Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

воскресенье, 13 февраля 2011 г.

О банковской тайне, персональных данных и иллюзиях соответствия.

 Вот уже полтора месяца действует закон о защите персональных данных. За это время у компаний, у которых, в соответствии с законом, возникли определенные обязательства по защите персональных данных, накопилось немало вопросов.  Например, "где регистрировать базы?" или "как их защищать?".
Ответ на этот вопрос знает только малая толика людей, которая удосужилась внимательно прочитать, что:
"Кабинет Министров Украины в течение шести месяцев со дня  вступления в силу Закона обеспечивает принятие нормативно-правовых актов, предусмотренных этим Законом, приведение своих нормативно-правовых актов в  соответствие с настоящим Законом."
Т.е. делать особо пока нечего, кроме того, что провести инвентаризацию своих баз и ждать, когда уполномоченный орган даст соответствующие требования по защите и начнет регистрировать базы.

Ситуация в банках еще более пикантная. С одной стороны, в законе четко сказано:

"Порядок обработки персональных данных, относящихся к банковской тайне, утверждается Национальным банком Украины. "
О чем Национальный банк лишний раз напоминает в своем письме N 18-311/695-2160
 от 8-го февраля.  Да и на всех последних семинарах по информационной безопасности (благо их последнее время проходит огромное количество) звучали те же разъяснения. Мол, пользуйтесь 267-м постановлением (Об утверждении Правил хранения, защиты, использования и раскрытия банковской тайны), а мы, если будет нужно, его поправим.
В результате у банков возникает иллюзия, что они полностью соответствуют текущим требования.
В реальности же речь идет только о части персональных данных, используемых в банках.
В соответствии с 60-й статьей закона "О банках и банковской деятельности " к банковской тайне относятся:
  1. сведения о банковских счетах клиентов, в том числе  корреспондентские  счета  банков  в Национальном банке Украины;
  2. операции, проведенные в пользу или по поручению клиента, осуществленные им соглашения;
  3. финансово-экономическое состояние клиентов;
  4. системы охраны банка и клиентов;
  5. информация об организационно-правовой структуре юридического лица - клиента, ее руководителях, направлениях деятельности;
  6. сведения о коммерческой деятельности клиентов или коммерческой тайны, любого проекта, изобретений, образцов продукции и другая коммерческая информация;
  7. информация относительно отчетности по отдельному банку, за исключением той, которая подлежит опубликованию;
  8. коды, используемые банками для защиты информации.
Внимательный читатель заметит, что в перечне нет ни слова о персональных данных сотрудников банка. А ведь они тоже подлежат защите.
А есть еще интересные парадоксы. Например, отдельно взятые персональные данные сотрудников клиентов банка (например ФИО + адрес проживания) без данных о счетах и финансовом состоянии - это банковская тайна? По приведенному определению вроде как нет. А под закон "О защите персональных данных" попадает? Попадает. А проблема кроется в том, что нет единого трактования как "персональных данных" так и "базы персональных данных". А два толкователя с перекрестными ссылками только усугубляют картину. Как говорится, "у семи нянек дитя без глазу".

4 комментария:

  1. Никогда не видел проблемы в отсутствии в перечне сведений составляющих банковскую тайну явного упоминания о сотрудниках банка. Сотрудник - это вырожденный случай контрагента и клиента в одном лице: с одной стороны сотрудник оказывает услуги учреждению, продавая свое время/результат, с другой - ведомости заработных плат давно канули в Лету и у каждого сотрудника зачастую открыт счет хотя бы для получения кровных на карточку или через кассу

    ОтветитьУдалить
  2. Это частный случай. Есть еще HR база, контактные базы менеджеров по продажам и т.д.

    ОтветитьУдалить
  3. В разрезе физ.лиц HR база и контактные базы обычно не содержат банковскую тайну, т.е. то, на основании чего можно однозначно идентифицировать физ.лицо (ИНН, паспорт, водительские права). Контактный телефон, как и адрес регистрации/проживания, включая дату рождения и даже ФИО не являются сами по себе банковской тайной.

    ОтветитьУдалить
  4. Вот и я об этом. А персональными данными являются.

    ОтветитьУдалить