персональных данных в базах персональных данных от незаконной обработки , а также от незаконного доступа к ним (далее - Проект Рекомендаций) .

Согласно положениям вышеупомянутого проекта именно банк, как владелец базы персональных данных, должен создавать условия для защиты персональных данных и обеспечивать защиту этих персональных данных от незаконной обработки, а также от незаконного доступа к ним. В каждом случае банк может провести детальный анализ угроз и факторов, влияющих на уровень риска. На основе анализа рисков он должен решить, какой уровень защищенности базы персональных данных является необходимым для создания условий по защите персональных данных.

Обеспечение банком условий для защиты персональных данных в базах персональных данных является постоянным процессом, который обычно должен включать:

  • Разработку политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним, исходя из характеристик деятельности организации, целей, процессов и процедур, существенных для управления риском нежелательных событий по обработке персональных данных с учетом серьезности последствий таких нежелательных событий;
  • Внедрение политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним и обеспечение функционирования мероприятий, процессов и процедур защиты персональных данных;
  • Оценки и, по возможности, измерения производительности процессов защиты персональных данных в соответствии с принятой политикой, целями и практическим опытом, подготовка предложений по корректирующих мероприятий;
  • Принятие корректирующих и предупреждающих действий по защите персональных данных на основании результатов внутренних проверок, периодический пересмотр политики защиты персональных данных, постоянное совершенствование мер, процессов и процедур.
Следует отметить , что такой элемент национального механизма защиты персональных данных как применение юридической ответственности занимает особое место. Законом Украины "О внесении изменений в некоторые законодательные акты Украины относительно усиления ответственности за нарушение законодательства о защите персональных данных" установлена административная и уголовная ответственность за нарушение законодательства в сфере защиты персональных данных, которая выступает в качестве принудительного средства реализации государственного управления в сфере защиты персональных данных, как средство обеспечения охраны прав субъектов персональных данных и как средство применения санкций за совершение административных правонарушений и преступления.

Возможность применения ответственности за нарушение законодательства в сфере защиты персональных данных стала той мотивацией и рычагом, которые ускоряют приведения владельцами баз персональных данных своей деятельности в соответствие с положениями действующих нормативных актов, тем самым создавая более надежные условия для реализации субъектами персональных данным свои законных прав в этой сфере.

В соответствии с положениями Кодекса Украины об административных правонарушениях , лицами, имеют право составлять протоколы об административных правонарушениях по делам о нарушении законодательства в сфере защиты персональных данных являются уполномоченные на то должностные лица специально уполномоченного центрального органа исполнительной власти по вопросам защиты персональных данных - Государственной службы Украины по вопросам защиты персональных данных. Проанализировав ее структуру, мы считаем , что фиксация правонарушений в сфере защиты персональных данных будет осуществляться недостаточно эффективной, в связи с тем , что весь штат работников данного органа находится в Киеве, а проводить работу по выявлению правонарушений необходимо будет осуществлять по всей территории Украины.

Таким образом установлено, что на сегодня осуществления полного анализа системы защиты персональных данных в банковской сфере остается проблематичным . На сегодня кроме Закона Украины "О защите персональных данных" и других подзаконных актов общего характера, существует только один Письмо Национального банка Украины относительно урегулирования вопроса защиты персональных данных в банковской сфере, в котором сказано , что порядок обработки персональных данных , относящихся к банковской тайны, утверждается Национальным банком Украины. Причем, Национальный банк Украины только после принятия соответствующими органами нормативных актов в сфере защиты персональных данных, в случае необходимости, внесет изменения в действующие Правила хранения, защиты, использования и раскрытия банковской тайны, утвержденных постановлением Правления Национального банка Украины № 267 от 14.07.2006, или утвердит новые. До этого момента банки должны обеспечивать хранение, защиту, использования и раскрытия банковской тайны (в том числе персональных данных) в соответствии с действующими Правилами. Положение же вышеупомянутых Правил по хранению, защите информации, содержащей банковскую тайну, не охватывают всех проблемных вопросов, связанных с защитой персональных данных.

Подчеркиваем, что Государственной службой Украины по вопросам защиты персональных данных совместно с Национальным банком Украины должно ускориться принятия мер по разработке Порядка обработки персональных данных, относящихся к банковской тайн . При этом разработка профессиональными банковскими объединениями корпоративных кодексов поведения в целях обеспечения эффективной защиты прав субъектов персональных данных может стать важным фактором обеспечения соблюдения законодательства в банковской сфере.


Количество показов: 4161
Короткая ссылка на новость: http://www.law-clinic.net/~jkLPu