Thursday, July 13, 2023

Банковские рассылки в Viber - нарушение закона

Национальный центр защиты персональных данных рассмотрел заявление Открытого акционерного общества "Белорусский банк развития и реконструкции "Белинвестбанк". В ходе рассмотрения было обнаружено, что Банк нарушает Закон Республики Беларусь от 7 мая 2021 года № 99-З "О защите персональных данных".


Мнение Белинвестбанка - Рекламные рассылки посредством Viber осуществляются Банком в целях популяризации продуктов, сервисов, услуг, проводимых акций и не содержат персональных данных клиента (Ф.И.О., паспортные данные, место проживания, номера договоров и другие данные, позволяющие однозначно идентифицировать клиента). Направляемое сообщение носит рекламный характер и содержит информацию о новых продуктах, услугах и сервисах
Банка. Например: «Время действовать! Исполняйте свои желания с кредитом «Личный выбор» от Белинвестбанка». Указанные сообщения не содержат данных клиента и носят характер общедоступной информации. По мнению Банка, при осуществлении рекламной рассылки указанного содержания посредством Viber не происходит передача персональных данных клиента, а следовательно, отсутствует обязательный признак трансграничной передачи персональных данных – передача персональных данных
Согласно Закону, персональными данными является любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано. Поскольку Банк использовал номера телефонов клиентов при рекламной рассылке, то эта информация относится к персональным данным. Однако, при направлении сообщений рекламного характера клиентам, Банк осуществляет обработку персональных данных без соблюдения требований статей 12 Закона "О рекламе" и 4 и 5 Закона "О защите персональных данных". Это нарушает права клиентов и требования законодательства в области защиты персональных данных. Кроме того, Банк использовал сервисы Viber Media S. a для рекламной рассылки, что представляет собой трансграничную передачу персональных данных.
Такая передача может осуществляться на территорию иностранного государства, где, по мнению НЦЗПД (национальный центр защиты персональных данных), не обеспечивается надлежащий уровень защиты прав субъекта персональных данных.
Их можно передавать только с согласия субъекта персональных данных. Однако, в данном случае Банк передает персональные данные клиентов, включая номера телефонов, на серверы Viber без получения необходимого согласия. Такие действия Банка нарушают закон о защите персональных данных и подвергают персональные данные клиентов риску ненадлежащей защиты. Национальный центр защиты персональных данных обращает внимание на этот факт и возможные последствия для клиентов Банка, а так же для самого Белинвестбанка.

Источник: www.infobank.pt

Sunday, July 9, 2023

Цифровые банковские технологии, что поменяется?

Готовится изменение указа от 18 апреля 2019 г. № 148 ”О цифровых банковских технологиях“.

Белорусские банки получили проект изменений в этот указ и до 12 июля должны предоставить свои комментарии по этим изменениям.

 Вот краткая информация из этого указа:

Для развития цифровых банковских технологий в Беларуси и использования информационных систем в банковских, платежных и других финансовых операциях, а также при оказании услуг клиентам-нерезидентам и выполнении определенных функций государственными органами, устанавливаются следующие положения:

Межбанковская система идентификации (МСИ) будет обеспечиваться Небанковской кредитно-финансовой организацией "Единое расчетное и информационное пространство" (НКФО ЕРИП).

НКФО ЕРИП будет владеть и управлять МСИ, собирать, обрабатывать и хранить данные о клиентах и предоставлять их другим пользователям системы, государственным органам и клиентам.

Цель МСИ - проведение идентификации, аутентификации и проверки данных клиентов без их личного присутствия.

МСИ будет формироваться на основе данных клиентов, определенных законом о предотвращении легализации доходов, иных данных о клиентах, включая биометрические данные, определенные нацбанком. Эти данные будут обрабатываться в МСИ только в необходимом объеме для совершения банковских, платежных и других финансовых операций.

НКФО ЕРИП обязана обеспечивать защиту данных клиентов в соответствии с законодательством о информации, информатизации и защите информации, а также законодательством о защите персональных данных.

Участники МСИ должны предоставлять данные о клиентах-резидентах и их представителях, полученные при идентификации и обновлении таких данных, в МСИ без согласия клиентов. Предоставление данных в МСИ не нарушает банковскую или другую законно охраняемую тайну.

Требования законодательства и международных договоров, направленных на защиту прав субъектов персональных данных, должны учитываться при предоставлении данных о клиентах-нерезидентах и их представителях-нерезидентах и представителях-резидентах, полученных при идентификации и обновлении таких данных, за исключением данных, полученных из данной системы.

Данные о клиентах, которые содержатся в МСИ, могут использоваться пользователями этой системы, а также государственными органами в рамках выполнения их функций, как это предусмотрено законодательством, и получателями данных при осуществлении банковских, платежных и других финансовых операций с соблюдением требований, установленных в подпункте 1.9 данного пункта.

Пользователи МСИ могут проводить идентификацию клиентов без личного присутствия этих клиентов, используя данные, полученные из самой системы, действительные сертификаты открытого ключа для проверки электронной цифровой подписи или атрибутные сертификаты, которые выданы республиканским удостоверяющим центром Государственной системы управления открытыми ключами для проверки электронной цифровой подписи Республики Беларусь.

Если этих данных недостаточно, то дополнительные данные должны быть запрошены из МСИ. Также можно использовать биометрические документы, выданные в Беларуси согласно указу от 16 марта 2021 года о биометрических документах. Удаленная идентификация клиентов может проводиться пользователями МСИ или агентами по идентификации в соответствии с указаниями нацбанка или совмина Республики Беларусь в пределах их компетенции.

Обновление данных о клиентах пользователями МСИ может проводиться удаленно с использованием информационных сетей, программных и технических средств и технологий. Условия и порядок проведения удаленного обновления данных определяются нацбанком или совмином Республики Беларусь в пределах их компетенции.

Верификация данных о клиентах, включая персональные и биометрические данные, осуществляется НКФО ЕРИП в объеме, необходимом для достижения целей, определенных для МСИ.

Это происходит через взаимодействие с владельцами государственных информационных ресурсов или путем получения персональных и биометрических данных из биометрических документов с использованием программных и технических средств и технологий, которые обеспечивают конфиденциальность, целостность и проверку подлинности получаемых данных в соответствии с законодательством об информации, информатизации и защите информации.

Порядок предоставления НКФО ЕРИП данных пользователям МСИ, государственным органам и получателям данных, а также клиентам после верификации определяется нацбанком.

Для возможности проведения идентификации клиентов без их личного присутствия НКФО ЕРИП имеет право получать данные о клиентах, включая персональные и биометрические данные, из государственных информационных ресурсов без получения согласия клиентов, согласно установленному законодательством порядку.

Для актуализации данных о клиентах, включая персональные и биометрические данные, НКФО ЕРИП взаимодействует с владельцами (операторами) государственных информационных ресурсов, такими как Министерство внутренних дел, Министерство по налогам и сборам и Министерство юстиции. Они предоставляют информацию из соответствующих реестров и баз данных посредством общегосударственной автоматизированной информационной системы без согласия клиентов, согласно законодательству.

Предоставление данных из МСИ и их использование, за исключением случаев, предусмотренных законодательством для передачи таких данных государственным органам и другим уполномоченным лицам, осуществляется на основе согласия клиентов, определенного Национальным банком. Предоставление данных из МСИ в соответствии с указом не является нарушением банковской или другой охраняемой законом тайны.

Клиенты имеют право отозвать свое согласие на предоставление данных из МСИ и их использование, а их представители - на предоставление данных о клиентах, которых они представляют. Порядок отзыва согласия определяется нацбанком

Сотрудники НКФО ЕРИП обязаны сохранять конфиденциальность информации, связанной с функционированием МСИ, которая является охраняемой законом тайной. Они несут ответственность за разглашение такой информации.

Оказание услуг по аутентификации клиентов и предоставление данных о них, хранящихся в МСИ, пользователям этой системы, государственным органам и получателям данных осуществляется на основе договора.

Клиенты имеют право ознакомиться с данными, относящимися к ним в МСИ, а их представители - с данными о клиентах, которых они представляют. Предоставление данных клиентам осуществляется в электронном виде через аутентификацию или по запросу в НКФО ЕРИП с соблюдением законодательства. Условия предоставления данных определяются нацбанком.

НКФО ЕРИП может предоставлять услуги по верификации данных клиентов пользователям МСИ, агентам по идентификации, государственным органам, получателям данных и юридическим лицам, согласно указаниям Национального банка и Совета Министров Республики Беларусь. Верификация данных клиентов осуществляется с их согласия в соответствии с установленным порядком.

Сделки и документы, созданные или предоставленные в рамках деятельности пользователей МСИ в соответствии с указанием 1.11, считаются совершенными в письменной форме. Для целей таких сделок и документов применяются аналоги собственноручной подписи, за исключением цифровой рукописной подписи, которая считается собственноручной подписью клиентов.

Национальный банк и участники МСИ могут совершать сделки и другие юридически значимые действия посредством смарт-контрактов при осуществлении банковских, платежных и других финансовых операций и иной деятельности. Лица, совершающие такие сделки или действия, считаются о них должным образом осведомленными, если не доказано обратное. Порядок совершения таких сделок и действий определяется Национальным банком.

Национальный банк и участники МСИ должны соблюдать требования законодательства о защите прав потребителей при совершении и исполнении сделок и действий, относящихся к физическим лицам.

Изменения по сути закрепляют возможность использование персональных данных из разных государственных систем (мвд, налоговая, минюст) без согласия клиентов и заверяют что это не является нарушением банковской тайны :)

Мы уже неоднократно писали про банковскую тайну и про то что по сути эта тайна не является тайной. Ибо вот сколько исключений из неё: 

Сведения, составляющие банковскую тайну юрлиц или индивидуальных предпринимателей, банки представляют:
 
  • судам — по находящимся в их производстве делам
  • судебным исполнителям — по судебным постановлениям и другим исполнительным документам, находящимся в их производстве
  • прокурору или его заместителю
  • с санкции прокурора или его заместителя — органам дознания и предварительного следствия — по находящимся в их производстве материалам или уголовным делам
  • специальным подразделениям по борьбе с коррупцией и организованной преступностью органов внутренних дел
  • подразделениям по борьбе с экономическими преступлениями органов внутренних дел —с санкции прокурора или его заместителя
  • оперативно-аналитическому центру при президенте
  • органам комитета государственного контроля
  • органам государственной безопасности
  • налоговым и таможенным органам
  • нотариусам для совершения нотариальных действий
  • национальному банку
  • министерству финансов — в случаях и объеме, установленных законодательными актами в сфере бюджетного законодательства
Сведения, составляющие банковскую тайну физлиц, за исключением индивидуальных предпринимателей, банки представляют:
  • любому третьему лицу, с согласия клиента
  • судам – по находящимся в их производстве:
  • уголовным делам, по которым в соответствии с законом могут быть применены конфискация имущества или иное имущественное взыскание
  • гражданским искам, рассматриваемым в уголовном процессе
  • делам об административных правонарушениях
  • гражданским делам
  • экономическим делам
  • судебным исполнителям — по судебным постановлениям и иным исполнительным документам, находящимся в их производстве
  • прокурору или его заместителю
  • с санкции прокурора или его заместителя — органам дознания и предварительного следствия — по находящимся в их производстве материалам или уголовным делам
  • специальным подразделениям по борьбе с коррупцией и организованной преступностью, подразделениям по борьбе с экономическими преступлениями мвд — с санкции прокурора или его заместителя
  • департаменту финансового мониторинга комитета государственного контроля
  • нотариусам для совершения нотариальных действий
  • национальному банку
  • организации, осуществляющей гарантированное возмещение банковских вкладов   физлиц
  • налоговым органам.
В кодексе есть пояснение «в связи с выполнением банками функций налоговых агентов при налогообложении подоходным налогом с физлиц доходов» в виде процентов, полученных физлицами:
  • по банковским вкладам
  • по денежным средствам, находящимся на текущем (расчетном) банковском счете в банках и НКФО
Источник: www.infobank.pt

Не только председатели правления и главные бухгалтера в банках

Согласно проекту Закона "Об изменении законов по вопросам банковской деятельности", до 29 декабря 2023 года будут установлены новые критерии определения должностных лиц, которые выполняют ключевые функции в банках. Эти лица будут обязаны проходить оценку соответствия квалификационным требованиям и деловой репутации в Национальном банке.
 
Основным критерием определения ключевых должностных лиц будет наличие полномочий по руководству, координации, курированию и принятию решений по направлениям деятельности банка, связанным с генерацией рисков.
Кроме того, в число ключевых должностных лиц будут включены члены совета директоров, руководители подразделений по управлению рисками, внутреннему контролю и комплаенс-контролю.
 
Важным элементом улучшения надзорных требований является подготовка должностных лиц к новым требованиям. Для этого банки обязаны поддерживать и актуализировать перечень ключевых должностных лиц. Предполагается, что к 1 октября 2023 года банки примут необходимые меры для определения этих лиц и их подготовки к оценке соответствия.
 
Белорусский нацбанк призывает наблюдательные советы и советы директоров банков принять своевременные управленческие решения, учитывая новые требования к корпоративному управлению. Это поможет обеспечить эффективность и ответственность в работе банковской системы.
 
Следующим этапом в процессе ужесточения надзорных требований будет определение конкретных мер и инструментов, которые будут использоваться для обеспечения эффективного корпоративного управления в банках. Регулятор намерен сотрудничать с банками и заинтересованными сторонами для разработки и внедрения этих мер.
 
Белорусские банки становятся все более зависимы от решений нацбанка, не будем удивляться когда очередным постановлением нацбанк обяжет согласовывать назначение кассиров в обменные пункты.

Источник:  www.infobank.pt