Обработка персональных данных в банке

Защита персональных данных
с помощью DLP-системы

30 дней для тестирования «КИБ СерчИнформ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Каждый раз обращаясь в банк, независимо от причины – открытие банковского депозита, выполнение платежных операций, клиент должен предоставить много личных данных. К информации, которую требует предоставлять банк, относятся не только паспортные данные, но и контакты ближайших родственников, друзей, которые часто должны играть роль поручителей. Но не каждый человек задумывается о том, что же происходит с этими сведениями в дальнейшем, будет ли нести банковское учреждение какую-либо ответственность за их хранение и неразглашение, а также каким способом обрабатываются персональные данные (ПДн) в банке. 

Какая информация относится к личным данным

ФЗ № 152 «О персональных данных» характеризует ПДн как любую информацию, относящуюся к конкретному лицу или субъекту, которого можно по этим данным идентифицировать:

  • ФИО;
  • дата рождения;
  • домашний адрес;
  • семейное положение;
  • доходы;
  • образование;
  • социальное положение;
  • полученное образование;
  • профессия и др.

Практически все банки во время оформления договорных отношений с клиентом запрашивают у него личную информацию, подтверждающую его платежеспособность. Стандартными данными для банков считаются ФИО, сведения о рождении, прописка, паспортные данные, телефонный номер. Если запрашиваются контактные сведения родственников, друзей, банк таким образом проверяет клиента и нуждается в контактах, которые позволят связаться с ним, если напрямую его найти не получается. 

Клиент банка наделен правом отказа от предоставления контактов родственников и друзей. Это никак не должно повлиять на принятие банком решения об удовлетворении заявки на обслуживание. Обязательно при оформлении займов клиента заемщика фотографируют. Фото также делают при оформлении банковских карт, что позволяет идентифицировать его и повысить безопасность сделки (если, к примеру, паспорт заемщика похищен).

Фото и заполненная анкета клиента – это также сведения, которые относятся к личной информации. Банковское учреждение имеет право требовать ПДн клиента с целью проверки его надежности и возможности расплатиться по взятому кредиту.

Обработка персональных данных в банке

Во время предоставления данных гражданином ПДн банк должен предложить ему заполнить согласие на обработку его персональных данных. Это согласие заключается в предоставлении права финансовому учреждению выполнять любые действия с переданными клиентом личными сведениями, но только в рамках действующего в РФ законодательства. Такой документ представляет собой гарантию защиты ПДн от неправомерных действий, их применения только для конкретно ограниченных целей.

Обработкой данных считаются действия по:

  • сбору сведений о клиенте;
  • их записи;
  • систематизации;
  • накоплению;
  • хранению с обновлением, изменением, уточнением;
  • извлечению;
  • применению;
  • обезличиванию;
  • удалению;
  • полному уничтожению.

Банковское учреждение может использовать ПДн, если клиенту нужна какая-либо информация, как по его требованию, так и по инициативе банка.

Клиент имеет право требовать удалить свои данные, если он разрывает договорные отношения с этим финучреждением. Хранить информацию личного характера банк может до окончания срока, регламентированного законом о ПДн № 152 (Ст. 5).

Закон не устанавливает максимальный срок хранения сведений, имеющихся в банке, но в основном они должны храниться на протяжении 5 лет с даты исполнения по ним обязательств или же до момента, когда клиент сам их отзовет.

Согласие на обработку ПДн

Нарушения при обработке ПДн в банковской сфере

Основными нарушениями, которые допускаются в секторе предоставления банковских услуг, являются:

  • несоблюдение требований обеспечения сохранности личной информации и ее конфиденциальности;
  • излишняя обработка ПДн;
  • обработка личных сведений, не соответствующая заявленным целям;
  • нарушения при оформлении согласия на обработку ПДн с субъектом.

Обеспечение правильности обработки ПДн в банковских учреждениях

Законодательство не содержит перечня нормативных актов обязательного характера, которые должны быть составлены в банке или в других организациях, чтобы регулировать процесс обработки ПДн. Но базовые документы по организации защиты персональных сведений должны быть разработаны и внедрены в банковских учреждениях. К этим документам относят:

  • Политику по обработке ПДн.
  • Положение о защите персональной информации сотрудников организации.
  • Положение о защите персональной информации потребителей.

Политика обработки ПДн является обязательным документом в банковском учреждении. Эта норма прописана в статье 18.1 Закона № 152. В соответствии с рекомендациями Роскомнадзора, в этом документе должны содержаться разделы с описанием целей, правовых оснований объема и категорий обрабатываемых персональных сведений.

Важно в Политике описать порядок и условия обработки, а также порядок реагирования на запросы клиентов по вопросам обработки ПДн. Обязательно указываются способы изменения, удаления и блокирования этой информации.

Большинство финучреждений оформляют отдельные регламенты по обработке ПДн заемщиков, страхователей с отражением основных спорных моментов, исходя из банковской практики.

Кроме того, банки должны разрабатывать другие внутренние документы:

  • должностную инструкцию для лица, ответственного за обработку ПДн в финучреждении;
  • список информсистем, используемых для обработки персональной информации;
  • схему доступа в комнаты, в которых установлены серверы, обрабатывающие ПДн, с указанием фамилий и должностей сотрудников, имеющих доступ в эти помещения;
  • схему доступа в информсистемы, выполняющие обработку ПДн, с перечнем лиц, которым дозволен доступ;
  • моделирование ситуаций с угрозами безопасности ПДн во время их обработки в информсистемах персональной информации.

Банковской организации нужно также иметь подписанные гендиректором или другим уполномоченным лицом приказы о назначении лиц, ответственных за обработку в компании персональных данных.

Как отозвать согласие на обработку персональных данных

Клиент может в любой момент подать заявление об отзыве своих ПДн у банка. Кроме того, согласие можно аннулировать в следующих случаях:

  • если обязательства перед банком полностью погашены, но предложения и рассылки от банка продолжают активно поступать на e-mail, телефон;
  • если есть задолженность по кредиту, которую банк собирается передать коллекторам;
  • в случае смены места проживания и работы.

Заявление на отзыв согласия на обработку персональных данных не имеет строгой формы, но есть определенные требования, которым оно должно соответствовать:

  • в шапке бланка должно быть указано название банковской организации и ее реквизиты с адресом;
  • ниже – информация о клиенте, от имени которого составляется заявление;
  • название этого документа (заявление);
  • текст желательно дополнять нормами закона (ФЗ-№ 152, ст. 9, п. 2), с указанием причины отзыва ПДн;
  • в нижней части листа нужно указывать контакты, подпись заявителя с ее расшифровкой и дату подачи этого документа.

Заявление может быть передано лично или отправлено по почте по адресу отделения, в котором клиент обслуживается, а также на юридический адрес банковской организации.
Чтобы заявление было быстрее рассмотрено, нужно приложить к нему копию страниц паспорта и договора. При самостоятельном посещении банка с заявлением нужно предъявить свой паспорт.

Отзыв согласия на обработку ПДн

Если у заявителя есть кредит в банке, финучреждение не имеет права на разглашение данных клиента, но наделено правом их изменять, обрабатывать в течение действия кредитного договора. Отозвать свои персональные данные в этом случае нельзя, но разрешается обратиться в банк и попросить, чтобы ПДн не передавались коллекторам.

Разглашение третьим лицам

Закон о персональных данных, в частности его 7-я статья, гласит, что лица, которые получили доступ к личной информации граждан, не имеют права на ее передачу третьим лицам. Также у них нет прав на распространение персональных сведений без получения личного разрешения клиента банка.

При передаче долга коллекторской службе банку нужно раскрыть также и персональные данные должника. Такие действия кредитора являются незаконными. В этом случае наступает ответственность за эти действия. Например, банк должен будет возместить моральный ущерб клиенту.

Если в договоре кредитования есть условия о предоставлении банку права передачи долга третьим лицам – коллекторскому агентству, тогда действия банка нельзя считать противозаконными. Согласие должника при этом не нужно получать.

Правомерной передача сведений третьим лицам будет в случае, если есть судебное решение на взыскание с клиента банка долга по оформленному кредитному договору. Это требование изложено в статье 44 ч. 1 ГПК РФ.

Любые персональные сведения, предоставляемые клиентами банкам и другим официальным учреждениям, чрезвычайно ценные. Поэтому вопрос их безопасности, хранения и передачи стоит очень остро. В связи с участившимся мошенничеством, ошибками граждан в вопросе предоставления ПДн при обращении в банки, ошибками операторов во время работы с персональной информацией сторонам важно знать требования законодательства и соблюдать их.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними