Беларусь: Защита персональных данных в финансовом секторе
Защита персональных данных приобретает все большее значение во всех юрисдикциях, в том числе и в Беларуси. По мере расширения услуг финансового сектора возрастают и определенные требования и риски, связанные с обработкой персональных данных участников финансовых операций.
Применимое законодательство
В Беларуси до недавнего времени отсутствовало надлежащее регулирование обработки персональных данных, не было консолидированного акта, определяющего единые подходы. Однако в 2021 году было принято первое комплексное законодательство по защите персональных данных, характеризующееся риск-ориентированным подходом.
В настоящее время обработка персональных данных в Беларуси, в частности, регулируется следующим:
- Законом Республики Беларусь от 7 мая 2021 г. № 99-З "О защите персональных данных" (на русском языке доступен здесь) (неофициальная версия на английском языке доступна здесь) (Закон);
- Указом от 28 октября 2021 г. № 422 "О мерах по совершенствованию защиты персональных данных"; и
- рекомендациями и уточнениями, принятыми в развитие Закона.
Закон регулирует все сферы деятельности, в том числе и обработку персональных данных в финансовом секторе. Помимо Закона обработка персональных данных в финансовом секторе регулируется специальными актами, в том числе:
- Банковским кодексом Республики Беларусь от 25 октября 2000 г. № 441-З (Банковский кодекс);
- Законом Республики Беларусь от 10 ноября 2008 г. № 455-З "Об информации, информатизации и защите информации";
- Законом Республики Беларусь от 30 июня 2014 г. № 165-З "О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения" (Закон о мерах по противодействию легализации (отмыванию) доходов, полученных преступным путем);
- Положением о порядке аттестации систем защиты информации информационных систем, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденное приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66;
- другими актами, регулирующими финансовые операции.
Учитывая специфику и особенности обработки персональных данных в финансовом секторе, регулятор разработал рекомендации по применению Закона в банковской и страховой деятельности. Однако эти рекомендации доступны только организациям, осуществляющим банковскую и страховую деятельность, и не являются общедоступными.
Регулирующие органы
Национальный центр защиты персональных данных (НЦЗПД) является уполномоченным лицом по защите прав субъектов персональных данных. В его обязанности входит принятие мер по защите прав субъектов персональных данных, для исполнения которых НЦЗПД в т.ч. проводит проверки соблюдения требований к обработке персональных данных. Также НЦЗПД организовывает обучение по вопросам защиты персональных данных.
Оперативно-аналитический центр при Президенте Республики Беларусь (ОАЦ) отвечает за регулирование технических мер, направленных на защиту информации от утечки по техническим каналам, несанкционированных и непреднамеренных воздействий.
В регулировании обработки персональных данных в финансовом секторе, при условии, что они обрабатывают персональные данные, участвуют:
- Министерство финансов Республики Беларусь;
- Национальный банк Республики Беларусь;
- Департамент финансового мониторинга Комитета государственного контроля Республики Беларусь.
Правовые основания обработки
Персональные данные могут обрабатываться только при наличии правовых оснований для такой обработки. Закон закрепляет правовые основания для обработки персональных данных (статьи 5, 6, 8, 9 Закона).
В финансовом секторе для обработки персональных данных зачастую используются следующие правовые основания:
- согласие;
- обработка необходима для выполнения действий, предусмотренных договором, заключенным (заключаемым) с субъектом персональных данных;
- обработка персональных данных необходима для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
- реализация норм законодательства в области национальной безопасности, о борьбе с коррупцией, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения.
Хотя согласие является базовым правовым основанием для обработки персональных данных в Беларуси, оно не является универсальным или обязательным условием. В финансовом секторе некоторые субъекты, в первую очередь государственные органы и организации, могут обрабатывать персональные данные без получения согласия в силу своих обязанностей и полномочий, закрепленных в законодательных актах. Кроме того, обработка персональных данных может осуществляться на основании договора с физическим лицом, например, договора об открытии счета в банке.
Документы по обработке персональных данных
Для соблюдения законодательства о персональных данных каждая организация, в том числе и работающая в финансовом секторе, должна предпринимать определенные правовые меры. К таким мерам относится подготовка внутренних документов, регламентирующих обработку персональных данных в организации. Кроме того, определённые документы должны быть размещены на сайте организации или в приложении, при его наличии.
С учетом риск-ориентированного подхода организации определяют состав и перечень мер, необходимых и достаточных для выполнения обязательств по обеспечению защиты персональных данных. на несмотря на такой подход, Национальный центр защиты персональных данных установил ряд обязательных документов, таких как перечень уполномоченных лиц, имеющих доступ к персональным данным организации, перечень информационных ресурсов (систем), содержащих персональные данные и иные документы.
Основными документами, описывающими процессы обработки персональных данных в организации, являются:
- Положение об обработке персональных данных, являющееся внутренним документом;
- Политика обработки персональных данных, которая размещается на сайте или в приложении организации.
Национальный центр защиты персональных данных разработал рекомендации по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных. Этими рекомендациями (доступны здесь), следует руководствоваться при составлении Положения (Политики) об обработке персональных данных.
С помощью Положения (Политики) об обработке персональных данных субъект персональных данных информируется о том, кто собирает, использует или иным образом обрабатывает персональные данные, в каком объеме и для каких целей обрабатываются персональные данные, какими правами обладает субъект персональных данных в этой связи и каков механизм реализации этих прав.
При обработке персональных данных на основании согласия оператор должен предварительно предоставить субъекту данных всю информацию о такой обработке, отдельно от иной предоставляемой информации. Простой ссылки на Положение (Политику) об обработке персональных данных недостаточно.
Безопасность персональных данных и управление рисками
Помимо правовых мер, организации должны осуществлять технические меры защиты информации, в том числе осуществлять техническую и криптографическую защиту персональных данных в соответствии с требованиями ОАЦ. Эти меры предполагают, в частности, применение систем защиты информации и сертификацию таких систем.
Поскольку финансовые организации в основном обрабатывают нераскрываемую информацию, они должны соблюдать дополнительные требования к защите информации и кибербезопасности, установленные Национальным банком. Эти требования относятся к оказанию платежных услуг, включая требования к программному обеспечению платежных систем, безопасности платежных услуг, а также к мерам по защите информации, защите информационных ресурсов и систем.
Передача персональных данных и аутсорсинг
Трансграничная передача персональных данных регулируется Законом. Процедура такой передачи зависит от страны назначения и может быть разделена на два типа:
- территории иностранных государств, обеспечивающие надлежащий уровень защиты прав субъектов персональных данных. В Беларуси к ним относятся участники Конвенции о защите физических лиц при автоматизированной обработке персональных данных (1981 г.), а также иностранные государства, входящие в Евразийский экономический союз,
- территории иностранных государств, не обеспечивающие надлежащий уровень защиты прав субъектов персональных данных.
При передаче персональных данных в иностранные государства, где обеспечивается надлежащий уровень защиты прав субъектов персональных данных, должны соблюдаться общие правила обработки персональных данных. Однако если персональные данные передаются в иностранные государства, не обеспечивающие надлежащий уровень защиты, то передача персональных данных на такую территорию запрещена. Из этого запрета есть определенные исключения:
- если получено согласие субъекта персональных данных на такую передачу;
- при получении необходимого разрешения НЦЗПД;
- когда передача осуществляется на иных правовых основаниях.
Так, существуют случаи взаимодействия, в частности, органа финансового мониторинга с иностранными и международными организациями. В этих случаях может возникнуть необходимость в предоставлении персональных данных участников финансовых операций, которые могут содержать банковскую или иную охраняемую законом тайну. Однако такие данные могут быть представлены только в том случае, если они не наносят ущерба национальной безопасности Беларуси и не используются без предварительного согласия органа финансового мониторинга.
При передаче персональных данных в иностранные государства необходимо указать в Положении (Политике) об обработке персональных данных перечень иностранных компаний, страну, в которую передаются персональные данные и правовое основание для такой передачи.
Хранение персональных данных и ведение учета
Основным принципом обработки персональных данных является ограничение срока их хранения. Персональные данные должны храниться столько, сколько необходимо для выполнения целей обработки. Сроки хранения персональных данных устанавливаются в законодательстве или, при отсутствии установленных сроков хранения, определяются самой организацией. Базовый срок хранения финансовых документов, в том числе содержащих персональные данные, установлен Постановлением Министерства юстиции Республики Беларусь от 24 мая 2012 г. № 140 "О перечне типовых документов".
Важно также учитывать место хранения персональных данных. В Беларуси не существует требований по локализации персональных данных. Однако существуют требования к технической защите информации. Эти требования предусматривают, что обработка персональных данных должна осуществляться только в информационных системах, оснащенных соответствующими средствами защиты информации. Такие системы защиты информации должны быть сертифицированы в установленном порядке ОАЦ.
Система защиты информации должна быть обеспечена средствами защиты информации, имеющими сертификат соответствия, выданный Национальной системой подтверждения соответствия Республики Беларусь, или положительное экспертное заключение по результатам государственной экспертизы.
Таким образом, обработка или хранение персональных данных в информационных системах, не отвечающих требованиям защиты ОАЦ, является нарушением законодательства Республики Беларусь.
Что касается ведения учета обработки персональных данных и процедур доступа к персональным данным, то он организован следующим образом:
- В организации ведется реестр обработки персональных данных: реестр представляет собой внутренний документ, содержащий информацию обо всех видах обработки персональных данных, типах данных, сроках хранения, правовом основании обработки и т.д.
- Доступ к персональным данным в финансовой организации разграничивается между подразделениями и работниками. Порядок доступа устанавливается внутренним документом организации.
Уведомление о нарушениях
Организация обязана уведомить НЦЗПД в случае нарушения системы защиты персональных данных. Уведомление должно быть направлено организацией незамедлительно, но не позднее трёх рабочих дней после того, как организации стало известно о нарушении.
Несмотря на отсутствие конкретной обязанности уведомлять об утечке персональных данных субъектов, хорошей практикой является, например, размещение на сайте организации информации об утечке.
Существуют также случаи, когда уведомлять Национальный центр защиты персональных данных не требуется. Уведомление не направляется, если нарушение систем защиты не привело к:
- незаконному распространению, предоставлению персональных данных;
- изменению, блокированию либо удалению персональных данных без возможности восстановления доступа к ним.
Конфиденциальность и банковская тайна
Особенность обработки персональных данных в финансовом секторе заключается в обработке персональных данных, составляющих охраняемую законом тайну.
Персональные данные и информация, отнесенная к банковской и иной охраняемой законом тайне, являются разными видами информации, на которую распространяются ограничения. Во многих случаях одна и та же информация может быть отнесена и к персональным данным, и к информации, составляющей охраняемую законом тайну.
Персональные данные, относящиеся к категории охраняемой законом тайны, подлежат специальному регулированию. Обработка таких данных регулируется специальным законодательством, которое имеет приоритет над положениями Закона.
Банковская тайна включает в себя информацию о:
- счетах и вкладах, включая информацию о наличии счета в банке или небанковской кредитно-финансовой организации;
- владельце;
- номерах счетов и других соответствующих реквизитах;
- размере средств на счетах и депозитах;
- сведениях конкретных операций, в том числе операций, проводимых без открытия счета, а также операций по счетам, вкладам, об имуществе, находящимся на хранении в банке (ч. 1 ст. 121 Банковского кодекса).
Эта информация должна охраняться в определённом порядке и не подлежит разглашению. Доступ к такой информации осуществляется в установленном законодательными актами порядке и с согласия субъекта, к которому относится информация. В отдельных случаях доступ к такой информации может быть предоставлен третьим лицам и аудиторским организациям, но только в объеме, необходимом для выполнения договора на оказание аудиторских услуг.
Определен перечень случаев, когда информация, составляющая банковскую тайну, может быть предоставлена без согласия субъекта персональных данных. В частности, информация предоставляется:
- судам по делам, находящимся в их производстве;
- Национальному банку Республики Беларусь;
- специальным подразделениям по борьбе с коррупцией и организованной преступностью органов внутренних дел;
- ОАЦ;
- органам государственной безопасности Республики Беларусь;
- иным организациям, указанным в статье 121 Банковского кодекса.
За разглашение охраняемой законом тайны, в том числе банковской, предусмотрена административная ответственность, в том числе штраф в размере до 20 базовых величин (около 260 долларов США), а также уголовная ответственность. Уголовная ответственность может включать в себя штраф, лишение права занимать определенные должности или заниматься определенной деятельностью, арест, ограничение свободы или лишение свободы на срок до трех лет.
Финансовая отчетность и отмывание денежных средств
Ряд обязательных процедур в финансовом секторе предполагает сбор большого количества персональных данных. Такие процедуры, как "Знай своего клиента" (KYC) и "Противодействие отмыванию денег" (AML), предусмотрены Законом о мерах по предотвращению легализации преступных доходов и Постановлением Правления Национального банка Республики Беларусь от 24 декабря 2014 г. № 818 "О внутреннем контроле при осуществлении банковских операций".
Процедуры AML/KYC широко распространены в банковской, страховой деятельности, деятельности операторов криптоплатформ, операторов обмена криптовалют для идентификации клиентов и проверки информации о них.
Для выполнения процедур AML/KYC организации обрабатывают большой объем данных на основании прямого требования законодательного акта, не получая согласия от лиц, чьи данные обрабатываются.
Кроме того, отдельные категории организаций, такие как банки, страховые компании, операторы криптоплатформ, операторы обмена криптовалют, не несут ответственности за передачу информации, содержащей персональные данные, в орган финансового мониторинга, поскольку это не нарушает банковскую или иную охраняемую законом тайну.
Ответственность
При нарушении требований законодательства об обработке персональных данных предусмотрены различные виды ответственности, в том числе:
- дисциплинарная - регулируются ст. 47 Трудового кодекса Республики Беларусь от 26 июля 1999 г. № 296-З;
- административная - регулируются статьей 23.7 Кодекса Республики Беларусь об административных правонарушениях от 6 января 2021 г. № 91-З;
- уголовная - регулируется статьями 203-1, 203-2 Уголовного кодекса Республики Беларусь от 9 июля 1999 г. № 275-З;
- гражданско-правовая ответственность - предусмотрена пунктом 2 статьи 19 Закона, которая включает компенсацию морального вреда, имущественного ущерба и убытков, понесенных субъектом персональных данных.
Следует отметить, что практика привлечения организаций к ответственности за нарушения порядка обработки персональных данных в Беларуси только зарождается. В 2022 году в отношении 10 организаций были направлены материалы о привлечении к административной ответственности, максимальный размер штрафа составил 200 базовых величин (около 2600 долларов США).
Уважаемые журналисты, использование материалов с сайта REVERA в публикациях возможно только после нашего письменного разрешения.
Для согласования материалов обращайтесь на e-mail: i.antonova@revera.legal или Telegram: https://t.me/PR_revera