Несмотря на то, что Федеральный закон от 27

advertisement
Рекомендации Ассоциации российских банков
по реализации Федерального закона от 27.07.2006 года № 152-ФЗ
«О персональных данных»
для кредитных организаций.
Федеральный закон от 27.07.2006 года № 152-ФЗ «О персональных
данных» (далее – Закон) вступил в силу 29 января 2007 года. В целом Закон
направлен на обеспечение защиты конституционных прав и свобод человека
и гражданина при обработке его персональных данных, в том числе защиту
прав на неприкосновенность частной жизни, личную и семейную тайну.
1. В статье 3 Закона закреплены следующие основные понятия:
- персональные данные (далее – ПД) – любая информация, относящаяся
к определенному или определяемому на основании такой информации
физическому лицу (субъекту ПД), в том числе его фамилия, имя, отчество,
год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы, другая
информация;
- оператор ПД – государственный орган, муниципальный орган,
юридическое или физическое лицо, организующие и (или) осуществляющие
обработку ПД, а также определяющие цели и содержание обработки ПД;
- обработка ПД - действия (операции) с ПД, включая сбор,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
использование, распространение (в том числе передачу), обезличивание,
блокирование, уничтожение ПД;
Необходимо отметить, что кредитные организации, руководствуясь
принципом «знай своего клиента», осуществляют различные действия с ПД,
в том числе передают их третьим лицам.
В этой связи кредитные организации являются операторами ПД и
должны исполнять возложенные на них обязанности, предусмотренные
Законом.
2. По общему правилу, закрепленному пунктом 1 статьи 6 Закона,
обработка ПД возможна только с согласия субъекта ПД, однако существует
перечень исключений из этого правила. Так, согласие субъекта не требуется,
когда обработка данных проводится в целях исполнения договора, одной из
сторон которого является субъект ПД.
Поскольку кредитные организации осуществляют свою деятельность
на основании договорных отношений с клиентами, то кредитным
организациям не требуется получать согласие от субъектов ПД, если
обработка
информации
осуществляется
в
целях
исполнения
соответствующих договоров.
3. Закон предусматривает ряд прав субъектов ПД, а также
соответствующие обязанности оператора ПД.
К числу прав, которыми обладает субъект ПД, относятся:
- право на доступ к своим ПД;
2
- права, связанные с принятием решений на основании исключительно
автоматизированной обработки их ПД;
- право на обжалование действий или бездействия оператора ПД.
Вопросу обработки ПД в целях продвижения товаров, работ, услуг на
рынке путем осуществления прямых контактов с потенциальным
потребителем с помощью средств связи, а также в целях политической
агитации посвящена статья 15 Закона.
Как следует из статьи 15 Закона коммерческие организации, прежде
чем осуществить обработку ПД в целях продвижения товаров, работ, услуг
на рынке с помощью средств связи, должны получать предварительное
согласие гражданина, причем обработка ПД признается осуществляемой без
предварительного согласия субъекта ПД, если оператор ПД не докажет, что
такое согласие было получено.
В обязанности оператора ПД, согласно статье 18 Закона, прежде всего,
входит предоставление по просьбе гражданина информации, касающейся
обработки его ПД.
Кроме того, оператор должен разъяснить субъекту ПД юридические
последствия отказа предоставить свои ПД, если эта обязанность установлена
федеральным законом.
Любой оператор ПД, в том числе и кредитная организация, обязан
применять меры по обеспечению безопасности ПД при их обработке.
При этом необходимо отметить, что в настоящее время Правительство
Российской Федерации еще не установило требования к обеспечению
безопасности ПД при их обработке в информационных системах ПД,
требования к материальным носителям биометрических ПД и технологиям
хранения таких данных вне информационных систем ПД.
В соответствии со статьей 20 Закона оператор ПД имеет ряд
обязанностей при обращении либо при получении запроса субъекта ПД или
его законного представителя, а также уполномоченного органа по защите
прав субъектов ПД.
В случае нарушения Закона, оператор ПД обязан устранить
допущенные им нарушения (статья 21 Закона).
4. В предусмотренных Законом случаях оператор вправе уточнять
(изменять, дополнять), блокировать и уничтожать ПД.
Существует ряд ситуаций, когда оператор обязан прекратить обработку
и уничтожить собранные ПД:
- по достижении целей обработки или при утрате необходимости в их
достижении (пункт 2 статьи 5 Закона);
- по требованию субъекта или уполномоченного органа по защите прав
субъектов ПД - если ПД данные являются неполными, устаревшими,
недостоверными, незаконно полученными или не являются необходимыми
для заявленной цели обработки (пункт 1 статьи 14 Закона);
- при невозможности устранить допущенные нарушения в отношении
обработки ПД оператор в срок, не превышающий трех рабочих дней с даты
выявления неправомерности действий с ПД (пункт 3 статьи 21 Закона);
3
- отзыве субъектом согласия на обработку своих ПД (пункт 4 статьи 21
Закона).
5. В целях обеспечения контроля за деятельностью операторов ПД
Закон определяет права и обязанности органа государственной власти,
уполномоченного в данной сфере, включая осуществление проверки
информационной системы обработки ПД, предъявление требований по
блокированию, удалению недостоверных или полученных незаконным путем
ПД, установление постоянного или временного запрета на обработку ПД,
проведение расследований в порядке административного производства о
нарушениях Закона.
Уполномоченным органом согласно статье 23 Закона является
Федеральная служба по надзору в сфере массовых коммуникаций, связи и
охраны культурного наследия.
6. Законом предусматривается, что оператор, ведущий обработку ПД,
должен заранее уведомить об этом уполномоченный орган (статья 22
Закона), который будет вести учет операторов в специальном реестре.
В уведомлении необходимо подробно изложить, что планируется
делать с ПД. Любые изменения в отношении обработки ПД в обязательном
порядке также должны сообщаться в уполномоченный орган.
Таким образом, в целях соблюдения положений Закона
рекомендуем кредитным организациям предпринимать следующие
действия:
1. Уведомить по форме, предусмотренной пункт 3 статьи 22 Закона,
уполномоченный орган по защите прав субъектов ПД о намерении
осуществлять обработку данных.
Кроме
того,
кредитная
организация
обязана
уведомлять
уполномоченный орган по защите прав субъектов ПД об изменениях
сведений об операторе, предусмотренных пунктом 3 статьи 22 Закона.
2. Убедиться, что ПД получены с соблюдением требований
действующего законодательства и соответствуют заявленным целям
обработки, т.е. либо данные получены из открытого источника, либо во
исполнение федерального закона, либо во исполнении договора.
Если эти условия не соблюдаются, оператор до начала обработки таких
данных обязан предоставить каждому субъекту ПД информацию о себе и
предполагаемой обработке ПД в целях получения от него согласия.
3. Предпринять предусмотренные Законом и подзаконными актами
меры для защиты конфиденциальности полученных ПД (подробные
требования к обеспечению безопасности ПД при их обработке устанавливает
Правительство РФ – до настоящего времени соответствующий нормативный
акт не принят).
4. Предоставлять соответствующую информацию по требованию
субъекта или его законного представителя, а также уполномоченного органа
по защите прав субъектов ПД (статья 20 Закона).
5. Осуществлять мониторинг ситуаций, при которых оператор обязан
прекратить обработку и уничтожить собранные ПД (статья 21 Закона).
4
При этом кредитным организациям необходимо учитывать и
соблюдать нормы банковского законодательства, в том числе
законодательства о ПОД/ФТ, в части хранения документов, содержащих ПД.
Также обращаем внимание кредитных организаций на то, что
исходя
из
имеющейся
информации,
полученной
от
Россвязьохранкультуры, после 10 января 2008 года названный
уполномоченный орган, обладающий широкими полномочиями (вплоть
до обращения в надзорный орган с просьбой об отзыве лицензии), будет
осуществлять массовые проверки исполнения Закона.
Скачать