Телефон:
Образовательные и юридические услуги
Меню
Обратный звонок
Меню
Главная \ Персональные данные \ Персональные данные клиентов некредитных финансовых организаций

Персональные данные

Комплекс услуг по приведению некредитной финансовой организации в соответствие с требованиями Федерального закона №152-ФЗ  от 27.07.2006 «О персональных данных» и Указания Банка России от 10.12.2015 №3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных».

 

Обработка и защита персональных данных в некредитной финансовой организации

Каждая финансовая организация (далее - НФО) оказывает услуги определенной группе клиентов. Например, для микрофинансовых организаций (МФО) клиентами являются заемщики, для страховых организаций - страхователи, для кредитных потребительских кооперативов - пайщики и так далее. Как правило, среди клиентов финансовой организации всегда есть клиенты - физические лица, которые при заключении договора передают финансовой организации определенные данные о себе  Обработка этих данных в силу Федерального закона о персональных данных подлежит специальному документальному оформлению.

Также не следует забывать о том, что в каждая финансовая организация, будь то КПК, МФО, ломбард или управляющая компания ПИФами, является работодателем и соответственно собирает и обрабатыает персональные данные своих работников в рамках заключенного трудового договора.

Чтобы правильно организовать первичный сбор и дальнейшую обработку персональных данных своих клиентов и работников наши специалисты разработали комплекта необходимых документов.

Банк России определил угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных некредитных финансовых организаций в Указании Банка России от 10 декабря 2015 г. №3889-У "Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных".

Под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе персональных данных, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.

Угрозами безопасности персональных данных, актуальными при их обработке в информационных системах персональных данных, являются:

  1. угроза несанкционированного доступа к персональным данным лицами, обладающими полномочиями в информационной системе персональных данных, в том числе в ходе создания, эксплуатации, технического обслуживания и (или) ремонта, модернизации, снятия с эксплуатации информационной системы персональных данных;
  2. угроза воздействия вредоносного кода, внешнего по отношению к информационной системе персональных данных;
  3. угроза использования методов социального инжиниринга к лицам, обладающим полномочиями в информационной системе персональных данных;
  4. угроза несанкционированного доступа к отчуждаемым носителям персональных данных;
  5. угроза утраты (потери) носителей персональных данных, включая переносные персональные компьютеры пользователей информационной системы персональных данных;
  6. угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в организации защиты персональных данных;
  7. угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в программном обеспечении информационной системы персональных данных;
  8. угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты сетевого взаимодействия и каналов передачи данных;
  9. угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей в обеспечении защиты вычислительных сетей информационной системы персональных данных;
  10. угроза несанкционированного доступа к персональным данным лицами, не обладающими полномочиями в информационной системе персональных данных, с использованием уязвимостей, вызванных несоблюдением требований по эксплуатации средств криптографической защиты информации.

В любом бизнесе, при создании новой компании или формировании бизнес-проекта, когда предполагается предоставление услуг физическим лицам, часто возникают вопросы в работе с персональными данными клиентов, в том числе потенциальных. Какие сведения будут считаться персональными данными и что является достаточным подтверждением согласия клиента на обработку его данных для последующего оказания услуги? Можно ли хранить персональные данные за пределами России, и допускается ли передача обработки этих данных на аутсорсинг? На эти и другие актуальные для практики вопросы ответят наши специалисты.

В силу ст. 24 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» о персональных данных лица, виновные в нарушении требований данного Закона, несут предусмотренную законодательством Российской Федерации ответственность. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом, а также требований к защите персональных данных, установленных в соответствии с ним, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.

Существует административная ответственность за нарушение установленных требований. Напрямую к нарушениям в сфере обработки персональных данных относится ст. 13.11 КоАП РФ. Прочие виды административных правонарушений предусмотрены следующими статьями КоАП РФ: отказ в предоставлении информации (ст. 5.39); нарушение правил защиты информации (ст. 13.12); незаконная деятельность в области защиты информации (ст. 13.13); разглашение информации с ограниченным доступом (ст. 13.14).

Предусмотрены и уголовно-правовые санкции за совершение преступлений в этой сфере. Так, статьей 137 УК РФ к уголовно наказуемому деянию относится нарушение неприкосновенности частной жизни, а именно незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. В ст. 140 УК РФ установлена ответственность за отказ в предоставлении гражданину информации, а в ст. 272 УК РФ - ответственность за неправомерный доступ к компьютерной информации.

Персональные данные – это любая информация, относящаяся к определенному или определяемому на ее основании физическому лицу. К такой информации относятся, в частности, фамилия, имя, отчество этого лица, год, месяц, дата и место его рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы.

Оператором персональных данных является юридическое или физическое лицо, организующие и (или) осуществляющие обработку таких данных, а также определяющие цели и содержание обработки.

Понятие «обработка персональных данных» включает в себя весь спектр действий (операций) с такими данными, в том числе их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (передачу), обезличивание, блокирование и уничтожение. Таким образом, как только в распоряжении организации появляются данные любого лица, эта организация становится оператором персональных данных и обязана обеспечить их защиту.

До начала обработки персональных данных оператор обязан представить в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) уведомление о намерении осуществлять такую обработку. Непредставление в уполномоченный орган уведомления об обработке персональных данных, его несвоевременное представление (то есть уже после начала обработки персональных данных) либо представление уведомления, содержащего неполные или недостоверные сведения, является административным правонарушением, ответственность за которое установлена ст. 19.7 КоАП РФ. Данная статья предусматривает ответственность за непредставление или несвоевременное представление в государственный орган сведений (информации), представление которых предусмотрено законом и необходимо для осуществления этим органом его законной деятельности. Ответственность по данной статье наступает также в случае предоставления сведений в неполном объеме или в искаженном виде.

Роскомнадзор и его территориальные органы проводят в отношении операторов персональных данных документарные и выездные плановые и внеплановые проверки деятельности. Отношения в области организации и осуществления государственного контроля (надзора) регулируются Федеральным законом от 26.12.2008 №294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

Плановые проверки деятельности юридических лиц и индивидуальных предпринимателей проводятся не чаще чем один раз в три года органами Роскомнадзора на основании приказа Роскомнадзора или его территориального органа в соответствии с ежегодным сводным планом проведения плановых проверок, утвержденным Генеральной прокуратурой России.

В соответствии с ч. 7 ст. 9 Федерального закона от 26.12.2008 №294-ФЗ ежегодный сводный план проведения плановых проверок размещается на сайте Генпрокуратуры России в срок до 31 декабря года, предшествующего проведению проверок.

Внеплановые проверки деятельности юридических лиц и индивидуальных предпринимателей проводятся органами Роскомнадзора на основании приказа Роскомнадзора или его территориального органа, изданного в соответствии с поручениями Президента РФ, Правительства РФ и на основании требования прокурора о проведении внеплановой проверки в рамках надзора за исполнением законов по поступившим в органы прокуратуры материалам и обращениям.

Конкретные сроки и последовательность действий (административных процедур) Роскомнадзора и его территориальных органов при организации и проведении мероприятий по контролю установлены Административным регламентом исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденным Приказом Минкомсвязи России от 14.11.2011 №312.

Роскомнадзор вправе направлять в органы прокуратуры, другие правоохранительные органы материалы для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных, в соответствии с подведомственностью.

Если в ходе проверки сотрудники Роскомнадзора выявят признаки преступления, они передадут соответствующие материалы в правоохранительные органы. При этом подследственность уголовных дел определяется статьей 151 УПК РФ.

Меры ответственности за нарушение законодательства о защите персональных данных установлены различными отраслям законодательства. Например, в Уголовном кодексе РФ отсутствуют специальные составы преступлений, предусматривающие ответственность за нарушения в сфере персональных данных. Вместе с тем отдельные статьи УК РФ предусматривают ответственность за противоправные деяния с использованием персональных данных, либо объект посягательства которых тесно связан с персональными данными. К таким преступлениям можно отнести следующие составы.

Статья 137 УК РФ предусматривает ответственность за нарушение неприкосновенности частной жизни. Несмотря на то, что частная жизнь и персональные данные не являются тождественными понятиями, персональные данные могут выступать неотъемлемой частью сведений о частной жизни, личной или семейной тайне. В связи с этим незаконная обработка персональных данных, выраженная в противоправном сборе, распространении или ином использовании персональных данных, может нарушить частную жизнь, личную и семейную тайну.

Статья 272 УК РФ устанавливает ответственность за неправомерный доступ к компьютерной информации. Так, в случае если персональные данные являются компьютерной информаций, ставшей предметом преступления, то данное нарушение будет являться уголовно наказуемым деянием.

Согласно части 2 статьи 173.2 УК РФ преступлением является использование персональных данных, полученных незаконным путем, если эти деяния совершены для внесения в единый государственный реестр юридических лиц сведений о подставном лице. 

Адрес:
420087, Россия, Республика Татарстан, город Казань, улица Даурская, дом 44в, помещение 1009
Пн.-Пт.: с 09:00 до 18:00:
Заказать обратный звонок
Мы в социальных сетях:

Copyright © 2016 - 2024

  1. Политика конфиденциальности
  2. Условия пользования сайтом

При цитировании и ином использовании материалов сайта ссылка на law115.ru обязательна в формате гиперссылки.

Яндекс.Метрика ;
Разработка сайта в Казани
Этот сайт использует файлы cookie и метаданные. Продолжая просматривать его, вы соглашаетесь на использование нами файлов cookie и метаданных в соответствии с Политикой конфиденциальности.
Продолжить