Регулятор потребовал от банков лучше хранить данные клиентов

Центробанк разослал банкам письма (есть в распоряжении «Известий»), обязывающие их усилить порядок хранения и уничтожения документов, содержащих персональные данные клиентов. Несоблюдение этого требования повлечет проверку регулятора.

Банки должны усилить контроль за соблюдением законодательства о персональных данных. В частности — актуализировать документы, определяющие порядок хранения и уничтожения персональных данных клиентов на бумажных носителях (речь идет прежде всего о кредитных договорах). Еще одно требование — принять и усовершенствовать внутренние положения, предусматривающие персональную ответственность сотрудников банков, осуществляющих обработку данных клиентов и сохранение конфиденциальности информации в ходе обслуживания граждан. Также банки обязаны пересмотреть условия, обеспечивающие сохранность материальных носителей персональных данных, исключающие несанкционированный доступ к ним с момента создания документов до их уничтожения. Об этом говорится в письме за подписью первого зампреда Центробанка Алексея Симановского, направленном в коммерческие кредитные организации.

— Факты ненадлежащего хранения и уничтожения банками документов, содержащих персональные данные граждан, свидетельствуют о необходимости усиления кредитными организациями контроля за рисками, возникающими при обработке, хранении и уничтожении информации о клиентах, — отмечает Симановский.

Он указывает, что ЦБ рекомендовал своим территориальным управлениям оценивать качество управления в кредитных организациях в том числе и по тому, как они исполняют данные требования. Если банк не актуализирует внутренние документы, это будет являться негативным фактором при оценке.

Беспокойство регулятора объяснимо — даже крупнейшие банки допускали утечку персональных данных клиентов. Фигурантом одного из недавних громких случаев стал Сбербанк — в середине января в Ижевске на свалке были обнаружены внутренние документы кредитной организации. В их числе была внутренняя переписка банка, а также заявления-анкеты заемщиков с их персональными данными.

По имеющейся информации, документы попали на свалку из отделения Сбербанка в Ижевске, где проводились ремонтные работы. Сотрудники отделения не забрали документацию до начала ремонта, поэтому подрядная организация, которая приступила к выполнению работ на объекте, вывезла бумаги на свалку вместе со строительным мусором.

Прокуратура Удмуртской Республики уже поручила управлению Роскомнадзора провести проверку по факту ненадлежащего обращения с персональными данными, сообщила пресс-секретарь прокуратуры. Также прокуратура Первомайского района города Ижевска проверит факт обнаружения несанкционированной свалки мусора.

— Данное происшествие является чрезвычайным для банка, — сообщили «Известиям» в кредитной организации. — В кратчайшие сроки после обнаружения все документы были изъяты с места происшествия. По факту инцидента в банке ведется служебное расследование, по итогам которого будут наказаны все виновные в случившемся, а также предприняты все необходимые меры для недопущения подобных ситуаций.

По данным Zecurion Analytics (крупнейший российский разработчик DLP-систем для защиты от утечек информации), в 2013 году ущерб от утечек информации в мире достиг $25 млрд (на Россию приходится около 5%). Компания прогнозирует увеличение числа таких инцидентов в банковской сфере.

— Безусловно, банки должны обеспечивать не только конфиденциальность электронных персональных данных, но и данных на бумажных носителях, — комментирует начальник Управления сопровождения бизнеса и хранения документации Банка Хоум Кредит Наталья Пушилина. — Банк Хоум Кредит обеспечивает хранение документов клиентов в специализированных хранилищах с многоуровневой системой доступа, а уничтожение документов осуществляется на специализированном оборудовании в присутствии банковских работников.

В остальных кредитных организациях предпочли не раскрывать, как именно хранятся и уничтожаются документы с персональными данными клиентов. Однако собеседники отмечают, что ЦБ не преувеличивает масштаб проблемы.

По словам директора по розничным рискам Промсвязьбанка Евгения Иванова, проблема небрежного отношения с бумажными носителями, содержащими персональные данные, существует во многих кредитных организациях.

— Четкий порядок обращения с данным видом носителей, а также усиление ответственности на местах позволит во многом минимизировать риски утечек подобного рода, — считает Иванов. — Однако также очевидно, что никакие разумные с точки зрения затрат меры не позволят полностью избежать таких утечек, поскольку, с одной стороны, современные технические средства позволяют легко получать электронные копии бумажных носителей, а с другой стороны, логистика кредитной документации происходит через объекты с разным уровнем возможного контроля.


В то же время собеседники отмечают, что крупные игроки уже готовы к новым требованиям.

По словам директора департамента розничного бизнеса СБ Банка Германа Белоуса, усиление мер и ответственности вряд ли будут сильно обременительным для кредитных организаций.

— С 2006 года, с момента внедрения закона «О персональных данных», банками, в частности, уже очень многое в этой сфере реализовано, — говорит Белоус. — Приобретено необходимое оборудование, введены новые системы хранения данных и доступа к ним, разработаны внутренние нормативные документы, в целом значительно усилен контроль. В общем, хранение и уничтожение документов на бумажных носителях — давно уже отработанная технология, и если она исполняется в полной мере, то сбоев не бывает. Но нужно понимать, что полностью устранить проблему утечки персональных данных, думаю, невозможно в принципе. Во-первых, всегда есть и будет так называемый человеческий фактор. Во-вторых, мошенниками регулярно обнаруживаются программные лазейки для взлома систем защиты.

Российское законодательство не содержит конкретных советов, как правильно обеспечивать сохранность персональных данных, обрабатываемых банками без использования средств автоматизации.

— Существует только общее требование постановления правительства России № 687 к наличию у оператора персональных перечня мер, необходимых для обеспечения сохранности материальных носителей персональных данных, и исключающих несанкционированный доступ к таким носителям, — говорит руководитель практики инвестиционного консультирования ФБК Роман Кенигсберг. — При отсутствии четких требований повышается неопределенность в их интерпретации регулятором, и это единственный минус данной инициативы. Защита персональных данных клиентов — это такое же обязательное условие банковского бизнеса, как необходимость контролировать доступ в кассовое хранилище.

Что касается ответственности и наказаний — нет лучших стимулов, чем экономические, указывает директор департамента управления информационной безопасностью Бинбанка Искандер Конеев.

Тем не менее эксперты на условиях анонимности уверяют «Известия», что только штрафами процесс не ограничится.

— Непредоставление отчетности повлечет проверки регулятора, которые могут иметь самые разные последствия, — считают они. — ЦБ может обратить внимание на другие сферы деятельности игрока, в том числе уличить его в нарушении богатого на санкции «антиотмывочного» законодательства.