Доклад заместителя руководителя Роскомнадзора Р.В. Шередина на Второй межбанковской конференции «Информационная безопасность банков» на тему: «Опыт проверок выполнения требований Федерального закона «О персональных данных» 19 февраля 2010 года
Уважаемые участники!
В соответствии с постановлением Правительства Российской Федерации от 16 марта 2009 г. № 228, Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных.
Отмечу, что 2009 год стал этапом становления системы государственного контроля (надзора) в указанной сфере деятельности, где полученные результаты сегодня следует охарактеризовать как платформу дальнейших преобразований, направленных на совершенствование контрольно-надзорной деятельности в области персональных данных.
С первых дней реализации Федерального закона «О персональных данных» обозначились категории операторов, осуществляющих обработку значительного числа субъектов персональных данных. Наряду с операторами связи, страховыми компаниями, организациями сферы ЖКХ в их число вошли и кредитные организации.
Задача Роскомнадзора на первоначальном этапе состояла не столько в применении административных мер в отношении операторов, сколько в оказании информационно-методического содействия в приведении их деятельности в соответствие требованиям законодательства Российской Федерации для предотвращения массовых нарушений прав субъектов персональных данных.
Вместе с тем, в течение двух последних лет общий объем выявленных нарушений в деятельности кредитных организаций остается достаточно высоким.
В первую очередь, нарушения касаются неправомерной деятельности по обработке персональных данных без уведомления Роскомнадзора. Несмотря на общую положительную динамику, количество зарегистрированных в реестре операторов Роскомнадзора кредитных организаций не превышает 30 % от общей численности, и составляет на сегодняшний день около 300. Существующее положение является недопустимым, и, на мой взгляд, связано с выжидательной позицией большинства указанных организаций и мнением, что факт отсутствия в реестре операторов исключает возможность проведения в отношении их деятельности проверок в области персональных данных.
Принимая во внимание решение ведомственной Коллегии, Роскомнадзор планирует отойти от сложившейся практики информационно - разъяснительной, фактически «пригласительной», работы к принятию соответствующих мер реагирования, в части привлечения операторов к административной ответственности за непредставление уведомлений об обработке персональных данных, а также информации об изменении сведений, содержащихся в уведомлении.
В 2009 году Роскомнадзором проведено 34 проверки в отношении кредитных организаций, по итогам которых нарушения требований законодательства в области персональных данных были выявлены в 63% случаев. Государственными инспекторами выдано 65 предписаний, что составляет 12% от общего числа выданных предписаний, в 8 случаях материалы проверок были направлены в органы прокуратуры.
По итогам выборочного анализа материалов проверок установлено, что кредитными организациями, в большей степени, допускаются следующие нарушения:
обработка персональных данных без соответствующего согласия субъекта персональных данных (Банк «Петрокоммерц», Райффайзенбанк»);
предоставление неполных или недостоверных сведений, содержащихся в уведомлении (ОАО «Радиотехбанк», Банк «Петрокоммерц»);
нарушение требований конфиденциальности, допущенные при обработке персональных данных (Райффайзенбанк, Банк «Югра»);
обработка сведений о судимости и персональных данных близких родственников (Банк «Югра», Банк «Петрокоммерц»).
несоответствие содержания письменного согласия субъекта персональных данных перечню, установленному Федеральным законом «О персональных данных» («Нижневолжский коммерческий банк»).
В письменных согласиях зачастую отсутствуют цель обработки персональных данных, перечень персональных данных, на обработку которых дается согласие субъекта персональных данных, а также допускаются некорректные формулировки относительно сроков обработки персональных данных.
К примеру, в типовых формах согласия некоторых кредитных организаций имеются положения, устанавливающие право кредитных организаций обрабатывать персональные данные субъекта персональных данных в течение всей его жизни либо в течение неопределенного срока.
По нашему мнению, срок действия согласия клиента банка ограничивается сроками действия банковского договора. Таким образом, вышеуказанные формулировки являются не соответствующими законодательству.
Принимая во внимание особую актуальность вопросов защиты прав субъектов персональных данных, считаю необходимым скорейшее принятие кредитными организациями действенных мер, направленных на полное пресечение указанных нарушений и недопущение их в будущем.
Отдельно хочу остановиться на вопросе взаимодействия кредитных организаций и коллекторских агентств.
Итоги контрольно-надзорной деятельности и результаты рассмотрения обращений граждан наглядно показывают, что на сегодняшний день, банками активно внедряются механизмы взыскания кредиторской задолженности через коллекторские агентства.
Вместе с тем, при реализации указанной практики со стороны банков частично, а, в отдельных случаях, полностью, отсутствует соблюдение требований законодательства в области персональных данных.
В первую очередь, это касается передачи персональных данных коллекторам без соответствующего согласия субъекта персональных данных. Наиболее остро стоит ситуация с действующими кредитными договорами, заключенными до вступления Федерального закона «О персональных данных» в силу. Позиция Роскомнадзора по данному вопросу остается неизменной: взыскание кредиторской задолженности по указанным договорам должно осуществляться либо силами банка, либо третьими лицами, если это установлено условиями клиентских договоров.
Еще одним проблемным аспектом считается отсутствие в агентских договорах условий обеспечения безопасности персональных данных при их обработке.
Следствием чего являются ситуации, когда после взыскания кредиторской задолженности банками практически не осуществляется контроль за деятельностью коллекторов по уничтожению ранее полученных персональных данных.
Очевидно, что ответственность за последующую незаконную обработку персональных данных в указанном случае несет банк, передавшей коллекторскому агентству персональные данные своих клиентов. Это подтверждается судебной практикой в отношении иных категорий операторов.
Да и сама деятельность коллекторских агентств также вызывает немало вопросов.
Только по результатам проверки в отношении ООО «Столичное коллекторское агентство» было выявлено 13 нарушений законодательства в области персональных данных.
Это и сбор дополнительных персональных данных субъекта, в том числе сведений, отнесенных к специальной категории персональных данных (судимость, состояние здоровья), это и привлечение внештатных сотрудников для осуществления мероприятий по взысканию с передачей им персональных данных лиц, имеющих кредиторскую задолженность, это и нарушение требований обработки персональных данных без средств автоматизации.
По данным нарушением были выданы предписания, а должностное лицо и сама организация привлечены к административной ответственности (штраф 11 000 рублей).
Полагаю, что подобные нарушения присутствуют в деятельности иных коллекторских агентств. По нашему мнению, данное положение вещей является недопустимым, и мы со своей стороны будем и впредь жестко пресекать подобные нарушения.
Еще одним аспектом в деятельности кредитных организаций, вызывающим нашу озабоченность, являются факты незаконной деятельности банков в части формирования информационных систем, содержащих персональные данные лиц, являющихся, по определению банка, неблагонадежными заемщиками, а также их поручителей с последующей передачей указанных сведений третьим лицам, в том числе иным кредитным организациям.
В ходе одного из судебных разбирательств судом было установлено наличие нормативного акта одного из банков, регламентирующего Порядок ведения и использования информационной системы «СТОП-ЛИСТ».
Судом установлено, что заявитель, направивший жалобу в Роскомнадзор, при обращении в данную кредитную организацию по вопросу получения кредита получил отказ на основании содержания его персональных данных в информационной системе «СТОП-ЛИСТ» в статусе поручителя неблагонадежного заемщика.
В ходе рассмотрения иска Роскомнадзора, как уполномоченного органа по защите прав субъектов персональных данных, о восстановлении нарушенных прав субъекта персональных данных судом вышеуказанная деятельность Банка была признана незаконной и не подпадающей под исключения, предусмотренные ч. 2 ст. 6 Федерального закона «О персональных данных» в части возможности обработки персональных данных без получения соответствующего согласия субъекта персональных данных.
Случай этот не единичный.
По данным фактам нами в адрес Банка России было направлено письмо о принятии действенных мер, направленных на скорейшее устранение указанных нарушений в банковской сфере.
Актуальность вопросов защиты прав субъектов персональных косвенно подтверждается результатами рассмотрения обращений граждан по вопросам, связанным с нарушением их прав и законных интересов как субъектов персональных данных.
С начала 2009 года в Роскомнадзор поступило 28 обращений граждан с жалобами на действия кредитных организаций.
Чаще всего граждане обжаловали действия ЗАО «Тинькофф Кредитные системы», ЗАО «Юни Кредит Банк», ЗАО «ДжиИ Мани банк» в части незаконной передачи их персональных данных третьим лицам.
В большинстве случаев факты, указанные в обращениях, подтверждались.
В 2009 году мы пытались разрешать возникающие проблемные вопросы в ходе профилактических встреч с представителями банков. Однако, не у всех это встречает понимание. Так, «ЮниКредит Банк» на наше предложение об урегулировании вопроса, связанного с систематической незаконной передачей персональных данных коллекторскому агентству, от встречи отказался. В связи с чем соответствующие документы нами направлены в прокуратуру.
Уважаемые коллеги!
Прошедший год ознаменовался активной деятельностью заинтересованных органов государственной власти и представителей операторского сообщества по выработке предложений, направленных на гармонизацию и совершенствование действующего законодательства в области персональных данных.
Изначально данная работа велась в рамках Консультативного Совета при уполномоченном органе по защите прав субъектов персональных данных, созданного в октябре 2009 года. В состав Совета вошли также и представители банковского сообщества. Впоследствии работа была продолжена в формате межведомственной рабочей группы при Минкомсвязи России.
Позиция Роскомнадзора в этом направлении - скорейшее принятие тех нормативных правовых актов, которые позволят в полной мере обеспечить законные интересы и защитить права граждан, доверяющих свои персональные данные как государственным органам, так и коммерческим структурам. Этим же целям будут соответствовать формы и методы нашей контрольно-надзорной деятельности в области защиты прав субъектов персональных данных.
Приказом Роскомнадзора от 1 декабря 2009 г. № 630 руководителем Службы утвержден Административный регламент проведения проверок при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства, устанавливающий порядок и основания проведения проверок в области персональных данных. Регламент прошел все процедуры согласования и был зарегистрирован Министерством юстиции Российской Федерации 28 января 2010 г.
Регламент закрепил условия и порядок проведения проверок в области персональных данных, в том числе положения, согласно которым:
плановые проверки Роскомнадзора проводятся в отношении операторов, осуществляющих обработку персональных данных, вне зависимости от факта включения в реестр операторов;
срок проведения проверок для всех операторов установлен в течение 20 дней;
внеплановые проверки могут проводиться по фактам нарушения прав и законных интересов граждан действиями (бездействием) операторов при обработке их персональных данных.
Говоря о совершенствовании нормативной правовой базы в области персональных данных, хочу отметить действия Банка России и Ассоциации российских банков, направленные на внесение изменений в стандарт Банка России в части введения дополнительных положений, устанавливающих обязанности по соблюдению требований законодательства Российской Федерации в области персональных данных, в том числе о необходимости представления кредитными организациями уведомлений об обработке персональных данных.
Роскомнадзор, отмечая практическую необходимость указанных предложений, в целом поддерживает их принятие.
Да, сегодня мы имеем ряд замечаний в части внесения дополнений, устанавливающих требования к типовым формам документов, а также исключения положений, предусматривающих обработку кредитными организациями сведений о судимости. Кроме того, остаются вопросы о целесообразности обработки банком сведений, касающейся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни клиентов и иных субъектов персональных данных.
Но эти вопросы обсуждаемы, и я уверен, что до конца февраля мы придем к взаимопониманию.
Уважаемые коллеги!
Сегодня мы решаем важнейший вопрос – определяем стратегические направления деятельности по защите персональных данных. Очевидно, что только консолидированные усилия всех участников данного процесса позволят реализовать поставленные задачи в полной мере.
И потому хочется выразить уверенность, что 2010 год станет этапом развития партнерских отношений между регуляторами и банковским сообществом в сфере персональных данных.
Наша позиция проста и понятна всем, у нас есть первые результаты, но, повторюсь, сегодня мы ставим гораздо более амбициозные задачи – достичь качественного изменения в области защиты прав субъектов персональных данных.
http://www.rsoc.ru/press/speech/news11729.htm