"Регламентация банковских операций. Документы и комментарии", 2007, N 2

СООТНОШЕНИЕ БАНКОВСКОЙ ТАЙНЫ И ПЕРСОНАЛЬНЫХ ДАННЫХ

Под банковской тайной фактически понимается особый вид информации, которая становится известной кредитной организации в ходе осуществления банковской деятельности, а также некоторым другим лицам, которые получают такую информацию от кредитной организации в ходе ее проверки или взаимодействия с ней. Одним из актуальных вопросов является соотношение банковской тайны и персональных данных.

Действующее законодательство не содержит четкого определения понятия "банковская тайна". Содержание банковской тайны вводится как ст. 857 Гражданского кодекса РФ, так и ст. 26 Федерального закона РФ от 02.12.1990 N 395-1 "О банках и банковской деятельности" (с изм. от 13.12.1991, 24.06.1992, 03.02.1996, 31.07.1998, 05.07.1999, 08.07.1999, 19.06.2001, 07.08.2001, 21.03.2002, 30.06.2003, 08.12.2003, 23.12.2003, 29.06.2004, 29.07.2004, 02.11.2004, 29.12.2004, 30.12.2004, 21.06.2005, 02.02.2006, 03.05.2006, 27.07.2006).

Режим банковской тайны определяется нормами права, устанавливающими:

- правовое положение субъектов правоотношений по использованию, предоставлению и охране информации, которой располагает кредитная организация;

- содержание информации, на которую распространяется данный режим;

- условия и порядок предоставления и использования информации, которой располагает кредитная организация;

- порядок правовой защиты информации, которой располагает кредитная организация, включая ответственность за разглашение такой информации.

ГК РФ гарантирует тайну банковского счета, банковского вклада, операций по счету и сведений о клиенте.

Закон "О банках и банковской деятельности" гарантирует тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов, об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону.

В отечественной правовой науке отсутствует единая точка зрения по поводу соотношения банковской тайны с иными видами информации с ограниченным доступом. Так, по наиболее известной проблеме соотношения банковской и коммерческой тайн проведено немало специальных исследований <1>.

     
   ————————————————————————————————
   

<1> Олейник О. Правовые проблемы банковской тайны // Хозяйство и право, 1997, N 6-7; Скобликов П. Коммерческая и банковская тайна: проблемы правового регулирования // Российская юстиция, 1997, N 11; Приданов С.А. Соотношение банковской и коммерческой тайны // Юридическая работа в кредитной организации, 2005, N 3.

Одним из актуальных вопросов является соотношение банковской тайны и персональных данных. В соответствии с ч. 1 ст. 23 и ч. 3 ст. 56 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, и это право не подлежит ограничению.

27 июля 2006 г. был принят Федеральный закон N 152-ФЗ "О персональных данных" (далее в тексте - Закон) <2>. В соответствии со ст. 25 этого Закона он вступает в силу с 26 января 2007 г.

     
   ————————————————————————————————
   

<2> Российская газета, 2006, N 165.

Принятие данного Закона направлено на реализацию конституционных положений, закрепляющих право каждого на неприкосновенность частной жизни и свободу информации, а также международных обязательств Российской Федерации по ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных <3>. Российская Федерация ратифицировала Конвенцию Федеральным законом от 19.12.2005 N 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" <4>.

     
   ————————————————————————————————
   

<3> Страсбург, 28.01.1981, с изменениями от 15.06.1999.

<4> Российская газета, 2005, N 288.

Персональные данные определены в Законе как любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). К таким данным, в частности, относятся фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы.

Помимо этого законодателем установлены некоторые специальные категории персональных данных, в отношении которых действуют повышенные меры защиты от несанкционированной обработки и распространения. Это информация, касающаяся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни физического лица, а также биометрические персональные данные - сведения, характеризующие физиологические особенности человека (ст. 10 и ст. 11 Закона).

Согласно ст. 3 Закона термин "обработка персональных данных" включает в себя весь спектр действий (операций) с персональными данными, в том числе сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование и уничтожение. По общему правилу (п. 1 ст. 6 Закона) обработка данных возможна только с согласия субъекта персональных данных (далее - субъект), однако существует перечень исключений из этого правила. Так, согласие субъекта не требуется, когда обработка данных:

- ведется на основании федерального закона, устанавливающего ее цель, условия получения данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

- проводится в целях исполнения договора, одной из сторон которого является субъект;

- ведется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

- необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия на обработку данных невозможно;

- необходима для доставки почтовых отправлений организациями почтовой связи, для расчетов операторами электросвязи с пользователями за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи;

- ведется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта.

Также не требуется согласия субъекта на обработку данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных кандидатов на выборные государственные или муниципальные должности, а также лиц, замещающих государственные должности, должности государственной гражданской службы.

Действие Закона распространяется на все отношения, связанные с обработкой персональных данных с использованием (или без использования) средств автоматизации, если обработка данных без использования таких средств соответствует характеру действий (операций), совершаемых с данными с использованием средств автоматизации. При этом за рамки Закона выведены следующие случаи:

- обработка персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъекта;

- организация хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных документов в соответствии с законодательством об архивном деле в РФ;

- обработка подлежащих включению в Единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если она проводится в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

- обработка персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Согласно ст. 5 Закона обработка персональных данных должна осуществляться на основе принципов:

1) законности целей и способов обработки персональных данных и добросовестности;

2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;

3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

Последний из принципов призван противостоять созданию единого государственного регистра, об опасности которого говорят представители Русской православной церкви и деятели правозащитных организаций.

Персональные данные являются строго конфиденциальными, любые лица, получившие к ним доступ, обязаны хранить эти данные в тайне. Однако из этого правила имеются два исключения:

- обезличенные персональные данные - данные, в отношении которых невозможно определить их принадлежность конкретному физическому лицу (такие данные могут собираться для статистики);

- общедоступные персональные данные - в Законе предусмотрена возможность размещать персональные данные в общедоступных источниках (например, в телефонных справочниках) исключительно с согласия субъекта.

Для размещения персональных данных в общедоступных источниках необходимо письменное согласие, в котором субъект среди прочего указывает адрес и все сведения об основном документе, удостоверяющем его личность. Кроме того, письменное согласие необходимо в случае: обработки специальных персональных данных; трансграничной передачи персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъекта; принятия на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта или иным образом затрагивающих его права и законные интересы.

Однако рассматриваемый Закон не лишен недостатков. Так, излишне широким является определение оператора - это "государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных" (ст. 3 Закона). Такое определение автоматически превращает в оператора любое физическое лицо, если оно хотя бы однажды осуществляло обработку персональных данных другого лица не для личных и семейных нужд, а, например, по его просьбе или по иному случаю.

Кроме того, оператор часто в рамках, установленных Законом, определяет цели и объем обработки данных. Но по целому ряду действий с персональными данными он не вправе самостоятельно определять их цели и содержание. Характеризовать оператора через такой признак, как "лицо, определяющее цели и содержание обработки персональных данных", является размыванием его полномочий.

Лишенной смысла представляется установка ч. 4 ст. 21 Закона, в соответствии с которой в случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить их обработку и уничтожить соответствующие данные, а также уведомить об этом субъекта персональных данных. Кто определяет "достижение цели"? Возникает вопрос: зачем уведомлять об этом всех субъектов, если таковых были, например, десятки тысяч?

Контроль и надзор за обработкой персональных данных призван осуществлять "уполномоченный орган по защите прав субъектов персональных данных".

Изначально предполагалось создание нового органа в системе федеральных органов исполнительной власти, однако Закон определил, что им является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

В настоящее время таким органом является Федеральная служба по надзору в сфере связи (Россвязьнадзор), которая находится в ведении Министерства информационных технологий и связи Российской Федерации. Ее общий правовой статус определен в соответствии с Постановлением Правительства РФ от 30.06.2004 N 318 "Об утверждении Положения о Федеральной службе по надзору в сфере связи" (с изм. от 23.04.2005) <1>.

     
   ————————————————————————————————
   

<1> Собрание законодательства Российской Федерации от 05.07.2004 N 27, ст. 2781.

В ст. 23 Закона изложены права уполномоченного органа по защите прав субъектов персональных данных, среди которых право:

1) запрашивать у физических или юридических лиц информацию, необходимую для реализации своих полномочий, и безвозмездно получать такую информацию;

2) осуществлять проверку сведений, содержащихся в уведомлении об обработке персональных данных, или привлекать для осуществления такой проверки иные государственные органы в пределах их полномочий;

3) требовать от оператора уточнения, блокирования или уничтожения недостоверных или полученных незаконным путем персональных данных;

4) принимать в установленном законодательством Российской Федерации порядке меры по приостановлению или прекращению обработки персональных данных, осуществляемой с нарушением требований Закона;

5) обращаться в суд с исковыми заявлениями в защиту прав субъектов персональных данных и представлять интересы субъектов персональных данных в суде;

6) направлять заявление в орган, осуществляющий лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действия или аннулированию соответствующей лицензии в установленном законодательством Российской Федерации порядке, если условием лицензии на осуществление такой деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных;

7) направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью;

8) вносить в Правительство Российской Федерации предложения о совершенствовании нормативного правового регулирования защиты прав субъектов персональных данных;

9) привлекать к административной ответственности лиц, виновных в нарушении Закона.

К обязанностям уполномоченного органа по защите прав субъектов персональных данных отнесены:

1) организация в соответствии с требованиями Закона и других федеральных законов защиты прав субъектов персональных данных;

2) рассмотрение жалоб и обращений граждан или юридических лиц по вопросам, связанным с обработкой персональных данных, а также принятие в пределах своих полномочий решений по результатам рассмотрения указанных жалоб и обращений;

3) ведение реестра операторов;

4) осуществление мер, направленных на совершенствование защиты прав субъектов персональных данных;

5) принятие в установленном законодательством Российской Федерации порядке по представлению федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности, или федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, мер по приостановлению или прекращению обработки персональных данных;

6) информирование государственных органов, а также субъектов персональных данных по их обращениям или запросам о положении дел в области защиты прав субъектов персональных данных;

7) выполнение иных предусмотренных законодательством Российской Федерации обязанностей.

Важной гарантией законности деятельности уполномоченного органа по защите прав субъектов персональных данных является возможность обжалования его решений в судебном порядке.

Кроме того, уполномоченный орган по защите прав субъектов персональных данных ежегодно направляет отчет о своей деятельности Президенту Российской Федерации, в Правительство Российской Федерации и Федеральное Собрание Российской Федерации. Указанный отчет подлежит опубликованию в средствах массовой информации.

При уполномоченном органе по защите прав субъектов персональных данных предполагается создание на общественных началах консультативного совета, порядок формирования и порядок деятельности которого будет определен уполномоченным органом по защите прав субъектов персональных данных.

Ответственность за нарушение порядка обработки персональных данных в Законе сформулирована очень лаконично: лица, виновные в нарушении требований Закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

На настоящий момент в соответствии с Кодексом Российской Федерации об административных правонарушениях от 30.12.2001 N 195-ФЗ <1> (КоАП РФ) со всеми принятыми изменениями административная ответственность для операторов (за исключением лиц, для которых обработка персональных данных является профессиональной деятельностью и подлежит лицензированию) предусмотрена только:

- за отказ в предоставлении гражданину собранных в установленном порядке документов, материалов, непосредственно затрагивающих права и свободы гражданина, либо несвоевременное предоставление таких документов и материалов, непредоставление иной информации в случаях, предусмотренных законом, либо предоставление гражданину неполной или заведомо недостоверной информации (ст. 5.39 КоАП РФ);

- нарушение установленного законом порядка сбора, хранения, использования или распространения персональных данных (ст. 13.11 КоАП РФ);

- разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, когда разглашение такой информации влечет за собой уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей (ст. 13.14 КоАП РФ).

     
   ————————————————————————————————
   

<1> Парламентская газета, 2002, N N 2 - 5.

Преступлениями, влекущими за собой уголовную ответственность, являются:

- незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации (ст. 137 УК РФ);

- неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан (ст. 140 УК РФ);

- неправомерный доступ к охраняемой законом компьютерной информации, т.е. информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети (ст. 272 УК РФ).

Помимо административной и уголовной на оператора возлагается и гражданско-правовая ответственность. Статьей 17 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" <1> предусмотрено, что лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, могут обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

     
   ————————————————————————————————
   

<1> Российская газета, 2006, N 165. Однако не может быть удовлетворено требование о возмещении убытков, предъявляемое лицом, которое не приняло обязательных для него мер по соблюдению конфиденциальности информации или нарушило установленные законодательством РФ требования о защите информации. После вступления в силу Закона обработка персональных данных, включенных в информационные системы до этого момента, ведется в соответствии с новым Законом. Ранее созданные информационные системы персональных данных должны быть приведены в соответствие с требованиями Закона не позднее 1 января 2010 г. Ранее созданные операторы, которые продолжат деятельность после вступления в силу Закона, обязаны не позднее 1 января 2008 г. направить в уполномоченный орган по защите прав субъектов персональных данных уведомление о своем намерении вести обработку персональных данных. Анализ норм ГК РФ, Закона РФ "О банках и банковской деятельности" и Закона РФ "О персональных данных" дает основание считать, что банковская тайна и персональные данные тесно связаны. Персональные данные являются тайной "первичной", а банковская тайна - "вторичной". Институт банковской тайны призван быть одной из гарантий конституционного права на личную и семейную тайну, а также права на сохранность персональных данных. Тем не менее режим банковской тайны не совпадает с режимом персональных данных даже в отношении банковской информации, касающейся физических лиц. Конституционный Суд РФ отмечает, что "поскольку сведения о вкладах и счетах граждан в банках представляют собой информацию персонального характера, законодатель установил специальный правовой режим банковской тайны" (см. Определение Конституционного Суда РФ от 19.01.2005 N 10-О "По жалобе открытого акционерного общества Универсальный коммерческий банк "ЭРА" на нарушение конституционных прав и свобод части второй и четвертой статьи 182 Уголовно-процессуального кодекса Российской Федерации" ("Вестник Конституционного Суда Российской Федерации", 2005, N 3)). Банковская тайна является гарантией личной и семейной тайны. Практическое применение данного вывода можно проследить в Постановлении Конституционного Суда РФ от 14.05.2003 N 8-П "По делу о проверке конституционности пункта 2 статьи 14 Федерального закона "О судебных приставах" в связи с запросом Лангепасского городского суда Ханты-Мансийского автономного округа" ("Вестник Конституционного Суда Российской Федерации", 2003, N 4). Конституционный Суд РФ, сославшись на конституционные гарантии неприкосновенности частной жизни, личной тайны и недопустимости распространения информации о частной жизни лица без его согласия, указал, что Конституция РФ определяет основы правового режима и законодательного регулирования банковской тайны как способа защиты сведений о частной жизни граждан, в том числе об их материальном положении, и защиты личной тайны. Таким образом, банковская тайна (в отношении сведений о гражданине) не является личной тайной, а является одной из гарантий защиты личной тайны. Исходя из вышесказанного можно сделать вывод, что банковская тайна по российскому праву представляет собой особый режим информации с ограниченным доступом. С такими режимами информации, как адвокатская тайна, врачебная тайна, тайна нотариальных действий и др., ее объединяет то, что все они являются видами профессиональной тайны, различающимися по свойствам субъекта, осуществляющего охрану сведений. Д.А.Ястребов К. ю. н., зам. зав. кафедрой "Юридическая защита прав производителей" РХТУ им. Д.И. Менделеева Подписано в печать 12.03.2007 ————