Безопасность как правовой режим обеспечения сохранности информации в субъектах предпринимательской деятельности

     Так в  Определении от 14.12.2004 г. № 453-О Конституционный суд РФ указал, что порядок представления банками справок по операциям и счетам организаций законодательством Российской Федерации до настоящего времени не определен. В свою очередь, ФАС Московского округа в Постановлении от 15 сентября 2008 г. № КА-А40/8423-08-1,2 указал, что форма справки по операциям и счетам законодательством не установлена, в связи с чем пришел к выводу, что под справкой по операциям и счетам понимается любой выданный и удостоверенный банком документ, содержащий информацию о наличии в банке счетов юридических лиц, о совершаемых операциях принятия и зачисления средств на счет. В качестве такого «выданного и удостоверенного банком документа» суд указывает на приложение № 27 (выписка по лицевому счету) к Положению Банка России от 03.10.2002 № 2-П «О безналичных расчетах в Российской Федерации».

     При этом необходимо отметить, что Приказом ФНС от 30 марта 2007 г. № ММ-3-06/178@ утверждены Форма справки о наличии счетов в банке у организации, Форма справки об остатках денежных средств на счете и Форма выписки по операциям на счете организации.  Данный Приказ издан ФНС на основании п. 3 ст. 86 НК РФ, который дает ФНС право устанавливать указанные формы – но при условии согласования с Центральным банком РФ. Между тем, информация о согласовании Приказа с ЦБ РФ отсутствует³⁷.

     Коммерческие  банки тесно связаны с Банком России, который получает от них  большое количество информации. Законодательно установлено, что Банк России не вправе разглашать информацию о счетах, вкладах, конкретных сделках и об операциях из отчетов кредитных организаций, полученных им в результате исполнения лицензионных, надзорных и контрольных функций, за исключением случаев, предусмотренных федеральными законами.

     Кроме того, аудиторские организации, осуществляющие обязательные ежегодные проверки кредитных организаций, также не вправе раскрывать третьим лицам сведения об операциях, о счетах и вкладах кредитных организаций, их клиентов и корреспондентов, полученные в ходе проводимых ими проверок, за исключением случаев, предусмотренных федеральными законами.

     Российское  законодательство предусматривает  следующие виды ответственности  за разглашение банковской тайны:

     Гражданско-правовая ответственность – согласно п. 3 ст. 857 ГК РФ в случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков.

     Ст. 13.14 КоАП предусмотрена административная ответственность за разглашение  информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

     Уголовная ответственность предусмотрена за незаконное разглашение или использование сведений, составляющих банковскую тайну, без согласия их владельца лицом, которому она была доверена или стала известна по службе или работе, предусмотрена ч. 2, 3 и 4 ст. 183 УК РФ.  

     Указанная статья предусматривает достаточно суровую ответственность: максимально  возможное наказание по ч. 2 (без  отягчающих обстоятельств) – лишение  свободы на срок до 3-х лет, по ч. 3 (при наличии крупного ущерба, т.е. ущерба в размере 250 000 руб.,  либо корыстной заинтересованности) – лишение свободы на срок до 5 лет, а по ч. 4 (при наличии тяжких последствий) – лишение свободы на срок до 10 лет.

     Так, по данным судебной статистики по статье 183 УК РФ было осуждено в 2005 году 17 человек (из них 13 условно), в 2006 году 18 (9 условно).³⁸

     Если  говорить о более свежих примерах, то по сообщению ИА REGNUM в 2009 г. Тюменский областной суд вынес приговор по уголовному делу в отношении 15 участников организованной преступной группы.

     Они признаны виновными в совершении преступлений, предусмотренных ч. 4 ст. 159 (мошенничество, совершенное организованной группой, в особо крупном размере) и ч. 3 ст. 183 (незаконное получение  и разглашение сведений, составляющих банковскую тайну).

     Следствием  установлено, что в марте 2006 г. руководитель преступной группы и его ранее  судимые знакомые разработали схему  хищения денег, основанную на особенностях использования банковских кредитных  карт. руководители преступной группы перехватывали заказные письма с конфиденциальной информацией о заключении договоров на кредитное обслуживание по картам, которые банк «Русский Стандарт» высылал своим клиентам. Кроме того, доступ аферистов к анкетным данным кредитополучателей обеспечивали продавец-консультант одного из магазинов сотовой связи г. Екатеринбурга и кредитный эксперт. Используя эти сведения, менеджеры представительств ЗАО «Банк Русский Стандарт» в г. Тюмени и в г. Омске, вносили в электронную клиентскую базу банка ложные данные о личности кредиторов.

     После этого они снимали денежные средства с банковских счетов граждан через  банкоматы в Тюменской, Свердловской, Омской и Курганской областях. Всего, таким образом, участники организованной преступной группы похитили свыше 10 миллионов рублей.

     Суд признал часть членов преступной группы виновными по ч. 4 ст. 159 УК РФ (мошенничество), а сотрудников банка  и сотрудницу салона сотовой связи - по ч. 3 ст. 183 УК РФ. Лидеры преступной группы и ее наиболее активные участники  к лишению свободы от 8 до 5,5 лет. Остальные осужденные приговорены к лишению свободы на срок от 2 до 5,5 лет условно. Кроме того, с членов преступной группы взыскан ущерб, причиненный ЗАО «Банк Русский Стандарт»³⁹

       3.4. Персональные данные.

     Персональные  данные объективно присущи любому человеку, они подчеркивают правовой статус человека, и он в их несанкционированном распространении, как правило, не заинтересован. В этой связи значение персональных данных трудно переоценить и неслучайно, что персональные данные охраняются различными правовыми средствами.

     Персональные  данные - это та частная жизнь, которая определенным образом представлена и присутствует в публичном и гражданском секторах правовых отношений индивида с другими субъектами права⁴⁰.

     Основным  правовым актом, регулирующим отношения в сфере защиты персональных данных, является Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Под действие Закона «О персональных данных» попадают все государственные и коммерческие организации, независимо от размера и формы собственности, использующие в тех или иных целях персональные данные физических лиц.

     Следует отметить, что персональные данные это информация о гражданине ( в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы)⁴¹ и другая информация, которую он не хотел бы широко распространять, поскольку данная информация может быть использована в корыстных целях или интересах третьих лиц или групп.

     Этот  перечень открыт, что дает основание включить в него практически любую индивидуальную информацию о субъекте персональных данных (в том числе паспортные данные, с которыми работают операторы связи).

     Оператором  выступают государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание такой обработки⁴².

     В соответствии со статьей 1 Закона № 152-ФЗ «О персональных данных» сфера действия Закона распространяется на деятельность, связанную с обработкой персональных данных, осуществляемую органами государственной власти федеральном уровне и в субъектах РФ, а так же иными государственными органами, органами местного самоуправления, муниципальными органами (не входящими в систему органов местного самоуправления), юридическими и физическими лицами.

     Деятельность, связанная с обработкой персональных данных, может проходить с использованием средств автоматизации или без  их использования, если оба типа операций равноправны и соответствуют друг другу по характеру действий (операций)⁴³.

     Сбор, хранение, использование и распространение  сведений о личности гражданина и  различных сторонах его частной  жизни допускаются лишь с согласия гражданина или на основании судебного решения (п. 1 ст. 24 Конституции РФ, п. 1 ст. 11 Закона об информации).

      Закон о персональных данных устанавливает, что получение согласия на обработку персональных данных, как правило, производится в устной форме. Случаи обязательного получения согласия на обработку персональных данных в письменной форме специально оговорены в законе.

     Например, при поступлении на работу, сотрудники обязаны подписать заявление  о согласии на обработку персональных данных, которое оформляется юристом  предприятия (образец заявления представлен в приложении 1). В законе устанавливается презумпция того, что доказывание получения согласия на обработку персональных данных должно осуществляться лицом, осуществляющим обработку.

     Хранение  персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении⁴⁴.

     Как и в любом правиле, в рассмотренной норме есть ряд исключений, делающих ее более гибкой и применимой на практике. Одно из первых исключений гласит, что обработка персональных данных может производиться без согласия клиента, если это предусмотрено федеральным законом. Другое исключение - обработка персональных данных в целях исполнения договора, одной из сторон  которого является субъект таких данных, допускается без согласия стороны договора ⁴⁵ и др.

     Операторами и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных.

     Обработка является наиболее важным этапом при  работе с личными данными, при  этом утечка информации может происходить на всех этапах – начиная от получения и заканчивая хранением. Поэтому организации, работающей с персональными данными, следует принять все необходимые меры, обеспечивающие их сохранность и исключающие несанкционированный доступ (ст. 19 Закона «О персональных данных»).

     Защита  информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния. В этой связи персональные данные охраняются различными правовыми средствами. А лица, виновные в нарушении законодательства о персональных данных, несут гражданскую, уголовную, административную, дисциплинарную ответственность.

     Существует  два вида обработки персональных данных: обработка в информационных системах персональных данных (автоматизированная обработка) и обработка, осуществляемая без использования средств автоматизации (неавтоматизированная обработка).

     В настоящее время действует Положение  об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687. Персональные данные при такой обработке должны быть обособлены от иной информации, в частности путем фиксации их на отдельных материальных носителях.

     Автоматизированная  обработка персональных данных осуществляется в соответствии с Постановлением Правительства Российской Федерации  от 17.11.2007 г. № 781 «Об утверждении  Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных».

     Данное  Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств.

     В соответствии с данным Положением оператору  персональных данных необходимо соблюсти ряд требований при использовании  такой системы обработки персональных данных.