Письмо Банка России №
42-Т от
14 марта 2014 г. «Об усилении контроля за рисками, возникающими у кредитных
организаций при использовании информации, содержащей персональные данные
граждан», судя по его содержанию, было реакцией надзорного подразделения на
участившиеся случаи массового выноса на городские помойки документов с
персональными данными клиентов не самых последних российских банков.
Хроника событий (взятых
из открытых источников) выглядела примерно так:
Тем не менее письмо №
42-Т не вызвало большого внимания специалистов, которые вяло пообсуждали,
согласившись, что опять рассказали про Волгу и Каспийское море. На нюансы
письма одним из первых обратил внимание
Николай Беляков
из банковского сообщества. Предпоследний абзац письма сурово сообщал, что «Территориальным
учреждениям Банка России при осуществлении надзора за деятельностью кредитных
организаций следует учитывать случаи выявления недостатков в деятельности,
связанных с исполнением норм Федерального закона от 27.07.2006 № 152-ФЗ, и
рассматривать их как негативный фактор
при оценке качества управления кредитной организацией, в том числе оценке
организации системы внутреннего контроля в соответствии с Положением Банка
России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных
организациях и банковских группах».
Дальше
мостик перекидывается весьма неожиданно. Статья 48 Федерального закона от
23.12.2003 № 177-ФЗ «О страховании вкладов физических лиц в банках Российской
Федерации» предусматривает возможность прекращения банками привлечения средств
физических лиц, если группа показателей
качества управления банком, включая показатели, характеризующие систему
управления рисками, состояние внутреннего контроля, оценивается как
неудовлетворительная в течение трех месяцев подряд. Как терручреждения ЦБ будут
оценивать документы на свалке, знают только они, но банки, попавшие под
раздачу, кое-какие выводы сделали. Сбербанк, отделение которого отличилось в г.
Зеленограде, управляющую отделением, чьи документы ветер развеял над городом,
сначала отстранил от работы, а затем уволил.
Но, как
я люблю говорить на своих курсах, это было только начало истории.
А
продолжение она получила уже в апреле этого года. Материалов судебного дела в открытом
доступе обнаружить, к сожалению, не удалось, поэтому выводы буду делать на
основании публикации в «Известиях».
Уволили
руководителя отделения «банка друзей» за разглашение банковской тайны -
подпункт в) п.6 ст.81 Трудового кодекса, предусматривающего расторжение
трудового договора по инициативе работодателя в случае однократного грубого
нарушения работником трудовых обязанностей, в частности – разглашения
охраняемой законом тайны (государственной, коммерческой, служебной и иной),
ставшей известной работнику в связи с исполнением им трудовых обязанностей, в
том числе разглашения персональных данных другого работника.
Формулировку
в трудовой книжке уволенного руководителя и материалов служебного расследования
я, естественно, не видел, но, подозреваю, что там кадровики дали маху.
Подозреваю, потому что суд все доводы работодателя отмел и … восстановил
управляющую в должности с компенсацией ей более миллиона рублей за вынужденный
прогул, моральный вред и судебные издержки. По мнению суда, руководитель
отделения Сбербанка ни в чем не виновата – документы на помойку вынесла
сотрудница клининговой компании (это сейчас так толерантно называют уборщиц) из
Киргизии, которую быстро отправили на родину. Коробку с документами она взяла
из-под стола в операционном зале, причем, по мнению уволенного руководителя,
взяла неправомерно, потому как документы на выброс не предназначались. Адвокат
восстановленной работницы с гордостью сообщил, что «мы доказали, что она не
имела к этой истории никакого отношения: уборщица самовольно, без чьего-либо
указания и приказа, в нарушение всех инструкций взяла под столом документы,
которые находились в работе и не предназначались к выносу за пределы Сбербанка.
К тому же, когда утром уборщица выкидывала документы, самой Ломовой еще не было
на рабочем месте».
Еще раз
повторюсь, дело, на мой взгляд, в формулировке причин увольнения. Если она была
таковой, как указано в публикации «Известий» - разглашение банковской тайны, то
оспорить ее было не так уж и трудно. Управляющая отделением ничего сама не
разглашала. Она не создала условий, обеспечивающих выполнение закона. А это –
совсем другая история.
Что
значит, не создала условий в данном случае? Читаем закон 152-ФЗ «О персональных
данных» и постановление Правительства № 687. Ст.19 152-ФЗ: «Оператор при
обработке персональных данных обязан принимать необходимые правовые,
организационные и технические меры или обеспечивать их принятие для защиты персональных данных от
неправомерного или случайного доступа к ним, уничтожения, изменения,
блокирования, копирования, предоставления, распространения
персональных данных, а также от иных неправомерных действий в отношении
персональных данных». Пункт 15 постановления: «При хранении материальных
носителей должны соблюдаться условия, обеспечивающие
сохранность персональных данных и исключающие
несанкционированный к ним доступ. Перечень
мер, необходимых для обеспечения таких условий, порядок их принятия, а
также перечень лиц, ответственных за
реализацию указанных мер, устанавливаются
оператором».
В
рассматриваемой ситуации имел место и неправомерной (случайный) доступ уборщицы
к персональным данным клиентов, и сохранность их не обеспечена, и
распространение налицо – заявления на получения пластиковых карт, банковское
обслуживание, договоры на открытие счетов с фамилиями, именами, отчествами
клиентов, их паспортными данными и даже финансовыми историями клиентов летали
над городом, и каждый желающий мог с ними ознакомиться.
Вот
если бы должностные обязанности руководителю отделения банкам были определены
корректно, и в них бы предусматривалось обеспечение соблюдения законодательства
в сфере персональных данных, основание для увольнение должно было быть совсем
другим – не п.6, а п.10 той же статьи 81 ТК РФ: «однократного грубого нарушения
руководителем организации (филиала, представительства), его заместителями своих
трудовых обязанностей». Оспорить его в суде при установленном факте наличия документов
в мусорном баке и вокруг него было бы крайне сложно.
Еще
одна история. В отделении того же банка в Ижевске документы оказались на улице
вообще по анекдотичной причине. Водитель грузовика, вывозившего бумажные
документы банка на утилизацию, толкнул его первому же желающему «для подсыпки
дороги». Сами понимаете, кредитные заявления для этой цели, в отличие от строительного
мусора, годятся плохо, вот и полетели они над Ижевском, как ранее над
Зеленоградом.
И
рецепты по традиции.
1.
Определяя приказом ответственного за организацию обработки
персональных данных в юридическом лице, не забудьте вменить в обязанность
руководителям структурных подразделений (филиалов, отдельных операционных
офисов) обязанности по обеспечению требований 152-ФЗ во вверенном подразделении
и предусмотреть ответственность за их невыполнение.
2.
В договор с организацией, производящей утилизацию носителей
персональных данных, не забудьте включить пункт о конфиденциальности и
ответственности за ее несоблюдение.
3.
Если такого условия нет и включить его почему-то нельзя,
обеспечьте присутствие ответственного работника оператора при следовании
транспорта на предприятие по утилизации и в ходе самой утилизации вплоть до
полного уничтожения носителя.
И
помните – в соответствии с законом лицо, которому оператором поручена обработка
персональных данных (в данном случае – уничтожение) перед субъектом
ответственности не несет, а отвечает только перед оператором. Как отвечает –
должно быть определено в договоре, иначе неизбежны долгие и сложные споры в
арбитраже с непредсказуемым исходом.
Специально
для банков. Закон о персональных данных теперь – элемент оценки деятельности
банка с точки зрения эффективности управления и внутреннего контроля. Принять
превентивные меры, доказывающие добросовестность оператора (правильно написать
нормативные документы) не сложно. Но сделать это надо заранее.
Полностью согласен с Вами. Только хочу добавить: отягощает вину управляющей зеленогадским сбербанком еще и то, что уборщица не сотрудник сбербанка. Она сотрудник аутсорсинговой компании. Так что и кадровики и юристы сбербанка лузеры. Ее. Можно было уволить и за то, что сотрудники чужой компании вообще могут спокойно взять какие то документы. А управляющая это не пресекла. Должна была в локальных актах описать правила уборки помещений. Как минимум то, что посторонние люди не могут находиться в кабинетах где есть документы без отвественных лиц
ОтветитьУдалитьНемного не в тему прям-таки банков, но около того: как вы оцениваете последствия того, что с 1го июля любое заинтересованное лицо без согласия субъекта кредитной истории вправе получить информационный отчёт из кредитной истории, содержащий в том числе ФИО, паспорт, инн, снилс человека?
ОтветитьУдалитьЭто ответ банков на то что у нас катастрофическая ситуация с неплатежами. Каждый 6 уже никогда не сможет плучить кредит. В черном списке. Банкам как то надо защищать свои деньги. Кроме того, из-за неплательщиков нам, честным, ставки не снижают.
УдалитьИ в чем ценность таких данных как фио, паспорт иснилс? Что с вами случится, еслиих на заборе написать? Вот кредтная история-это да, важная информация.
ну вот кроме персданных там ещё и по кредитам информация содержится в этом информационном отчёте. Единственно, я уповаю на то, что в законе написано о "пользователе", который может запрашивать информационный отчёт, а в общих определениях написано всё-таки, что пользователем является лицо, имеющее письменное согласие на основную часть кредитного отчёта, так что согласие законодатели может и задумывали оставлять, но так коряво изложено...
УдалитьИ ещё по поводу фразы "И в чем ценность таких данных как фио, паспорт иснилс?
УдалитьУже с 16го мая можно в электронном виде отправить эти данные оператору электронных денег и, при совпадении их с данными из госифнормсистемы, будет считаться, что пройдена идентификация для противоотмывочных целей, и именно тот, чьи данные указаны, делает переводы электронных денег.
Надо ли говорить, что отмывание денег таким образом в совокупности с неограниченностью доступа к персданным из кредитных историй может очень легко пойти по пути выкачки этих данных из историй и подставки их для получения электронных кошельков.