Предоставление личного телефона клиенту для доступа к банковскому приложению: правовые риски
Анализ ситуации
Ваши действия по предоставлению личного мобильного телефона клиенту для доступа к банковскому приложению действительно могут рассматриваться как потенциальное нарушение требований к защите конфиденциальной информации.
Применимые правовые нормы
Требования к защите персональных данных и банковской тайны
"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 7)
"Кредитная организация, ее должностные лица не вправе использовать иначе, чем в целях, предусмотренных настоящим Федеральным законом, и разглашать в какой-либо форме полученные при рассмотрении обращения персональные данные заявителя, а также информацию, составляющую коммерческую, служебную, банковскую тайну, тайну страхования и иную охраняемую законом тайну" (Источник: Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности", статья 30.1)
"Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, о счетах и вкладах ее клиентов и корреспондентов" (Источник: Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности", статья 26)
Обязанности по обеспечению безопасности информации
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19)
"Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить: предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации" (Источник: Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", статья 16)
Потенциальные риски и ответственность
Возможные меры ответственности
"Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 24)
"Нарушение требований настоящего Федерального закона влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации." (Источник: Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", статья 17)
Выводы и рекомендации
Основные выводы
- Ваши действия могут быть квалифицированы как нарушение требований к защите персональных данных и банковской тайны
- Использование личного устройства для рабочих целей, связанных с обработкой конфиденциальной информации, создает дополнительные риски
- Даже при выходе клиента из аккаунта, на устройстве могли сохраниться временные файлы, кэш или другие следы банковской информации
Рекомендации
- Изучите внутренние документы компании - ознакомьтесь с политиками информационной безопасности, правилами использования устройств и должностными инструкциями
- В будущем избегайте подобных действий - не используйте личные устройства для работы с конфиденциальной информацией клиентов
- Сообщите о инциденте - если в компании есть процедура отчетности о нарушениях информационной безопасности, целесообразно уведомить ответственных лиц
- Проверьте устройство - убедитесь, что на телефоне не осталось следов банковской информации клиента
- При серьезных опасениях обратитесь к адвокату для получения персональной консультации с учетом конкретных обстоятельств и внутренних правил вашей компании
Помните, что строгость возможных санкций будет зависеть от внутренней политики компании, серьезности последствий и наличия аналогичных прецедентов в организации.