1. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ БАНКА.
ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА И ПРАКТИКА
Козак Владимир Федорович,
Заместитель Председателя
Государственной службы Украины
по вопросам защиты персональных данных
Volodymyr.kozak@zpd.gov.ua
+380 44 517 85 86
2. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ БАНКА.
ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА И ПРАКТИКА
1. Персональные данные VS банковская тайна
2. Персональные данные в банковских приложениях:
• повседневная деятельность
• кредиты, и скоринг
• финансовый мониторинг
• работа с коллекторами
• веб-сайты банков
• системы видеонаблюдения
3. Уполномоченный орган по вопросам защиты персональных
данных
4. Защита персональных данных и СУИБ (ИСО 27001)
3. 1. Персональные данные VS банковская
тайна
БАНКОВСКАЯ ТАЙНА ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Разновидность Невмешательство в личную и
коммерческой тайны. семейную жизнь.
Нерушимость права частной
собственности.
Право частной Право на уважение его
собственности личной и семейной жизни
приобретается в порядке, возникает в момент
определенном законом. рождения.
Закон Украины Закон Украины
«О банках и банковской деятельности»
«О защите персональных данных»
4. 1. Персональные данные VS банковская тайна
БАНКОВСКАЯ ТАЙНА ПЕРСОНАЛЬНЫЕ ДАННЫЕ
Информация о деятельности и Сведения или совокупность
финансовом положении сведений о физическом лице,
клиента, которая стала известна которое идентифицировано
банку в процессе обслуживания или может быть конкретно
клиента и взаимоотношений с
идентифицировано
ним или третьим лицам при
оказании услуг банка.
Закон Украины
«О защите персональных данных»
Закон Украины
«О банках и банковской деятельности»
5. 1. Персональные данные VS банковская тайна
БАНКОВСКАЯ ТАЙНА ПЕРСОНАЛЬНЫЕ ДАННЫЕ
•сведения о банковских счетах клиентов, в том числе •идентификационные сведения (имя, адрес, телефон, и
корреспондентские счета банков в Национальном банке др.);
Украины; •паспортные сведения;
•личные сведения (возраст, пол, семейное состояние и др.);
•операции, проведенные в пользу или по поручению
•состав семьи, образование, профессия;
клиента, осуществленные им сделки;
•биометрические сведения (рост, вес, отпечатки пальцев,
•финансово-экономическое положение клиентов;
особые приметы и др.);
•системы охраны банка и клиентов; •психологические сведения (особенности характера и др.);
•информация об организационно-правовой структуре •жилищные условия;
юридического лица - клиента, его руководителях, •способ жизни;
направлениях деятельности; •жизненные интересы и увлечения;
•сведения о коммерческой деятельности клиентов или •потребительские привычки;
коммерческой тайне, каком-либо проекте, •финансовая информация;
изобретениях, образцах продукции и другая •электронные идентифицирующие данные (трафик, ІР-
коммерческая информация; адрес, адрес электронной почты);
•информация об отчетности по отдельному банку, за •электронные сведения о геолокации (GSM, GPS, др.);
исключением подлежащей опубликованию; •фото и видео изображения, звукозапись;
•коды, •почерк, личная подпись;
используемые банками для защиты
•другие персональные сведения.
информации.
Информация о банках или клиентах, собираемая при
проведении банковского надзора, составляет банковскую Требуют особых условий обработки:
тайну. •Расовая принадлежность;
•Политические взгляды,религиозные и мировоззренческие
убеждения;
Закон Украины •Членство в политических партиях и профессиональных
«О банках и банковской деятельности» союзах;
•Состояние здоровья и половая жизнь.
6. 1. Персональные данные VS банковская тайна
БАНКОВСКАЯ ТАЙНА ПЕРСОНАЛЬНЫЕ ДАННЫЕ
ТРЕБОВАНИЯ К ОБРАБОТКЕ ТРЕБОВАНИЯ К ОБРАБОТКЕ
Банки обязаны обеспечить 1.законность;
сохранение банковской тайны . 2.конкретность целей;
3.точность и своевременное
Закон Украины обновление;
«О банках и банковской деятельности» 4.ограничение времени обработки;
5.неизбыточность;
6.права физического лица;
7.защита информации;
8.ограничение трансграничной
передачи .
Закон Украины
«О защите персональных данных»
7. Конвенция 108 и
Закон Украины «О защите персональных данных
КАЖДЫЙ ИМЕЕТ ПРАВО:
ЗНАТЬ
КТО И ГДЕ обрабатывает его ПД
КОМУ передаются его ПД
КАК получить доступ и потребовать
исправления/удаления своих ПД
ОБРАЩАТЬСЯ
к администрации банка
в уполномоченный орган по вопросам защиты
своих персональных данных
в суд для правовой защиты своих прав
8. 2. ОСОБЕННОСТИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ БАНКАМИ
Персональные данные в банковских приложениях:
• повседневная деятельность
• кредиты, и скоринг
• финансовый мониторинг
• работа с коллекторами
• веб-сайты банков
• системы видеонаблюдения
9. 2. ОСОБЕННОСТИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ БАНКАМИ
Повседневная деятельность:
банккак хозяйственное товарищество
трудовые отношения
отношения с партнерами
банковский учет
банковские услуги
10. 2. ОСОБЕННОСТИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ БАНКАМИ
кредиты и скоринг
статистический анализ кредитной/платежной истории
клиента, текущего дохода и т.п. с целью определения его
кредитоспособности, оценки риска предоставления
клиенту кредита.
источники информации для анализа банками – в
соответствии с Законом Украины «Об организации
формирования и оборота кредитных историй».
сбор банками персональных данных клиентов – в
соответствии с требованиями законодательства о защите
персональных данных.
11. 2. ОСОБЕННОСТИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ БАНКАМИ
финансовый мониторинг
Сбор банками только тех персональных данных
клиентов, обработка которых предусмотрена Законами
Украины «О предотвращении и противодействии
легализации (отмыванию) доходов, полученных
преступным путем, или финансированию терроризма»,
«О банках и банковской деятельности» и др.
Проблема- использование механизмов закона для
скоринга.
12. 2. ОСОБЕННОСТИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ БАНКАМИ
• работа с коллекторами
- клиенты не знают о возможной передаче данных
коллекторам в соответствии с законодательством;
- клиенты не уведомляются о смене кредитора;
- договора с коллекторами не содержат положений о
защите персональных данных – риск для банка;
договор об уступке права требования –
КОНТРОЛЛЕР -КОНТРОЛЛЕР (ВЛАДЕЛЕЦ-ВЛАДЕЛЕЦ);
- договор – поручение КОНТРОЛЛЕР-ПРОЦЕССОР (ВЛАДЕЛЕЦ-РАСПОРЯДИТЕЛЬ).
13. 2. ОСОБЕННОСТИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ БАНКАМИ
• веб-сайты банков
какие ПД собираются и зачем;
как долго они обрабатываются и как используются;
как посетитель сайта может требовать соблюдения его
прав.
14. 2. ОСОБЕННОСТИ ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ БАНКАМИ
• системы видеонаблюдения
- клиенты не знают КТО их снимает (банк? охранная
фирма?);
- клиенты не знают КАК потребовать защиты своих прав;
- снимается больше, чем нужно.
часто отсутствуют документы, которые устанавливают
цель и процедуры функционирования систем
видеонаблюдения.
15. 3. УПОЛНОМОЧЕННЫЙ ОРГАН ПО ВОПРОСАМ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ:
расследование и вмешательство
участие в судебном рассмотрении
рассмотрения заявлений физических лиц и
принятие решения
Конвенция о защите частных лиц в отношении
автоматизированной обработки данных личного характера
16. 3. УПОЛНОМОЧЕННЫЙ ОРГАН ПО ВОПРОСАМ
ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ:
осуществляет в пределах своих полномочий контроль за
соблюдением требований законодательства о защите персональных
данных с обеспечением в соответствии с законом доступа к
информации, связанной с обработкой персональных данных в
базе персональных данных, и в помещения, где осуществляется их
обработка;
издает обязательные для исполнения законные требования
(предписания) об устранении нарушений законодательства о защите
персональных данных;
рассматривает предложения, запросы, обращения, требования и
жалобы физических и юридических лиц.
Закон Украины «О защите персональных данных»
17. 3. Типовые нарушения законодательства о
защите персональных данных в банковской
сфере
Сбор персональных данных о потенциальных клиентах без их
согласия
Обработка персональных данных клиентов и заемщиков при
отсуствии законодательных оснований
Наличие согласия формально не подтверждено (Чехия)
Доступ к кредитной информации займщиков с целью ее
использования при оценке кандидата при приеме на работу
Неавторизованный доступ работников банка к кредитной
информации (Германия)
18. 4. ЗАЩИТА ПЕРСОНАЛЬНЫ ДАННЫХ В
КОНТЕКСТЕ СИСТЕМЫ УПРАВЛЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ БАНКА
ISMS ISO 27001
Information Security СУИБ
Management System
PIMS BS 10012 Система
Personal Information управления
Management System
обработкой
персональных
данных
IT Security
Trustworthy System КСЗи
Assesment
ISO/IEC 29100:2011
Information technology
-- Security techniques --
Privacy framework 18
19. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ КЛИЕНТОВ БАНКА.
ТРЕБОВАНИЯ ЗАКОНОДАТЕЛЬСТВА И ПРАКТИКА
1. Персональные данные VS банковская тайна
2. Персональные данные в банковских приложениях:
•повседневная деятельность
•кредиты, и скоринг
•финансовый мониторинг
•работа с коллекторами
•веб-сайты банков
•системы видеонаблюдения
3. Уполномоченный орган по вопросам защиты персональных данных
4. Защита персональных данных и СУИБ (ИСО 27001)
СПАСИБО ЗА ВНИМАНИЕ
Козак Владимир Федорович,
Volodymyr.kozak@zpd.gov.ua Заместитель Председателя
Государственной службы Украины
+380 44 517 85 86 по вопросам защиты персональных данных