Принципы обработки персональных данных в банке

Обработка персональных данных в банке | Безопасность персональных данных в банке

Принципы обработки персональных данных в банке

Каждый раз обращаясь в банк, независимо от причины – открытие банковского депозита, выполнение платежных операций, клиент должен предоставить много личных данных.

К информации, которую требует предоставлять банк, относятся не только паспортные данные, но и контакты ближайших родственников, друзей, которые часто должны играть роль поручителей.

Но не каждый человек задумывается о том, что же происходит с этими сведениями в дальнейшем, будет ли нести банковское учреждение какую-либо ответственность за их хранение и неразглашение, а также каким способом обрабатываются персональные данные (ПДн) в банке. 

Какая информация относится к личным данным

ФЗ № 152 «О персональных данных» характеризует ПДн как любую информацию, относящуюся к конкретному лицу или субъекту, которого можно по этим данным идентифицировать:

  • ФИО;
  • дата рождения;
  • домашний адрес;
  • семейное положение;
  • доходы;
  • образование;
  • социальное положение;
  • полученное образование;
  • профессия и др.

Практически все банки во время оформления договорных отношений с клиентом запрашивают у него личную информацию, подтверждающую его платежеспособность.

Стандартными данными для банков считаются ФИО, сведения о рождении, прописка, паспортные данные, телефонный номер.

Если запрашиваются контактные сведения родственников, друзей, банк таким образом проверяет клиента и нуждается в контактах, которые позволят связаться с ним, если напрямую его найти не получается. 

Клиент банка наделен правом отказа от предоставления контактов родственников и друзей. Это никак не должно повлиять на принятие банком решения об удовлетворении заявки на обслуживание.

Обязательно при оформлении займов клиента заемщика фотографируют.

Фото также делают при оформлении банковских карт, что позволяет идентифицировать его и повысить безопасность сделки (если, к примеру, паспорт заемщика похищен).

Фото и заполненная анкета клиента – это также сведения, которые относятся к личной информации. Банковское учреждение имеет право требовать ПДн клиента с целью проверки его надежности и возможности расплатиться по взятому кредиту.

Обработка персональных данных в банке

Во время предоставления данных гражданином ПДн банк должен предложить ему заполнить согласие на обработку его персональных данных.

Это согласие заключается в предоставлении права финансовому учреждению выполнять любые действия с переданными клиентом личными сведениями, но только в рамках действующего в РФ законодательства.

Такой документ представляет собой гарантию защиты ПДн от неправомерных действий, их применения только для конкретно ограниченных целей.

Обработкой данных считаются действия по:

  • сбору сведений о клиенте;
  • их записи;
  • систематизации;
  • накоплению;
  • хранению с обновлением, изменением, уточнением;
  • извлечению;
  • применению;
  • обезличиванию;
  • удалению;
  • полному уничтожению.

Банковское учреждение может использовать ПДн, если клиенту нужна какая-либо информация, как по его требованию, так и по инициативе банка.

Клиент имеет право требовать удалить свои данные, если он разрывает договорные отношения с этим финучреждением. Хранить информацию личного характера банк может до окончания срока, регламентированного законом о ПДн № 152 (Ст. 5).

Закон не устанавливает максимальный срок хранения сведений, имеющихся в банке, но в основном они должны храниться на протяжении 5 лет с даты исполнения по ним обязательств или же до момента, когда клиент сам их отзовет.

Нарушения при обработке ПДн в банковской сфере

Основными нарушениями, которые допускаются в секторе предоставления банковских услуг, являются:

  • несоблюдение требований обеспечения сохранности личной информации и ее конфиденциальности;
  • излишняя обработка ПДн;
  • обработка личных сведений, не соответствующая заявленным целям;
  • нарушения при оформлении согласия на обработку ПДн с субъектом.

Обеспечение правильности обработки ПДн в банковских учреждениях

Законодательство не содержит перечня нормативных актов обязательного характера, которые должны быть составлены в банке или в других организациях, чтобы регулировать процесс обработки ПДн. Но базовые документы по организации защиты персональных сведений должны быть разработаны и внедрены в банковских учреждениях. К этим документам относят:

  • Политику по обработке ПДн.
  • Положение о защите персональной информации сотрудников организации.
  • Положение о защите персональной информации потребителей.

Политика обработки ПДн является обязательным документом в банковском учреждении. Эта норма прописана в статье 18.1 Закона № 152. В соответствии с рекомендациями Роскомнадзора, в этом документе должны содержаться разделы с описанием целей, правовых оснований объема и категорий обрабатываемых персональных сведений.

Важно в Политике описать порядок и условия обработки, а также порядок реагирования на запросы клиентов по вопросам обработки ПДн. Обязательно указываются способы изменения, удаления и блокирования этой информации.

Большинство финучреждений оформляют отдельные регламенты по обработке ПДн заемщиков, страхователей с отражением основных спорных моментов, исходя из банковской практики.

Кроме того, банки должны разрабатывать другие внутренние документы:

  • должностную инструкцию для лица, ответственного за обработку ПДн в финучреждении;
  • список информсистем, используемых для обработки персональной информации;
  • схему доступа в комнаты, в которых установлены серверы, обрабатывающие ПДн, с указанием фамилий и должностей сотрудников, имеющих доступ в эти помещения;
  • схему доступа в информсистемы, выполняющие обработку ПДн, с перечнем лиц, которым дозволен доступ;
  • моделирование ситуаций с угрозами безопасности ПДн во время их обработки в информсистемах персональной информации.

Банковской организации нужно также иметь подписанные гендиректором или другим уполномоченным лицом приказы о назначении лиц, ответственных за обработку в компании персональных данных.

Как отозвать согласие на обработку персональных данных

Клиент может в любой момент подать заявление об отзыве своих ПДн у банка. Кроме того, согласие можно аннулировать в следующих случаях:

  • если обязательства перед банком полностью погашены, но предложения и рассылки от банка продолжают активно поступать на e-mail, телефон;
  • если есть задолженность по кредиту, которую банк собирается передать коллекторам;
  • в случае смены места проживания и работы.

Заявление на отзыв согласия на обработку персональных данных не имеет строгой формы, но есть определенные требования, которым оно должно соответствовать:

  • в шапке бланка должно быть указано название банковской организации и ее реквизиты с адресом;
  • ниже – информация о клиенте, от имени которого составляется заявление;
  • название этого документа (заявление);
  • текст желательно дополнять нормами закона (ФЗ-№ 152, ст. 9, п. 2), с указанием причины отзыва ПДн;
  • в нижней части листа нужно указывать контакты, подпись заявителя с ее расшифровкой и дату подачи этого документа.

Заявление может быть передано лично или отправлено по почте по адресу отделения, в котором клиент обслуживается, а также на юридический адрес банковской организации.
Чтобы заявление было быстрее рассмотрено, нужно приложить к нему копию страниц паспорта и договора. При самостоятельном посещении банка с заявлением нужно предъявить свой паспорт.

Если у заявителя есть кредит в банке, финучреждение не имеет права на разглашение данных клиента, но наделено правом их изменять, обрабатывать в течение действия кредитного договора. Отозвать свои персональные данные в этом случае нельзя, но разрешается обратиться в банк и попросить, чтобы ПДн не передавались коллекторам.

Разглашение третьим лицам

Закон о персональных данных, в частности его 7-я статья, гласит, что лица, которые получили доступ к личной информации граждан, не имеют права на ее передачу третьим лицам. Также у них нет прав на распространение персональных сведений без получения личного разрешения клиента банка.

При передаче долга коллекторской службе банку нужно раскрыть также и персональные данные должника. Такие действия кредитора являются незаконными. В этом случае наступает ответственность за эти действия. Например, банк должен будет возместить моральный ущерб клиенту.

Если в договоре кредитования есть условия о предоставлении банку права передачи долга третьим лицам – коллекторскому агентству, тогда действия банка нельзя считать противозаконными. Согласие должника при этом не нужно получать.

Правомерной передача сведений третьим лицам будет в случае, если есть судебное решение на взыскание с клиента банка долга по оформленному кредитному договору. Это требование изложено в статье 44 ч. 1 ГПК РФ.

Любые персональные сведения, предоставляемые клиентами банкам и другим официальным учреждениям, чрезвычайно ценные. Поэтому вопрос их безопасности, хранения и передачи стоит очень остро.

В связи с участившимся мошенничеством, ошибками граждан в вопросе предоставления ПДн при обращении в банки, ошибками операторов во время работы с персональной информацией сторонам важно знать требования законодательства и соблюдать их.

Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/obrabotka-personalnyh-dannyh/dannykh-v-banke/

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

АССОЦИАЦИЯ РОССИЙСКИХ БАНКОВ

АССОЦИАЦИЯ РЕГИОНАЛЬНЫХ БАНКОВ РОССИИ (АССОЦИАЦИЯ “РОССИЯ”)

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

ПО ВЫПОЛНЕНИЮ ЗАКОНОДАТЕЛЬНЫХ ТРЕБОВАНИЙ ПРИ ОБРАБОТКЕ

ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИЯХ БАНКОВСКОЙ СИСТЕМЫ

РОССИЙСКОЙ ФЕДЕРАЦИИ

(на основе комплекса документов в области стандартизации

Банка России “Обеспечение информационной безопасности

организаций банковской системы Российской Федерации”)

I. Введение

В Банк России, Ассоциацию российских банков и Ассоциацию региональных банков России (Ассоциацию “Россия”) поступают многочисленные обращения организаций банковской системы Российской Федерации (БС РФ) по вопросу применения положений Федерального закона от 27 июля 2006 года N 152-ФЗ “О персональных данных” (далее – Федеральный закон “О персональных данных”). Банками отмечается, что выполнение норм Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных является крайне важной задачей и способствует защите интересов граждан.

С целью выполнения в организациях банковской системы Российской Федерации (далее – БС РФ) требований Федерального закона “О персональных данных” и требований (рекомендаций) Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – Роскомнадзор), Федеральной службы безопасности Российской Федерации (далее – ФСБ России) и Федеральной службы по техническому и экспортному контролю (далее – ФСТЭК России) Центральный банк Российской Федерации при участии Роскомнадзора, ФСБ России, ФСТЭК России (далее – Регуляторы, если по смыслу не требуется детализация), Ассоциации российских банков (далее – АРБ) и Ассоциации региональных банков России (Ассоциации “Россия”) разработал отраслевые документы по приведению организаций БС РФ в соответствие с требованиями законодательства в области персональных данных. Эти документы включают:

1. Четыре документа, входящие в комплекс документов в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации” (далее – Комплекс БР ИББС):

– Рекомендации в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Отраслевая частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных организаций банковской системы Российской Федерации” (РС БР ИББС-2.4) (далее – Отраслевая модель угроз);

– Доработанные в части требований по обработке и обеспечению безопасности персональных данных в соответствии с Отраслевой моделью угроз стандарты Банка России отраслевого применения СТО БР ИББС-1.0 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации.

Общие положения” (далее – стандарт Банка России СТО БР ИББС-1.0) и СТО БР ИББС-1.2 “Обеспечение информационной безопасности организаций банковской системы Российской Федерации.

Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0″;

– Рекомендации в области стандартизации Банка России “Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Требования по обеспечению безопасности персональных данных в информационных системах персональных данных организаций банковской системы Российской Федерации” (далее – рекомендации в области стандартизации Банка России РС БР ИББС-2.3).

2. Методические рекомендации по выполнению законодательных требований при обработке персональных данных в организациях БС РФ (далее – Методические рекомендации).

Методические рекомендации разработаны Ассоциацией российских банков и Ассоциацией региональных банков России (Ассоциацией “Россия”) совместно с Банком России для обеспечения методической поддержки применения организациями БС РФ Комплекса БР ИББС.

Место вышеуказанной документации показано на примерной структурной схеме документационного обеспечения выполнения законодательных требований при обработке персональных данных в организациях БС РФ (Рис. 1).

Рис. 1. Примерная структурная схема верхних уровней

документационного обеспечения выполнения законодательных

требований при обработке персональных данных

в организации БС РФ

┌─────────────────────────────────────────────────────────────────────────┐│ Федеральный закон от 27 июля 2006 года N 152-ФЗ ││ “О персональных данных” ││ (ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ В ОРГАНИЗАЦИИ БС РФ) │└────────────────────────────────────┬────────────────────────────────────┘ ┌──┴─────────────────────────────────┬──────────┬──────┬───────────────────┐ \/ │ │ │ \/ ┌──────────────────────────────────────────────┐ │ │ │ ┌───────────────────────────┐ │Постановление Правительства РФ N 781 – 2007 г.│ │ │ │ │Постановление Правительства│ │ (АВТОМАТИЗИРОВАННАЯ ОБРАБОТКА) │ │ │ │ │ РФ N 687 – 2008 г. │ └─┬────────┬─────────────────┬────────────────┬┘ │ │ │ │ (ОБРАБОТКА БЕЗ СРЕДСТВ │ ┌────┘ │ │ └────┐ │ │ │ │ АВТОМАТИЗАЦИИ) │ \/ \/ \/ \/ │ │ │ └┬─────────────────────┬────┘┌─────────────┐ ┌────────────┐ ┌─────────────────┐ ┌─────────────────┐ │ │ │ │ ││Методические │ │Методические│ │Типовой регламент│ │Совместный приказ│ │ │ \/ \/ ││ документы │ │ документы │ │ по контролю │ │ ФСБ, ФСТЭК, │ │ │ ┌───────────────────────┐ ││ФСТЭК России │ │ ФСБ России │ │ (надзору) ФСБ │ │ Минкомсвязи │ │ │ │ Административный │ │└────┬┬──────┬┘ └─┬─┬─┬──────┘ └────────┬────────┘ └───────┬─────────┘ │ │ │регламент Роскомнадзора│ │ │ └────────────┐ │ │ │ │ └──┬────────┬───────────┘ │ ││ │ │ │ \/ \/ \/ \/ │ │ │ │ │ ┌────────────────────────────────────────────┐ │ │ │ │ │└──────┼────┼─┼─────>│Комплекс документов в области стандартизации│ │ │ │ │ │ Банка России “Обеспечение информационной │

Источник: https://legalacts.ru/doc/metodicheskie-rekomendatsii-po-vypolneniiu-zakonodatelnykh-trebovanii-pri/

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.