Менее половины банков соблюдают требования закона о персональных данных

Больше половины российских банков (55%) не учитывают требований Федерального закона № 152-ФЗ «О персональных данных» (ПД) в пользовательских соглашениях. Речь идет в первую очередь об указании конкретных целей сбора и обработки данных, которые банки должны прописывать с 1 сентября 2022 г. К такому выводу пришли специалисты компании «Б-152», проанализировав политики конфиденциальности 324 банков, представленных на сайте Банка России. По данным ЦБ на 1 ноября, в России работает 324 банка (224 с универсальной лицензией, 100 – с базовой). 162 из них не соблюдают требований Роскомнадзора (РКН), следует из анализа «Б-152».

Авторы исследования отмечают, что 10% российских банков в принципе не имеют на своем сайте политики конфиденциальности, а у двух банков этот документ датируется 2011 г.

Цели обработки, которые оператор ПД, в том числе любой банк, должен указывать в пользовательском соглашении, могут быть разными, объясняет директор департамента системной интеграции Bi.Zone Антон Голубков, например, информирование об услугах банка, принятие решений о кредитовании, предоставление сведений о залогах, выдача банковских гарантий, организация и проведение внутренних аудитов, осуществление внутреннего контроля и др.

Помимо того, с 1 сентября 2022 г. в 152-ФЗ появилось положение, в соответствии с которым срок реагирования на требование об удалении ПД и прекращении их обработки был сокращен с 30 до 10 дней, напоминает руководитель компании «Интернет-розыск» Игорь Бедеров.

Изменения в законодательстве также предполагают, что политика в отношении ПД должна быть размещена на всех страницах сайта, где осуществляется сбор ПД, отмечает представитель «Б-152». При этом cookie-файлы и иные идентификаторы пользователя также относятся к ПД, так как позволяют теоретически определить конкретного субъекта и выделить его среди других лиц, добавляет он, полученные данные можно использовать, например, в рекламе. В исследовании говорится, что только 6,5% политик банков содержали соответствующую информацию об обработке cookie-файлов.

Политики должны обновляться в соответствии с изменениями в законодательстве и в случае изменений в процессах обработки ПД в компаниях, уточнил представитель «Б-152». При этом РКН наделен полномочиями проведения проверки, если будут найдены три несоответствия политики обработки ПД компании-оператора требованиям регулятора, добавил он.

За девять месяцев текущего года РКН направил 4000 требований различным организациям, в том числе о необходимости привести политику по обработке ПД в соответствие с положениями закона, рассказал представитель ведомства. Почти все из них были исполнены, однако около 100 протоколов об административных правонарушениях все же были выписаны за неисполнение или несвоевременное исполнение требований, отметил представитель ведомства. Какая часть из этих нарушителей была из банковской сферы, представитель регулятора не уточнил.

Выполнение требований закона «О персональных данных» обязательно для всех операторов ПД независимо от отрасли, говорит Голубков. Политика должна быть составлена таким образом, чтобы каждому субъекту ПД было понятно, какие пункты политики относятся именно к нему, поясняет он. Например, в каких целях осуществляется обработка его ПД, какие именно данные обрабатываются, на каких правовых основаниях происходит ­обработка и т. д.

Но на практике компании часто составляют путаные, объемные и сложные для понимания простого человека пользовательские соглашения, требуют предоставить согласие на обработку избыточных данных, отмечает представитель РКН. Тексты некоторых политик конфиденциальности по количеству знаков соответствуют объему книги – более 180 000 знаков, что не позволяет клиентам банка ознакомиться с содержанием и понять, каким образом их данные обрабатываются и кому они передаются, добавляет представитель «Б-152». При этом в каждой анализируемой политике компания выявила прямые цитаты норм законодательства в области ПД, в некоторых случаях они могли составлять 90% объема текста, отметил он.

«Административная ответственность наступает лишь в случае неопубликования политики (ч. 3 ст. 13.11 КоАП РФ). Поэтому часто операторы без должного внимания к требованиям закона составляют подобные документы», – добавил представитель РКН.

Впрочем, публикуемая компаниями документация по защите ПД никак не отражает реального состояния информационной безопасности, защищенности этих данных, подчеркивает Бедеров, политики обработки – это регуляторика, которая развивается по образцу западного закона о ПД GDPR.

Обычному человеку зачастую крайне сложно самостоятельно проконтролировать постоянно растущее количество случаев обработки его ПД, отмечает представитель РКН. Это усугубляется и стремительно усложняющимися технологиями, применением нейросетей, искусственного интеллекта, добавил он.

«Полагаем, что исследование подтверждает необходимость дальнейшего повышения защитной роли государства, установления более строгих требований к операторам, проверки целесообразности сбора и обработки данных, соответствия обработки заявленной деятельности», – резюмировал представитель регулятора.

Банк «Зенит» ежегодно пересматривает политику конфиденциальности в связи с изменениями в законодательстве и появлением новых продуктов или процессов, а также исходя из результатов анализа рисков и категорирования информационных активов, говорит начальник департамента кибербезопасности банка Олег Волков. Он уточнил, что обычно это занимает до двух месяцев в зависимости от выявленных новшеств. Политика защиты ПД банка опубликована на сайте и включает в себя положение о применении cookie-файлов, а пользователю при посещении сайта предоставляется возможность выбора – использовать такие файлы или нет, добавил собеседник.

Представитель ЦБ не ответил на запрос «Ведомостей». Так же поступили в Сбербанке, ВТБ, Газпромбанке, Альфа-банке, Россельхозбанке, Московском кредитном банке, «ФК Открытие», Совкомбанке, Райффайзенбанке, Росбанке, «Тинькофф банке», «Юникредит банке», «Почта банке», «Уралсибе», «Хоум банке», банке «Русский стандарт» и МТС-банке.