К какой категории конфиденциальности относятся фио паспортные данные и номер телефона клиентов банка

Обновлено: 30.06.2024

Согласно закону 152-ФЗ, компании обязаны защищать персональные данные (ПДн) своих сотрудников и клиентов, хранить и обрабатывать их по определенным правилам. Разберем, что такое ПДн, какие они бывают, что такое обработка персональных данных и как соблюсти все требования закона.

Что относится к персональным данным

Персональные данные — это любая информация, которая относится к конкретному человеку, или субъекту персональных данных. ФИО, мобильный телефон, email, адрес проживания, фотография, паспортные данные — всё это ПДн.

То же самое касается данных опросов. Если вы анонимно опрашиваете людей об их семейном положении, то не собираете персональные данные. А если спрашиваете ФИО, номер телефона и семейное положение, то по закону всё это персональные данные.

Небольшой пример, чтобы было понятнее, что входит в персональные данные, а что нет:

Никакого строгого списка или перечня персональных данных нет. Обычно получается, что для того, чтобы данные можно было считать персональными, нужно их с чем-то сочетать, например, с ФИО или паспортными данными.

Какие бывают виды персональных данных

В Постановлении правительства №1119 перечислены категории персональных данных. Всего их четыре: общие (или общедоступные), специальные, биометрические и иные.

Общие персональные данные

К ним законодательство о персональных данных относит базовые личные данные: ФИО, место регистрации, информация о месте работы, номер телефона, email. Обычно эти данные и так известны некоторым другим людям, могут быть опубликованы в общедоступных источниках. Например, о месте работы человека могут знать его друзья в социальных сетях.

Специальные персональные данные

Информация о личности человека: расовая и национальная принадлежность, политические, религиозные и философские взгляды, состояние здоровья, подробности интимной жизни, информация о судимостях.

Специальные категории персональных данных отличаются от общих тем, что обычно находятся в закрытом доступе. Их можно узнать только лично у человека, либо сделав официальный запрос в больницу, полицию или суд. Чаще всего сообщать эти данные человек не обязан, они — его личное дело.

Биометрические персональные данные

Это физиологические или биологические особенности человека, которые используют для установления его личности. К ним могут относиться фотографии, отпечатки пальцев, группа крови, генетическая информация.

Однако все эти данные не всегда являются биометрическими. Согласно разъяснению правительства, они становятся такими, только если вы храните их с целью идентификации личности. Например, если на проходной стоит камера с распознаванием лиц, фотографии сотрудников будут биометрическими данными — именно по ним вы определяете личность человека.

А если к личному делу сотрудника или профилю клиента прикреплена его фотография — эти данные не биометрические. Вы не используете их для идентификации, а уже знаете, кому принадлежит фото, и просто дополняете им информацию.

То же самое касается других подобных данных, в том числе медицинских. Если их используют просто для сбора информации о пациенте, они не биометрические, а общие или специальные.

Иные персональные данные

В эту категорию ПДн относят всё, что нельзя отнести к общедоступным, специальным или биометрическим данным: принадлежность к определенной социальной группе, к примеру, членство в клубе, или корпоративные данные, например, то, что хранится в бухгалтерии: зарплата, периоды отпусков, стаж и так далее.

Иные данные сложнее всего отличить от специальных. Разница следующая:

  1. Специальные данные характеризуют человека как личность, часто человеку важно, чтобы посторонние их не знали.
  2. Иные данные — это просто дополнительная информация, они часто могут меняться.

Кто такие оператор и субъект персональных данных

В законе о защите персональных данных упоминаются оператор и субъект ПДн. Разберемся, кто это такие.

Оператор ПДн — компания, которая собирает, хранит, обрабатывает и распространяет персональные данные. Чтобы понять, является ли компания оператором, нужно разобраться, что такое хранение и обработка персональных данных:

  1. Хранение персональных данных по 152-ФЗ — это когда вы держите данные у себя, например, записали на свой сервер или в базу данных в облаке. Кстати, если данные на бумаге, и вы держите их в папках и архивах, то тоже занимаетесь хранением персональных данных.
  2. Обработка персональных данных — любые действия с ними: запись, извлечение, анализ, изменение, передача и даже удаление. Даже если вы просто собираете данные, вы их уже обрабатываете.

Субъект персональных данных — это любой человек, персональные данные которого получил оператор. Например, вы заполнили в магазине анкету на карточку постоянного покупателя — вы стали субъектом ПДн, а магазин — оператором ваших персональных данных.

В компаниях данные разных субъектов ПДн обрабатывают по-разному. Например, доступ к данным сотрудников имеют одни люди, а к данным клиентов — другие. Поэтому при составлении правил работы с данными в компании выделяют разные категории субъектов персональных данных, например: сотрудники, клиенты, стажеры, представители клиентов, родственники сотрудников.

Кратко: Кто является оператором персональных данных? Тот, кто собирает ПДн, хранит их у себя на серверах, анализирует, изменяет и передает.

Кто является субъектом персональных данных? Тот, чьи данные хранит или обрабатывает оператор ПДн.

Как оператор обязан защищать персональные данные

Согласно 152-ФЗ оператор должен обеспечить защиту персональных данных. Степень защиты зависит от типа данных:

  1. Общедоступные нуждаются в самой слабой защите — их довольно легко получить, обычно их не скрывают.
  2. Иные данные нужно защищать чуть сильнее — они известны меньшему кругу лиц.
  3. Биометрические данные защищают еще серьезнее, поскольку их можно использовать для идентификации человека.
  4. В самой серьезной защите нуждаются специальные данные — их часто можно использовать, чтобы навредить человеку.

Для защиты персональных данных по 152-ФЗ оператор должен построить защищенную IT-инфраструктуру и следить, чтобы ПДн всегда были доступны, не потерялись и не попали в руки посторонних.

Кроме защиты данных, оператор обязан собирать, обрабатывать и передавать данные куда-либо только с согласия их владельца, а также отчитываться о сборе данных и мерах защиты перед государством.

То, какую защиту нужно обеспечить персональным данным, зависит от уровня защищенности (УЗ), установленного законом. Его определяют с учетом того, какие данные вы храните и что может им угрожать. Всего уровней защищенности четыре: данные с УЗ-3 и УЗ-4 можно без проблем хранить в публичном облаке, аттестованном по 152-ФЗ, для УЗ-2 и УЗ-1 нужны особые условия, не все провайдеры могут их предоставить.

В публичном облаке MCS можно хранить персональные данные в соответствии с УЗ-2, 3 и 4. Для хранения данных с УЗ-2 и УЗ-1 также есть возможность сертификации, как в формате частного облака, так и на изолированном выделенном гипервизоре в ЦОДе MCS. При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

Банк всегда берет у заемщика согласие на обработку его персональных данных. С этой целью оформляется отдельный документ, либо заемщик ставит соответствующую подпись под пунктом кредитного договора. Закон № 152-ФЗ допускается подачу отзыва согласия на обработку личной информации. Однако пока у банка и его клиента сохраняются договорные отношения по кредиту, счету, по карте или вкладу, то банк вправе продолжить работу с личной информацией о гражданине.

Можно ли отозвать свои персональные данные

Без получения согласия гражданина на обработку его личной информации никакой банк, даже вездесущий Сбербанк, не выдаст ему кредит, не откроет счет или вклад, не выпустит дебетовую и кредитную карточку. Прежде всего, эти данные нужны для идентификации клиента. И, конечно, для того, чтобы посторонние лица не имели права доступа к карте, счету и т.д.

В состав персональных данных могут входить личные сведения о человеке, реквизиты его паспорта, информация о доходах и составе семьи. Кроме идентификации, банк может использовать личные сведения клиента:

  • для передачи другим лицам (например, в бюро кредитных историй, в страховые компании и т.д.);
  • для предоставления доступа к онлайн-сервисам, мобильным приложениям;
  • для направления предложений по кредитам, картам, другим банковским продуктам.

Еще одним направлением использования личной информации является ее передача в Росфинмониторинг. Это прямо следует из федерального закона № 115-ФЗ, по которому осуществляется контроль за легализацией отдельных видов доходов. Вернее, за контролем доходов, добытых нелегальным путем.

Какими неприятностями обернется для любого
клиента банка подозрение в нарушении
115 фз? Задайте вопрос юристу

При оформлении согласия клиент может ознакомиться с условиями обработки персональной информации. Но, скорее всего, банк ограничится перечислением норм закона. Если клиент не подпишет согласие, то кредитная организация вправе отказать в заключении договора. И однозначно откажет. В данном случае персональные сведения нужны для исполнения договорных обязательств.

Когда допускается отзыв согласия на обработку персональных данных

Отозвать ранее выданное согласие на обработку личной информации можно в любой момент, даже через 1-2 дня после его подписания. Банк обязан принять заявление, исполнить его в соответствии с нормами закона. Вот общие условия, при которых допускается отзыв согласия:

  • заявление на запрет обработки персональных сведений можно подать только в отношении себя (но не супруга, членов семьи, родственников, иных лиц);
  • при отзыве согласия банк вправе провести идентификацию заявителя (например, путем прозвона по телефону, ранее указанному в согласии или договоре);
  • по некоторым основаниям, указанным в законе № 152-ФЗ, банк сможет продолжить обработку и/или хранение личной информации (например, это допускается на период действия любого договора между кредитной организацией и клиентом);
  • если банк нарушит порядок отзыва согласия, либо неправомерно откажет в заявлении, гражданин может подать жалобу в Роскомнадзор.

Форма обращения в Роскомнадзор

Форма обращения в Роскомнадзор

В случаях, когда отзыв персональных данных будет невозможен в силу закона, гражданин может ограничить их использование. Например, в заявлении можно указать на незаконное предоставление информации другим субъектам, не имеющим отношение к договору с банком.

Банк обязан рассмотреть заявление и дать ответ в течение 30 дней. В федеральном законе № 152-ФЗ указано несколько оснований, когда банк может продолжить обработку и хранение персональных сведений. Даже без согласия гражданина. Одним из таких оснований является наличие действующего договора с банком.

Ситуаций, когда кредитная организация сможет продолжить работу с персональными данными даже после отзыва согласия, очень много. Прежде всего, таким основанием является какой-либо действующий договор между банком и клиентом. Это может быть незакрытый кредит, действующий счет, активные дебетовые и кредитные карты. Более того, основанием для продолжения обработки личных сведений может быть даже вклад с нулевым остатком (незакрытый текущий счет), оформленный 5 или 10 лет назад.

На требования должников, то есть лиц, у которых есть текущая или тем более просроченная задолженность, подавших отзыв от обработки своих данных, банки стандартно отказывают в таком отзыве персональных данных. Иначе они будут лишены при задолженности подать на вас иск в суд или заявление на выдачу судебного приказа.

Любой договор между клиентом и банком для отзыва персональных данных из банка должен быть исполнен. А счет закрыт. Бывают случаи, когда счет при оказании услуги в банке не заводится — например, вы покупали в банке валюту или оформляли страховку. Но в этом случае у банка и нет всех ваших персональных данных, максимум — данные паспорта и телефон.

И в этой ситуации банки также не вправе передавать эти данные третьим лицам, например, в БКИ. В этом случае вы имеете право написать заявление в банк об отзыве персональных данных в любой момент. Но вам придется вспомните все те банки, где вы это делали за свою долгую жизнь.

Когда банк может продолжить обработку персональных данных

Случаи, когда банк может заниматься обработкой персональной информации даже при отозванном согласии, указаны в статьях 6, 10 и 11 закона № 152-ФЗ. Вот самые распространенные ситуации, когда кредитная организация сможет продолжить обработку и хранение личных данных:

  • если это требуется для исполнения любого договора с заемщиком или клиентом (счет, вклад, кредит, банковские карточки и т.д.);
  • если это требуется для судебного взыскания задолженности (к примеру, при взыскании по просроченному кредиту);
  • если у заявителя есть действующий договор обязательного страхования (например, имущественная страховка на ипотечный объект);
  • если это нужно для реализации мер поддержки по трудовому или пенсионному законодательству (например, для перечисления пособий, для выплаты трудовых пенсий или компенсаций);
  • если это нужно для контроля за легализацией доходов при противодействии терроризму, экстремизму по 115 фз.

Полный перечень исключений намного больше! Поэтому полный отзыв своих персональных данных возможен только после расторжения любых договоров с банком. Более того, даже в этом случае кредитная организация сможет обрабатывать или хранить личные сведения по иным основаниям.

Что это значит — отказ от общения с коллекторами?
Это тот же запрет на обработку данных
или нет? Спросите юриста

Порядок отзыва согласия на работу с персональными данными

Прежде, чем обращаться в банк за отзывом согласия на работу с личными данными, рекомендуем проверить наличие заключенных договоров. Например, в мобильном приложении каждого банка сразу видны все активные вклады, счета, кредиты и карты.

До подачи заявления нужно расторгнуть соответствующие договоры. С этим могут возникнуть проблемы. Например, кредитный договор прекращается ТОЛЬКО после возврата всей суммы долга с процентами. Следовательно, заемщику придется сначала искать деньги и закрывать кредит, если он намерен отозвать свои персональные данные из того банка, в котором у него есть кредит.

Ниже расскажем о порядке и сроках отзыва персональных сведений, если у клиента банка есть такие основания.

Нужна помощь в заполнении заявления на отзыв
персональных данных из банка, с которым
уже давно прекращены всякие отношения?

Заявление на отзыв

В документе нужно указать:

  • наименование кредитной организации;
  • данные о заявителе;
  • требование о прекращении обработки персональных сведений;
  • требование об устранении нарушений, ранее допущенных при работе с личной информацией;
  • дату, подпись.

Если у заявителя есть информация, что банк незаконно передал его данные иным лицам, об этом нужно обязательно указать в заявлении. За каждое нарушение, связанное с режимом защиты персональных сведений, грозит административная или уголовная ответственность. Поэтому банк будет обязан сам устранить нарушение, отозвать ранее переданные личные данные клиента из других организаций.

Образец заявления

Примерный образец бланка, применяемый в 2022 году на отзыв согласия, и образец заполнения этого заявления можно скачать у нас на сайте.

Также образец документа с рекомендациями по его заполнению можно найти на портале Роскомнадзора. Если банк нарушил правила и/или сроки рассмотрения заявления, можно подать жалобу через онлайн-сервис Роскомнадзора — там же, через форму обращения на сайте.

Как опротестовать отказ банка от удаления
из его базы моих персональных данных?
Спросите юриста

Что значит идентификация субъекта персональных данных

  • при личном приеме заявления в отделении или офисе банка (по паспорту, СНИЛС, ИНН. Но чаще всего необходим именно паспорт, иногда — паспорт и любой второй документы);
  • в приложении, которое привязано к номеру телефона (обычно идентификация осуществляется сразу при входе в приложение);
  • в личном кабинете на сайте (для идентификации может потребоваться ввод кода из смс-уведомления).

Чтобы отозвать свое ранее выданное разрешение на обработку персональных данных у банка удаленно, иногда придется пройти дополнительную идентификацию по телефону. Чтобы убедиться, что заявление подал сам субъект персональных данных, специалисты банка могут предупредить о звонке на телефон, привязанный к мобильному приложению. Но чаще всего можно обойтись введением кода из смс.

В какой срок банк обязан прекратить обработку личной информации

  • об исполнении заявления, прекращении обработки и хранения персональных данных;
  • о частичном исполнении заявления (частичном отзыве данных). Это происходит тогда, когда при прекращении обработки сведений у банка сохраняется обязанность хранить их;
  • об отказе в удовлетворении заявления, если это соответствует закону № 152-ФЗ.

Ответ будет направлен клиенту через мобильное приложение, по электронной почте, через личный кабинет на сайте банка. Также ответ можно получить непосредственно в отделении (офисе) кредитной организации.

Если гражданин ранее давал согласие сразу нескольким банкам, заявления с отзывом нужно направлять каждому из них отдельно. Единого сервиса по отзыву персональных данных сразу из всех кредитных организаций нет. Может сложиться ситуация, когда после прекращения обработки информации в одном банке другие кредитные организации смогут работать с ней в силу закона.

Вправе ли я отозвать согласие на обработку своих
персональных данных из бюро кредитных
историй? Спросите юриста

Сроки хранения персональных данных по закону № 152-ФЗ

Прекращение обработки персональной информации необязательно влечет немедленное удаление ее. В законе 152-ФЗ указаны сроки, в течении которых операторы обязаны хранить указанные сведения. В отношении банков такой срок составляет 5 лет. Это связано с требованием о проверке операций и доходов на предмет финансирования экстремизма и терроризма, отмывания доходов, полученных незаконным путем.

По истечении 5 лет после прекращения обработки банк обязан сам удалить персональные сведения. Специальное уведомление клиенту в этом случае не направляется. Контроль за соблюдением сроков и правила удаления сведений осуществляет Роскомнадзор и Росфинмониторинг.

Какие проблемы и сложности могут возникнуть при отзыве персональных данных

Полностью отозвать свои персональные данные в банке достаточно сложно. Даже если вы добьетесь запрета на обработку и передачу информации иным лицам, она все равно будет храниться в кредитной организации до 5 лет.

Также при отзыве согласия могут возникнуть следующие проблемы:

  • могут быть проблемы при идентификации, особенно если заявитель менял паспорт, место жительства и номера телефонов и не передавал эти сведения в банк;
  • у кредитной организации есть много оснований для отказа в заявлении по закону № 152-ФЗ;
  • могут возникнуть сложности с отзывом данных, если банк ранее направлял их иным лицам (БКИ, коллекторы, страховые компании и т.д.).

Еще раз напомним, что отозвать разрешение на работу с вашими персональными данными вы имеете право только после полного погашения кредита и закрытия кредитного счета. Если у вас не было кредитных отношений с банком, и вы в нем, например, хранили свои средства, то только после закрытия счета вклада.

Если вы столкнулись с необходимостью отзыва согласия на обработку персональных сведений в банке или другой организации, проконсультируйтесь у наших юристов. Мы разъясним нормы законодательства, поможем добиться защиты ваших прав.

Согласно определению из федерального закона, персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

ПДн могут присутствовать на бумажных документах (договора, формы, приказы, инструкции, анкеты, соглашения и т.д.).

Согласно требованиям методических документов для защиты ПДн, общим для всех видов ИСПДн, являются следующие подсистемы:

Если ИСПДн подключена к сети Интернет, то необходимо дополнительно использовать следующие подсистемы:

Также необходимо использовать электронные замки и/или электронные ключи для надежной идентификации и аутентификации пользователей.

Если ИСПДн является распределенной дополнительно для предотвращения несанкционированного доступа, путем отделения защищаемой информации от общедоступной, необходимо использовать криптографию при передаче ПДн по незащищенным каналам связи, а также, ЭЦП, для подтверждения подлинности данных.

Такая разбивка на подсистемы и формирование на их основе перечня продуктов для защиты ПДн является общепринятой и используется в большинстве случаев.

Если задачей является обеспечение только конфиденциальности ПДн, необходимо осуществлять мероприятия и/или использовать технические средства, направленные на предотвращения несанкционированного доступа, то такая ИСПДн становится типовой.

Если дополнительно предъявляются требования по обеспечению других свойств информационной безопасности, таких как обеспечение целостности, доступности, а также их производных (неотказуемость, подотчетность, адекватность, надежность и др.), то такая ИСПДн становится специальной. В большинстве случаев любая ИСПДн будет являться специальной, то есть помимо классов ПДн для определения механизмов защиты нужно руководствоваться создаваемой для этого моделью угроз.

Как было показано выше, если ИСПДн является распределенной, то к её защите предъявляются повышенные требования, чтобы их уменьшить нужно попытаться уйти от распределенных ИСПДн.

При распределенной ИСПДн ПДн находятся на различных площадках, ПДн передаются по неконтролируемым Банком каналам связи, а в общем случае это означает, что ПДн выходят или покидают контролируемую зону. Тогда, прежде всего, необходимо локализовать ПДн, уменьшив количество площадок, на которых они будут находиться. В некоторых случаях это реально, но если рассматривать АБС, то такой возможности, скорее всего, не будет.

Если ИСПДн является локальной, то есть функционирует в пределах локальной сети Банка, то наиболее простым способом уменьшения стоимости затрат на защиту будет являться уменьшение количества серверного оборудования, на которых присутствуют и/или обрабатываются ПДн.

При любом типе ИСПДн (в виде АРМ, локальной, распределенной) конечной обработкой ПДн, как правило, занимается персонал Банка. Если не использовать терминальный доступ, о котором будет сказано ниже, имеет смысл уменьшить количество персонала Банка, занимающегося обработкой ПДн или имеющего к ним доступ.


Это автоматически определяет класс ИСПДн как наиболее высокий, что означает существенную опасность от раскрытия данных и тем самым влечет необходимость применения дорогих средств защиты.

Создадим две другие базы данных. Введем дополнительный уникальный идентификатор. Разделим таблицу на две части, в первую поместим поля Ф.И.О и идентификатор, в другую идентификатор и сумму вклада.


Таким образом, если каждый сотрудник может обрабатывать только одну из этих новых баз данных, то защита ПДн существенно упрощается, если не сводится на нет. Очевидно, что ценность такой базы данных существенно ниже, чем исходной. Обе же базы данных будут находиться на наиболее защищенном сервере. В реальности, полей в базе данных гораздо больше, однако данный принцип может работать практически в каждом случае, т.к. количество значимых с точки зрения безопасности ПДн полей не так уж и велико, а скорее весьма ограничено. В предельном случае можно хранить ключевые соответствия на ПК, не входящем в локальную сеть или даже не использовать автоматизированную обработку.

Скорость же потенциальных утечек данных будет ограничиваться лишь визуальным каналом, что определяется скоростью фотоаппарата или видеокамеры, однако при введении специальных организационных мероприятий такое копирование становится весьма затруднительным.

В широком смысле под обеспечением защиты от несанкционированного доступа понимается комплекс организационных и технических мероприятий. Эти мероприятия основываются на понимании механизмов предотвращения несанкционированного доступа на самых разных уровнях:

• идентификация и аутентификация (также двухфакторная или строгая). Это может быть (операционная система, инфраструктурное ПО, прикладное ПО, аппаратные средства, например электронные ключи);

• регистрация и учет. Это может быть журналирование (логирование, протоколирование) событий во всех вышеперечисленных системах, ПО и средствах);

• обеспечение целостности. Это может быть расчет по контрольным суммам контролируемых файлов, обеспечение целостности программных компонент, использование замкнутой программной среды, а также обеспечение доверенной загрузки ОС);

• антивирусная безопасность(применяется до трех уровней обороны, так называемый эшелонированный или мультивендорный подход);

• криптография (функционально применяется на разных уровнях модели OSI (сетевой, транспортный и выше), и обеспечивает различный защитный функционал).

Есть несколько комплексных продуктов, имеющих развитый НСД функционал. Все они отличаются типами применения, поддержкой оборудования, ПО и топологией реализации.

При распределенной или имеющей подключение к сети общего пользования (Интернет, Ростелеком и др.) ИСПДн применяются продукты анализа защищенности (MaxPatrol от ПозитивТехнолоджис, которая не имеет прямых конкуретнов в РФ), а также обнаружение и предотвращение вторжений (IDS/IPS) – как на уровне шлюза, так и на уровне конечного узла.

• шифрование канала связи. Может обеспечиваться любым способом, таким как VPN между шлюзами, VPN между серверами, VPN между рабочими станциями (InfoTecs ViPNet Custom, Информзащита АПКШ Континент и др.);

• пакетная коммутация MPLS. Передача пакетов происходит по различным путям в соответствии с метками, которые присваиваются сетевым оборудованием. Например, MPLS-сеть Ростелеком имеет сертификат соответствия сети пакетной коммутации требованиям информационной безопасности ФСТЭК России, что является гарантией высокой защищенности услуг, предоставляемых на ее основе;

• шифрование документов. Может применяться различное программное обеспечение для шифрования файлов с данными, а также файлы-контейнеры (ViPNet SafeDisk, InfoWatch CryptoStorage, True Crypt и др.);

• шифрование архивов. Могут применяться различные архиваторы, которые позволяют архивировать и шифровать файлы, используя криптостойкие алгоритмы, такие как AES. (WinRAR, WinZIP, 7-ZIP и др.).

На сегодняшний день есть единственное требование ФСТЭК России в части сертификации средств защиты ПДн. Требование касается обеспечения 4 уровня недекларированных возможностей, поэтому по последнему вопросу приведу лишь три тезиса:

Часто в комментариях на Хабре приходится встречать высказывания, что российские банки не умеют хранить персональные данные, да и вообще не очень-то расположены защищать клиента, например, при покупках через интернет. На самом деле система безопасности банков продумана лучше, чем может показаться. На примере Газпромбанка разбираемся в деталях защиты данных клиентов.

На практике все не так просто, как кажется. Внутренние системы банка построены с учетом защиты клиентской информации — это определяют приказы регулятора. При этом в крупнейших банках, по крайней мере в ТОП-10, используется не какой-то единственный инструмент, а всесторонний подход, сложная многоступенчатая защита. Клиентские данные защищены сразу несколькими средствами.

Во-первых, о запросе информации моментально станет известно. Весь доступ к данным журналируется. Фиксируются даже запросы администраторов и суперпользователей. Кстати, рабочие места тех, кто связан с настройкой системы, контролируются еще и внешним оборудованием — так всегда можно узнать, зачем администратор заходил в систему.

Утечки изредка все же происходят. Но события, отмеченные Центральным Банком, связаны в основном с работой подрядчиков, которые не соблюдали требования безопасности. К сожалению, их уровень зрелости защиты информации ниже. Понимая, что это дыра в системе безопасности, банки зачастую выдают подрядчикам доступ к синтетическим или обезличенным данным, нарушение конфиденциальности которых не приведет к наступлению финансовых рисков для банка.

Банковские системы действительно постоянно атакуют извне. В первую очередь это касается фронт-офиса, доступного через интернет: порталов, мобильных приложений, систем электронного диалога между банками и клиентами, клиентов для дистанционного обслуживания. Доля атак на внутренние системы (бэк-офис) составляет не более десятой процента.

Цель атаки — получение дохода прямым или косвенным путем (например, через продажу данных). При этом атакующий может работать не один, а в хакерской группировке, где участники подобраны по необходимым навыкам. Члены такой группы могут даже не знать друг друга лично, отыгрывая четко прописанную роль.

Банки научились сражаться и с такой организованной преступностью. Каждый из компонентов банковской инфраструктуры защищен по-своему. Применяются и антивирусы, и средства защиты от всплывающих окон или удаленного доступа на рабочих местах сотрудников, и анти-DDoS, и системы выявления инцидентов внешними путями, и масса других инструментов.

Идеальных систем не существует. Я готов спорить, что в любой лучшей системе безопасности можно найти бреши. Но сегодня инфраструктура российских банков настолько развита, что взлом их систем будет стоить дороже, чем доход от этого мероприятия

Атаки на фронт-офис всегда реализуются через клиентские профили, поэтому противодействовать преступникам помогает выявление аномалий в поведении клиентов. Так можно заметить взлом еще до того, как о нем сообщит клиент.
В бэк-офисе база данных клиентов отделена от пользователей. Вторжения или действия, которые могут к ним привести в бэк-офисе, также фиксируются в режиме реального времени. Сейчас все происходит в почти автоматическом режиме. Роботы собирают всю информацию, а операторы принимают окончательное решение, как именно трактовать сложившуюся ситуацию. При необходимости они отправляют инциденты на расследование.

В нашем банке и у целого ряда крупных коллег созданы Ситуационные центры по информационной безопасности. Кстати, мы одни из первых, кто в России в 2009 году перешел на риск-ориентированный подход и внедрил выявление, анализ и противодействие инцидентам. В нашем ситуационном центре 24 часа в сутки 7 дней в неделю работает более 40 человек. Все это эксперты по безопасности с опытом в отрасли более 10 лет

У каждого банка действуют ограничения на операции после замены SIM-карты. У одних банков это часы, у других — день-два. Так что сделать все максимально быстро у злоумышленников уже не выходит.

Замена SIM-карты не типовая операция, поэтому в целом на клиентском сервисе это отражается не сильно.

Инструменты защиты стоят на отдельной виртуальной машине на каждом сервере — так организован перехват угроз еще на стадии виртуальных машин. Отказоустойчивость реализована на каждой площадке, плюс катастрофоустойчивость.

В последнее время банки стараются переводить этот риск в разряд страхового. Другие же перекладывают ответственность на сторону мобильного оператора. Заключенное с ним соглашение подразумевает, что именно оператор обеспечивает проверку абонента — мошенник это или нет. Использование того или иного подхода зависит от региона работы

Миф: есть масса способов украсть данные карты, чтобы вывести деньги через покупки в интернете. Деньги потом не вернуть!

Действительно, мошенники разработали массу способов получения данных карт. Но банки пытаются защитить клиента, даже если данные карты утекли в интернет по его вине.

Все крупные банки поддерживают технологию 3D Secure. Конечно, для мошеннических операций без присутствия карты выбираются банки (и подключенные к ним магазины), которые ее не поддерживают. Но по условиям платежных систем ответственность за проведение подобных операций берут на себя именно эти банки. Это схема reliability shift, которая определяет, что деньги при этом теряет банк, не поддерживающий защиту.

Также банки развивают системы антифрода. Базовые требования к ним определяют операторы платежных систем и закон о противодействии легализации денежных средств, полученных преступным путем.

Мы подробно разбираем на составляющие каждый сценарий проведения мошеннической операции. Смотрим временные рамки, профиль клиента, который подвергся атаке, использованные магазины. Так мы формируем некоторую корреляцию для загрузки в систему мониторинга финансовых транзакций, позволяющую выявлять и блокировать аналогичные операции. Так что если сценарий один раз сработал в отношении кого-то из наших клиентов, и тот заявил о мошенничестве, к другим клиентам применить его будет сложнее. Например, если обманули пожилого человека, мы можем сузить профиль клиента (возраст 60−70 лет, подобные операции ранее не совершались), выявить метаданные транзакции и реквизиты банка мошенника, куда был совершен перевод, оценить лимиты — обычно это суммы ниже порога, определенного 115-ФЗ. Все это позволяет на потоке выявлять похожие операции: отзваниваться бабушкам и уточнять, действительно ли они хотят перевести деньги


Перечень информации, которая может быть персональной, является открытым. В законе он четко не поименован. Поэтому определять, относятся ли какие-то сведения к персональным данным конкретного лица, необходимо индивидуально. Организации обрабатывают данные не только сотрудников, но и клиентов, партнеров и пр. Когда фото и видео, номер телефона, сетевые идентификаторы, зарплата и условия работы, профессия и образование будут персональными, зависит от ситуации. Мы проанализировали судебную практику, чтобы разобраться в нюансах. Ведь полезно знать не только об ответственности работодателя, но и ситуациях, когда нарушается закон в отношении вас как субъекта персданных, а также сотрудников или клиентов вашей организации, если вы размещаете какую-то информацию в открытом доступе.

Как видно из приведенного определения, закон не содержит исчерпывающего перечня сведений, которые входят в круг персональных данных. Соответственно, в каждом случае необходимо определить, может ли та или иная информация быть отнесена к конкретному лицу. Поможет в этом анализ судебной практики.

Банки не могут распространять платежные карты с открытыми данными клиентов, а управляющие компании рассылать в открытом виде платежные документы, поскольку в таком случае персональные данные людей не защищены от случайного к ним доступа со стороны третьих лиц (апелляционное определение Самарского областного суда от 17.10.2019 № 33-12118/2019).

Помимо Ф.И.О. к числу персональных данных физического лица также относится и конкретный адрес его проживания, включающий город, улицу, номера дома и квартиры, а вот неполный адрес (без указания определенной квартиры) уже не позволяет установить конкретного субъекта персональных данных. В многоквартирном доме находится много квартир, поэтому такой общий адрес нельзя соотнести с конкретным человеком.

Типичным нарушением со стороны управляющей компании, под управлением которой находится жилой дом, является размещение на входной двери, ведущей в подъезд, на стендах и в иных местах, открытых для всеобщего доступа, информации о наличии задолженности по оплате электроэнергии и коммунальных платежей в отношении конкретных граждан с указанием номеров их квартир. Указанные сведения относятся к частной жизни конкретных лиц, поэтому их разглашение будет считаться нарушением, что дает пострадавшему лицу право требовать взыскания денежной компенсации морального вреда на основании ст. 151 ГК РФ (решение Московского районного суда г. Калининграда от 19.04.2017 по делу № 2-688/2017).

Некоторые особо восприимчивые граждане в такой ситуации могут вообще посчитать, что информация о наличии у них задолженности является оскорбительной и задевает их честь, достоинство и доброе имя. Однако порочащий характер сведений должен выражаться в оскорбительных высказываниях, а не в фиксации долга. Нарушение в данном случае состоит только в разглашении персональных данных (апелляционное определение Саратовского областного суда от 23.07.2019 по делу № 33-5366).

Здесь стоит отметить, что судебная практика по вопросу отнесения номеров квартир к числу персональных данных не является единообразной, есть примеры случаев, когда суды полагали возможным указание номеров квартир с информацией о наличии задолженности.

Суд указал, что не будет считаться нарушением размещение информации о наличии задолженности по оплате электроэнергии и коммунальных услуг с перечнем соответствующих квартир, но без указания таких персональных данных, как Ф.И.О. (апелляционное определение Свердловского областного суда от 19.09.2019 по делу № 33-15137/2019).

Жители многоквартирного дома, проживающие в конкретном подъезде, скорее всего, знают друг друга в лицо и по имени, поэтому хоть и не всегда, но в определенных случаях могут соотнести данные о номере квартиры со своими соседями, что позволяет рассматривать номер квартиры как персональные данные конкретных лиц. При таких обстоятельствах можно сделать однозначный вывод: размещение информации о наличии задолженности на стенде подъезда многоквартирного дома с указанием конкретных номеров квартир может рассматриваться как нарушение законодательства о защите персональных данных. Иным образом будет обстоять дело в случае, когда на информационном стенде вывешивается не объявление, а индивидуальное обращение к конкретному лицу по вопросу, представляющему определенную значимость.

Гражданин при входе в подъезд своего жилого дома неожиданно для себя увидел требовательную надпись о том, что ему надлежит вернуть аннулированную доверенность конкретному человеку. Гражданин полагал, что вывешивание такого объявления нарушает требования законодательства по защите персональных данных. Однако суд его требования не поддержал, отметив, что само по себе размещение информации не является обработкой персональных данных и не требует получения разрешения (апелляционное определение Волгоградского областного суда от 09.01.2019 по делу № 33-774/2019).

В состав персональных данных гражданина также входят год, дата, месяц и место его рождения, семейное и имущественное положение, уровень образования, размер доходов, а также иная информация, посредством которой можно идентифицировать конкретное физическое лицо. В качестве персональных данных можно также рассматривать серию и номер паспорта гражданина, которые представляют собой уникальную комбинацию цифр, указываемых в основном документе, удостоверяющем его личность. У другого гражданина реквизиты основного документа, удостоверяющего личность, будут другими, поэтому реквизиты паспорта также могут быть отнесены к числу персональных данных.

Персональные данные под вопросом

Профессию и образование, а также социальное положение в качестве персональных данных предлагает рассматривать Пермский краевой суд 1 . По нашему мнению, профессию и образование нельзя считать персданными, поскольку сами по себе они могут быть относимы к большому количеству людей.

Как нам представляется, те или иные разрозненные сведения, рассматриваемые отдельно.

Читайте также: