Сущность понятия «персональные данные»
Персональные данные – это любые сведения, прямо либо косвенно относящиеся к конкретному лицу (называемому субъектом персональных данных), в их число входят ФИО субъекта, дата и место его рождения, его адрес, семейное, социальное, имущественное положение, образование, профессия, уровень доходов и прочие сведения.
Стоит отметить, что согласно действующего законодательства (ФЗ №152), ФИО частного лица, дата и место его рождения, его адрес прописки или проживания, мобильный/ домашний номер телефона и прочие сведения о нем, могут быть внесены в общедоступные источники персональных данных только с письменного согласия данного частного лица.
Таким образом, персональные сведения согласно регламентирующих документов отнесены к сведениям ограниченного доступа и в обязательном порядке должны быть защищены.
Расположение персональных данных в банковских структурах
На сегодняшний день персональные данные в банковских структурах находятся в таких системах как:
- АБС – автоматизированные банковские системы;
- программное обеспечение Клиент-Банк;
- системы мгновенного перевода денежных средств;
- бухгалтерские и управленческие системы учета;
- системы кадрового учета;
- различного рода корпоративные системы;
- web-сайты, функционирующие для внутренних целей финансового учреждения.
Порядок защиты персональных данных в банковских структурах
На сегодняшний день уровень рентабельности деятельности финансового учреждения в большей части зависит способностей банковской структуры обеспечивать ограниченный доступ к банковской тайне. Однако, персональные данные клиентов банковских структур имеют другой режим конфиденциальности, при их защите применяются прочие способы правового регулирования, но технические мероприятия, которое используются для защиты нескольких массивов данных, могут быть схожи.
Отличие заключается том, что, как правило, стандарты и требования к защите утверждаются:
- для персональных данных – ФСТЭК РФ;
- для банковой тайны – инструкциями и положениями Банка России.
На сегодняшний день жесткие требования мотивируют банковские структуры применять комплексные подходы к защите персональных данных клиентов. Также утечка персональных данных клиентов влечет за собой риски для деловой репутации и престижа финансового учреждения, а также риски судебных исков в отношении таких учреждений, которые связаны с возмещением как материального, так и морального ущерба, причиненного клиенту банка.
В настоящее время, как было отмечено ранее, персональные данные клиентов могут храниться и в общей автоматизированной системе банковской структуры, и системах онлайн – доступа к личным данным клиентам. Также персональные сведения о клиентах, хранящиеся на материальных носителях, можно найти в кредитных досье, которое включает в себя заключенные договора и кредитные соглашения, заявки на получение денежных средств, информация о залогах и поручителях. Стоит отметить, что сведения, которые хранятся на материальных носителях, являются в меньшей мере защищены от утечек, которые могут происходить в результате незаконных действий непосредственно сотрудников банковских структур. Для снижения рисков утечки в таком случае система защиты персональных данных клиентов банковской структуры должна быть основана на контроле за действиями сотрудников силами служб экономической безопасности.
На сегодняшний день банковскими структурами уже разработаны эффективные технические системы защиты персональных данных, которые в полной мере интегрированы с функционирующими в финансовом учреждении информационными системами, обеспечивающими защиту информации, которая и составляет банковскую тайну.
Специалисты в области защиты персональных данных выделяют две группы рисков:
- инсайдерские риски. Утечка информации, относящейся к персональным данным, происходит в результате передачи таких сведений работниками банковской структуры своим знакомым, партнерам и т.д. Для снижения риска утечка в таком случае необходимо проводить постоянную работу с персоналом, а также внимательно относится к принимаемым на работу сотрудникам;
- риски передачи сведений, относящихся к персональным данным, коллекторским агентствам. Утечка информации, относящейся к персональным данным, происходит при взыскании проблемной задолженности или уступке права требования. Для снижения риска утечки при передаче информации коллекторам необходимо следовать положениям утвержденной инструкции.
Ущерб от утечки данных
Ущерб, который может быть нанесен утечками сведений любым фирмам, условно можно разделить на две группы: прямой и косвенный ущерб. К прямому ущербу относят последствия, которые возникают непосредственно после утечки информации и которые достаточно легко просчитать.
К прямому ущербу относят:
- штрафы со стороны государственных надзорных органов;
- компенсации по судебным искам, которые касаются последствий утечки сведений;
- стоимость разработки технический решений.
Для банковского сектора наиболее крупным источником прямого ущерба можно назвать компенсации по судебным искам, т.к. штрафы за утечку персональных данных на сегодняшний день в РФ, в отличие от европейских стран и США, в недостаточной мере велики, а технологические и другие продукты, которые используются банковскими структурами, не разрабатываются ими самостоятельно, что, соответственно, перекладывает риски на плечи непосредственно тех фирм, к услугам которых банковские структуры обращаются для решения своих задач.
К косвенному ущербу относят потерю деловой репутации, престижа и т.д.
