Российские банки обязали усилить защиту личных данных клиентов
Центральный банк Российской Федерации потребовал от кредитных организаций упорядочить работу по защите конфиденциальных данных своих клиентов.
Регулятор направил в банки указания, согласно которым несоблюдение требований порядка хранения и уничтожения документов, содержащих личные данные вкладчиков и заемщиков, повлечет проверки и санкции.
По указанию ЦБ, банки обязаны не только усилить контроль за соблюдением законодательства о персональных данных, но и усовершенствовать внутренние положения, предусматривающие персональную ответственность сотрудников, осуществляющих обработку такого рода информации и сохранение ее конфиденциальности. Помимо этого, кредитные учреждения должны пересмотреть условия хранения носителей персональных данных, чтобы исключить несанкционированный доступ к ним на всех этапах.
Центробанк направил в свои территориальные управления рекомендации об оценке качества управления в кредитных организациях, в частности – и в сфере защиты персональных данных. Если организация не актуализирует внутренние документы, это негативно отразится при оценке ее деятельности.
Одним из катализаторов, обративших внимание регулятора на решение проблемы защиты данных клиентов банков, стал резонансный случай утечки данных в Ижевске, где в середине января внутренние документы местного отделения Сбербанка из-за проводимого в офисе ремонта оказались на свалке.
По данным одного из крупных российских разработчиков систем по предотвращению утечек конфиденциальной информации Zecurion Analytics, за 2013 год потери от несанкционированного доступа к защищенным данным в мире достигли 25 млрд долларов. На Россию приходится около 5% этой суммы (примерно $1,25 млрд).
По мнению крупных игроков рынка, усиление мер безопасности вряд ли будет столь обременительным, поскольку с момента принятия закона "О персональных данных" банки внедрили необходимое оборудование, ввели новые системы хранения данных и доступа к ним, технология уничтожения документов давно обработана. Однако в то же время представители банков отмечают, что полностью избежать утечек, скорее всего, не удастся в силу того, что логистика документации происходит через объекты с разным уровнем возможного контроля, а требования по защите информации не всегда выполняются в полной мере.
Российское законодательство не предполагает уголовной ответственности за разглашение персональных данных ("профильные" статьи УК касаются лишь неприкосновенности переписки и телефонных переговоров (ст.138) и распространение личной тайны посредством публичного выступления или в СМИ (ст. 137). Впрочем, участники рынка уверены, что в плане ответственности и наказаний лучших стимулов, чем экономические, – нет.