Персональные данные украинцев, в том числе, касающиеся их имущественного положения, нередко попадают в руки мошенников. Одним из источников подобных утечек являются банки, собирающие данные о своих клиентах. Государство законодательно гарантирует сохранность банковской тайны, но надежно ли она защищена от злоупотреблений, если около десятка государственных служб, ведомств и прочих организаций могут получить к ней доступ? "Апостроф" разбирался в ситуации.
В Украине вопросы, связанные с банковской тайной, регулируются законом "О банках и банковской деятельности" от 07.12.2000 года № 2121-III, в который постоянно вносятся изменения - последние были в июне 2017 года.
Согласно ст. 60, банковской тайной является "информация о деятельности и финансовом состоянии клиента, которая стала известна банку в процессе обслуживания клиента и взаимоотношений с ним, или третьим лицам при предоставлении услуг банка". Банковской тайной, в частности, являются: сведения о банковских счетах клиентов, операции, осуществляющиеся в пользу или по поручению клиентов, финансово-экономическое состояние клиентов, системы охраны банков и их клиентов, коды, используемые банками для защиты информации, информация о физических лицах, которые планируют заключить договор о предоставлении кредита, полученная во время оценки их кредитоспособности.
Кроме того, под определение банковской тайны подпадает информация о банках и их клиентах, которая собирается во время проведения банковского надзора, а также информация, полученная Национальным банком Украины (НБУ) в рамках сотрудничества с иностранными органами банковского надзора, в том числе, с целью предотвращения легализации средств, полученных преступным путем, или финансирования терроризма.
Когда тайное становится явным
Законодательством предусмотрены основания для раскрытия банковской тайны. В частности, это может быть сделано по решению суда. Кроме того, банковская тайна должна быть раскрыта органам прокуратуры, Службе безопасности Украины, Государственному бюро расследований, Национальной полиции, Национальному антикоррупционному бюро, Антимонопольному комитету - по их письменному требованию в отношении операций по счетам конкретного юридического или физического лица - субъекта предпринимательской деятельности (ФЛП) за конкретный промежуток времени.
Основанием для раскрытия банковской тайны является письменное требование центрального органа исполнительной власти, осуществляющего государственную налоговую политику (на сегодня это Государственная фискальная служба). Банковская тайна также должна быть раскрыта по запросу органа исполнительной власти в рамках расследования фактов отмывания преступных средств и финансирования терроризма. Аналогичная практика касается расследования фактов коррупции.
Доступ к банковской тайне получат органы государственной исполнительной службы и частные исполнители (по письменному требованию) для принудительного исполнения судебных решений по взысканию средств должников с их банковских счетов.
Помимо прочего, банковская тайна раскрывается во время проведения верификации и проверки достоверности информации, поданной физическими лицами для получения льгот, субсидий, пенсий и других выплат. Эта норма была внесена в закон в конце 2015 года. Именно она позволила Министерству финансов требовать от банков предоставления данных о депозитах граждан, в первую очередь, переселенцев с Донбасса. Если на счетах обнаруживались средства, превышающие 10 прожиточных минимумов, согласно постановлению Кабинета министров Украины № 505 от 01.10.2014 года "О предоставлении ежемесячной адресной помощи внутренне перемещенным лицам...", их лишали социальной помощи (в результате помощи лишились тысячи переселенцев).
Следует отметить, что банки имеют определенные обязательства по сохранению банковской тайны, в частности, путем ограничения круга лиц, имеющих доступ к соответствующей информации, применения специальных технических средств, способных предотвратить несанкционированный доступ к электронным и другим носителям информации. Кроме того, сотрудники банков подписывают документы, в которых обязуются хранить банковскую тайну, не разглашать и не использовать ее с выгодой для себя или третьих лиц.
В законе также отмечается, что "органы государственной власти, юридические и физические лица, которые при выполнении своих функций, определенных законом, или предоставлении услуг банка непосредственно или опосредовано получили в установленном законом порядке информацию, которая содержит банковскую тайну, обязаны обеспечить сохранение такой информации, не разглашать эту информацию и не использовать ее в свою пользу или в пользу третьих лиц".
Персональные данные граждан не защищены
По словам главы Ассоциации украинских банков Александра Сугоняко, украинское законодательство в достаточной мере защищает банковскую тайну, но на практике все выглядит иначе. "У нас законы принимаются, но, как правило, не выполняются. В части банковской тайны - точно так же", - сказал он "Апострофу". По его словам, со стороны власти постоянно предпринимаются попытки по раскрытию банковской тайны граждан и доступу к их персональным данным. "Например, при премьере Яценюке (Арсений Яценюк, премьер-министр Украины в 2014-2016 годах, - "Апостроф") пытались ввести налогообложение процентных доходов от вкладов, и чтобы полная информация о всех депозитах с фамилиями была в налоговой администрации. Но нам удалось тогда это отбить", - сказал Сугоняко.
Эксперт в сфере информационной безопасности Сергей Нестеренко считает, что ситуация с защитой персональных данных граждан "очень плохая". Информация об украинцах, в том числе, банковская, нередко становится добычей мошенников, существует нелегальный рынок, где такую информацию покупают и продают. "Рынок всегда был и есть, но проблема в том, что государство не особо за этим следит и не наказывает тех, кто занимается сливом данных. Если в каком-то банке произойдет хищение данных, то этим будет заниматься служба безопасности банка, они, скорее всего, просто уволят сотрудников (которые похитили данные). Даже, возможно, не подключая правоохранительные органы, чтобы этот инцидент замять, и чтобы это не сказалось на репутации банка", - сказал он.
По словам эксперта, "риски с персональными данными на сегодня очень высокие везде". Потенциальным источником утечки персональных данных, по мнению Сергея Нестеренко, является ксерокопирование различных документов граждан, которое осуществляют многие организации. Он также назвал эту практику совершенно незаконной.
Финансовый эксперт Алексей Кущ отмечает, что главные риски связаны с банками, которые находятся в стадии ликвидации. "При передаче документов в процессе ликвидации от действующих руководителей временным администраторам есть очень много узких мест, когда в финучреждениях ослабляются вопросы, связанные с внутренней безопасностью, контролем над соблюдением информационной защиты. Кроме того, когда работает временная администрация, у банка уже нет ни технических, ни финансовых, ни кадровых возможностей осуществлять полноценную защиту такой информации. Также есть вопросы, как эти данные потом архивируются и где они хранятся", - сказал он в комментарии "Апострофу".
Отказаться от бумаги
По словам Алексея Куща, для улучшения ситуации с хранением персональных данных граждан нужно использовать мировой опыт. "Если исходить из международной практики, то, в первую очередь, необходимо максимально отойти от бумажных носителей при проведении банковских операций", - сказал эксперт. Он привел в пример операции по покупке иностранной валюты, когда действовало требование о предъявлении паспорта, данные которого фиксировались. "Это все ксерокопировалось, складывалось в огромном количестве в обменных пунктах, которые не имели ни средств защиты информации, ни технических средств ее хранения", - отметил Кущ.
По его словам, показателен в этом смысле опыт Швейцарии: "Клиент банка может отправить запрос с мобильного телефона, банк пришлет ему документы на открытие счета, а клиент с помощью цифровой подписи акцептирует эти документы, и вся процедура открытия банковского счета укладывается примерно в пять минут".
При этом, по его словам, в этой стране есть перечень стандартизированных документов, "которые несут в себе всю подтвержденную информацию". "Есть специальные цифровые ключи, которые помогают эти данные получать. То есть клиенту достаточно, например, предоставить номер карточки социального страхования, и банк уже сам может активировать с помощью этого кода весь массив необходимой информации. Не нужно никаких ксерокопий паспортов, идентификационных кодов, свидетельств о рождении, о браке - посмотрите, сколько у нас нужно документов для обычного открытия счета в банке", - сказал эксперт.
Помимо прочего, считает Кущ, все банки должны быть завязаны на единую систему унифицированного хранения данных с помощью таких базовых документов, как ID-паспорт или водительские права.