Во время пандемии цифровая трансформация бизнеса для одних банков стала спасением от неминуемых потерь, а для других – эффективным инструментом, чтобы справиться с возросшим спросом. В этих условиях увеличилась ценность персональных данных клиентов, которые наравне с деньгами и имуществом стали важным активом. Однако далеко не все участники отечественного банковского рынка сумели успешно решить проблему защиты персональных данных. В США и ЕС данная угроза потеряла актуальность в финансовой сфере. Более того, на западе научились мотивировать пользователей предоставлять доступ к своим данным. Этот опыт можно смело взять на заметку и российским банкам.

Сведения о людях, их интересах, местах проживания и предпочтениях – всё это новая мировая валюта, которой, с одной стороны, интересуются многие банки и компании для создания конкурентоспособных предложений на рынке. С другой стороны, граждане – субъекты персональных данных – всё больше и большетранслируют негативное отношение к свободному распространению их личной информации.

Резкому повышению внимания к защите своих персональных данных способствуют и регулярные новости о «слитых» базах данных, и мероприятия Роскомнадзора по контролю и информированию граждан о правах в этой сфере. И банковская сфера не исключение в данных вопросах. Например, в 2018 году россияне подали свыше 10 тыс. жалоб на банки по причине некорректной работы с персональными данными, следует из статистики Роскомнадзора. За первое полугодие 2019 года количество подобных жалоб выросло до 25 тысяч.

Особенно большой резонанс вызвала утечка персональных данных клиентов Сбербанка летом 2019 года, когда на чёрном рынке оказалась база данных с подробной информацией о 60 млн владельцев кредитных карт. Как пояснил представитель Сбербанка, утечка данных через внешний взлом систем невозможна в принципе, так как все базы данных клиентов полностью изолированы от внешней сети. Масштабная утечка произошла в результате умышленных преступных действий одного из сотрудников банка.

Таким образом, банкам, при работе с персональными данными клиентов необходимо уделять внимание трем важным областям:

• законодательные требования по защите персональных данных;
• технические и программные методы защиты данных клиентов;
• работа с сотрудниками по повышению их знаний в сфере персональных данных граждан и ответственности за распространение таких сведений третьим лицам.

На законодательном уровне персональные данные защищаются целым рядом документов. В России это, прежде всего, ФЗ «О персональных данных» от 27.07.2006 N 152-ФЗ, а в банковской сфере – ФЗ «О банках и банковской деятельности» от 02.12.1990 N 395-1 и нормы ГК РФ.

Банк является оператором обработки персональных данных, которые он собирает и обрабатывает для выполнения своих функций. Но такая работа с личной информацией клиентов возможна со стороны банков только с их письменного согласия. Например, тот же Сбербанк разместил на своем сайте следующую информацию для пользователей (выдержка из документа с сайта www.sberbank.ru): «Продолжая работу на сайте я выражаю свое согласие ПАО Сбербанк на автоматизированную обработку моих персональных данных (файлы cookie, сведения о действиях пользователя на сайте, сведения об оборудовании пользователя, дата и время сессии), в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Firebas Google, Tune, Amplitude, Сегменто, с совершением действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, обезличивание, блокирование, удаление, уничтожение, передача (предоставление, доступ), в том числе трансграничная, партнёрам Сбербанка, предоставляющим сервис по указанным метрическим программам. Обработка персональных данных осуществляется в целях улучшения работы сайта, совершенствования продуктов и услуг банка, определения предпочтений пользователя, предоставления целевой информации по продуктам и услугам Сбербанка и его партнёров».

Подобные документы «присоединения» должны быть дополнены, в случае заполнения клиентом какой-либо формы на сайте, возможностью волеизъявления в виде самостоятельного проставления «галочки согласия» перед отправкой заявки. Галочка о согласии с обработкой персональных данных, автоматически поставленная системой и лишающая клиента свободы выбора, является серьезным нарушением требований Закона о защите персональных данных.

Пользователям также должен быть предоставлен лёгкий и понятный доступ к информации о том, какие сведения собираются и как планируется их использовать, о процедуре отзыва персональных данных, о целях сбора, методах и способах обработки и распространения собранной личной информации граждан.

Данная информация, как правило, прописывается в Политике конфиденциальности, Пользовательском соглашении и Согласии клиента на обработку персональных данных. Все эти документы или прикрепляются внизу страницы сайта, или предоставляются в виде активной ссылки при заполнении посетителем страницы формы заявки.

Если банки оказывают услуги гражданам ЕС, предоставляя информацию на их языке с использованием верхнего доменного имени сайта страны Евросоюза, то дополнительно необходимо следовать требованиям Европейского Общего регламента по защите данных – GDPR (General Data Protection Regulation). Данный регламент вступил в силу 25 мая 2018 года и предоставил резидентам ЕС широкие полномочия по управлению своими персональными данными: запрашивать наличие информации и её полноту, ограничивать её использование и при необходимости удалять. Если у российского банка собрана клиентская база, то имеет смысл сделать рассылку с предложением дать своё согласие на обработку оставленных ими ранее персональных данных. Потому что штрафы за нарушение требований GDPR могут достигать порядка 20 млрд евро или 4 % годового дохода организации.

В США подробного регулирования, как в нашей стране или ЕС, не предусмотрено. Есть общие положения на федеральном уровне, а рассмотрение инцидентов с защитой персональных данных происходит на основании прецедентного правоприменения отдельных штатов.

Дальше всех пошел в этом вопросе штат Калифорния, где с 1 января 2020 года вступил в действие California Consumer Privacy Act (CCPA). Для пользователей предусмотрены расширенные полномочия по защите своих персональных данных, включая компенсации за нарушения, подачу жалоб и свободный доступ к личной информации. Ключевое отличие от GDPR и российских норм заключается в отсутствии обязательного получения согласия пользователей на обработку персональных данных. Организации Калифорнии должны лишь обрабатывать запросы от пользователей.

Вместе с тем, в Калифорнийском акте есть интересный момент мотивирования пользователей предоставлять доступ к своим данным, который можно взять на заметку и банкам. Это определенная система поощрений, благодаря которой клиенты, готовые поделиться персональной информацией с третьими лицами, получают дополнительные бонусы или скидки.

Следующий вопрос, касающийся технической защиты персональных данных, связан с моментами непосредственно сбора и обработки. Этот путь может включать в себя: удаление персональных данных по достижению целей их обработки; обезличивание информации посредством деления её на части; добавление «шума» (посторонней информации) в персональные данные для усложнения идентификации; группирование общих характеристик персональных данных; скрытие части данных и др. Подробнее варианты рассмотрены в американском документе с общими рекомендациями по защите персональных данных – NIST Special Publication 800-122 Guide to Protecting the Confidentiality of Personally Identifiable Information (PII) (Draft).

И, наконец, ещё одним важным инструментом повышения защиты персональных данных является образование сотрудников в сфере персональных данных. Проблема Сбербанка, вылившаяся в утечку 60 млн данных клиентов, возникла по вине одного из сотрудников банка. Сбербанк пришел к следующим решениям: «Мы сделали ссерьёзные выводы и кардинально усиливаем контроль доступа к работе наших систем сотрудников банка, чтобы минимизировать влияние человеческого фактора».

Очевидно, что повышение правовой грамотности и информирование об основах работы с персональными данными, включая вопросы ответственности за нарушение норм закона, позволит повысить результативность сохранения личных данных клиентов и со стороны сотрудников банков.

Таким образом, для повышения защиты персональных данных и лояльности клиентов, банкам следует обратить внимание на три аспекта:

• повышение информированности сотрудников относительно процессов обработки персональных данных и ответственности за её нарушение;
• технические решения ограничения доступа к персональным данным, в том числе уменьшение объемов обрабатываемых и хранимых ПДн, их обезличивание, разделение прав и доступа и т.п.;
• соблюдение всех нормативных требований как российского законодательства, так и зарубежного.

В заключение ещё раз необходимо отметить важность направления внимания на вопросы работы с персональными данными в банковской деятельности и использование всех существующих мировых практик и тенденций для повышения защиты и лояльности клиентов.

Текст: Анжелика Матушкина, эксперт Moscow Digital School, юрист онлайн-проектов, блокчейн- технологий и цифровых активов, специально для НБЖ

Основными виновниками утечек являются сотрудники банков и компаний

Около 100 млн записей персональных данных и платёжной информации россиян «утекло» в сеть в 2020 году, говорится в исследовании компании InfoWatch. По мнению авторов, основными виновниками утечек в России остаются сотрудники компаний, на них приходится около 80% всех нарушений. При этом растет доля утечек, вызванных умышленными действиями персонала, – примерно три четверти случаев.

«По предварительным данным, в глобальном масштабе за год утекло около 11 млрд записей персональных данных и платёжной информации, из них в России – порядка 100 млн, то есть около 1% от количества записей, скомпрометированных во всем мире», – говорится в исследовании. В России чаще обнаруживали утечки информации в хайтек-индустрии, сфере финансов и госсекторе. В мире на первом и третьем местах находятся хайтек-компании и госсектор, а на втором – сфера здравоохранения.

Авторы отметили, что в период пандемии больше утечек информации ограниченного доступа ушло в серую зону, то есть не фиксировалось системами защиты и контроля. Это связано с переводом сотрудников компаний на удалённую работу, применением незащищённых личных компьютеров и роутеров, работой по открытым каналам связи.

Ольга Квасова

Материал также опубликован в печатной версии Национального банковского журнала №197 (январь-февраль 2021)