какой основной нормативно правовой акт рф регулирует работу с персональными данными отп банк

Нормативные документы

Мы в социальных сетях

Частным лицам

Бизнесу

Private banking

О банке

Дополнительная информация:
+7 495 775-4-775, 8 800 100-55-55

Генеральная лицензия Банка России №2766 от 27.11.2014 г.

Список лиц, под контролем либо значительным влиянием которых находится банк

Источник

Какой основной нормативно правовой акт рф регулирует работу с персональными данными отп банк

ПАМЯТКА ДЛЯ КРЕДИТНЫХ И МИКРОФИНАНСОВЫХ ОРГАНИЗАЦИЙПО СОБЛЮДЕНИЮ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПАМЯТКА

ДЛЯ КРЕДИТНЫХ И МИКРОФИНАНСОВЫХ ОРГАНИЗАЦИЙПО СОБЛЮДЕНИЮ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Кредитной организацией согласно ст. 1 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» является юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции.

Микрофинансовой организациейсогласно ст. 2 Федерального закона от 02.07.2010 № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях» является юридическое лицо, которое осуществляет микрофинансовую деятельность и сведения о котором внесены в государственный реестр микрофинансовых организаций.

Кредитная или микрофинансовая организация (далее – Организация) самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данныхработников, заемщиков, иных контрагентов и их представителей, а также других субъектов персональных данных, является Оператором персональных данных.

В соответствии с ч. 7 ст. 22 Федерального закона о персональных данных в случае изменения сведений, поданных Оператором (организацией) ранее в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных оператор (организация) обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Большинство Организаций посредством своих официальных сайтов предоставляют услуги пользователям этих сайтов, в связи с чем осуществляют сбор персональных данных граждан с использованием информационно-телекоммуникационной сети «Интернет» (регистрация на сайте, заполнение анкеты, предоставление различной информации через форму обратной связи, куда необходимо внести персональные данные).В данных случаях на сайте Организации должен быть размещён документ, определяющий политику в отношении обработки персональных данных.

Правовым основанием обработки Организацией персональных данных клиентов является согласие субъекта персональных данных на обработку его персональных данных, а также договор, заключенный Организацией с субъектом персональных данных.

В соответствии с пунктом 5 части 1 статьи 6 Федерального закона о персональных данных обработка персональных данных без согласия субъекта персональных данных допускается в случае, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Согласно пункту 7 части 1 статьи 6 Федерального закона о персональных данныхобработка персональных данных без согласия субъекта персональных данных допускается также в случае, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

Основными нарушениями, допускаемыми кредитными и микрофинансовыми организациями при обработке персональных данных, являются:

представление в уполномоченный орган Уведомления об обработке персональных данных (Информационного письма), содержащего неполные и (или) недостоверные сведения;

обработка персональных данных субъектов без получения их согласия и при отсутствии иных, предусмотренных законом оснований;

поручение иному лицу осуществлять обработку персональных данных без согласия субъекта персональных данных;

непринятие мер по опубликованию в информационно-телекоммуникационной сети документа, определяющего политику оператора в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных.

Время публикации: 15.06.2018 10:40
Последнее изменение: 15.06.2018 10:40

Источник

Интервью с экспертом. Как работать с персональными данными работников в 2021 году

координатор кадрового и hr-направления в Контур.Школе

Про обязательный перечень документов, штрафы, уведомление Роскомнадзора и контрольные точки

2021 год — всплеск изменений в законодательстве по персональным данным. О том, что нужно знать кадровику, какие документы проверить и как привести их в соответствие новым требованиям, какова ответственность, рассказывает Мария Финатова, юрист по трудовому праву, эксперт в области работы с персональными данными и автор вебинара про изменения в работе с персональными данными.

В конце статьи есть шпаргалка

Мария, давайте начнем с краткого обзора изменений законодательства. На что нужно обратить внимание?

Основные изменения произошли в марте и июле. К осени мы ожидаем выход нормативных правовых актов, которые будут определять порядок работы с получением согласия на распространение персональных данных через информационную систему Роскомнадзора и порядка работы в ней. Пока документы проходят официальные чтения.

С 1 марта 2021 года:

С 1 июля 2021 года:

Есть ли обязательный перечень документов по персональным данным для организаций?

Перечень обязательных документов по персональным данным, которые должны быть в каждой организации, зависит от того, каким оператором является работодатель и какие персональные данные он обрабатывает.

Оператор — это юридическое или физическое лицо (например, индивидуальный предприниматель или лицо, с которым заключен гражданско-правовой договор), осуществляющее обработку персональных данных. Круг прав и обязанностей в области обработки персональных данных будет зависеть от целей и задач конкретного оператора.

Главный нормативно-правовой акт, которым необходимо руководствоваться в работе с персональными данными, — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ).

Основные обязательные документы:

Обратите внимание: законодательно требований к документу не установлено. Есть разъяснения Роскомнадзора по его содержанию. Рекомендуем их учитывать.

При анализе содержания локального нормативного акта по персональным данным необходимо руководствоваться:

Требования к форме согласия установлены ст. 9 Федерального закона № 152-ФЗ. Количество согласий на обработку персональных данных зависит от количества субъектов, чьи данные обрабатываются в организации.

Пример: от работника необходимо получить как минимум два согласия: одно при прохождении собеседования (когда он еще соискатель) и второе, когда он уже стал работником, до заключения с ним трудового договора.

Внимание: с 1 марта 2021 года в организации нужно также оформлять новый документ — согласие на распространение персональных данных (ст. 10.1 Федерального закона № 152-ФЗ).

Это минимальный список обязательных документов по персональным данным, который должен быть в каждой организации.

Точный перечень зависит от того, какие данные обрабатываются организацией и какие законодательные требования к их обработке установлены.

Каковы штрафы за нарушения обработки и распространения персональных данных?

Все действия с персональными данными относятся к их обработке: сбор, систематизация, накопление, хранение, уточнение, изменение, использование, передача, обезличивание, блокирование, уничтожение и т.д.

Любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц, считаются распространением персональных данных и требуют наличия согласия.

Ответственность предусмотрена ст. 13.11 п. 2, 2.1 КоАП РФ. В случае если порядок получения согласия нарушен, его форма неверная или в ней отсутствуют частично обязательные условия, грозит увеличенный штраф:

За повторное нарушение ввели новые штрафы:

Назовите контрольные точки. Что нужно знать кадровику, чтобы не попасть на штрафы?

Что необходимо проверить:

Нужно ли уведомлять Роскомнадзор об обработке персональных данных? И что будет, если этого не сделать?

Да, уведомлять органы Роскомназдора о начале обработки персональных данных обязательно в соответствии с требованиями ст. 22 Федерального закона № 152-ФЗ, за исключением случаев, предусмотренных вышеуказанной статьей. Если вы попадаете под исключения, то уведомлять Роскомнадзор не требуется:

В конце статьи есть шпаргалка

За нарушение порядка уведомления Роскомнадзора предусмотрена административная ответственность. Работодателю грозит предупреждение или наложение административного штрафа:

Штраф носит разовый характер, нарушение необходимо исправить по предписанию инспектора (ст. 19.7 КоАП РФ).

С чего кадровику начать внутренний аудит документации по персональным данным, чтобы выявить и исправить нарушения?

Любой аудит начинается с определения перечня документов, которые будут подлежать проверке.

Алгоритм действий:

Какие самые частые нарушения допускают кадровики при работе с персональными данными?

Самые распространенные нарушения по персональным данным:

О том, как Роскомнадзор проводит проверки, на что обращает особое внимание, читайте в статье Марии Финатовой Проверки Роскомнадзора. Как подготовиться работодателю.

Какие согласия нужно взять с работника при приеме на работу?

Пример: для создания адреса электронной почты, оформления визиток, поздравления с днем рождения, указания в графике работ и т.д. (ст. 6 и 9 Федерального закона № 152-ФЗ).

Есть ли срок действия согласий, которые мы берем у работников, нужно ли их обновлять?

У согласий, которые предоставляет работник на обработку персональных данных, безусловно, есть срок действия. Его определяет сам работник — это является одним из обязательных условий в соответствии с требованиями п. 4 ст. 9 Федерального закона № 152-ФЗ.

Внимание: от корректности указанного работником срока действия согласия зависит возможность обработки оператором его персональных данных. Не рекомендуется устанавливать срок на период действия трудовых отношений, так как после увольнения работника вы обязаны будете прекратить обработку его данных, указанных в согласии, и уничтожить персональные данные в установленные законом сроки — в течение 30 дней.

На указание срока влияют цели обработки и перечень осуществляемых действий с персональными данными.

Рекомендация: при подписании согласия разъясните работнику, для чего указан срок обработки персональных данных и почему он такой. Как правило, на практике операторы сами указывают срок в форме согласия, а субъекты подписывают его и вопросов не возникает. Но следует помнить, что субъект может при подписании согласия изменить срок как на больший, так и на меньший, ведь это его законное право. Оптимально — договориться с работником и указать срок, удобный обеим сторонам. Плюс работодателю будет удобно учесть требования архивного законодательства. Например, прописать срок 75 лет.

Как реагировать на запрос сведений о работниках сторонними организациями? Кому можно отказать, а кому нет? Как аргументировать свои действия?

Когда можно предоставлять персональные данные без согласия работника

Предоставлять персональные данные субъекта сторонним организациям без его согласия можно, если эти случаи предусмотрены законом. Например, идет судебный процесс и суд делает соответствующий запрос по работнику — работодатель может сообщить сведения, получать согласие у работника он не обязан.

Когда нельзя предоставлять персональные данные без согласия работника

На практике может случиться, что в организацию поступает звонок от потенциального работодателя или из банка с вопросами о работнике. Такой запрос не предусмотрен нормами действующего законодательства. Работодатель не имеет права раскрывать данные работника третьим лицам без его согласия, которое должно быть получено с соблюдением требований ст. 9 Федерального закона № 152-ФЗ.

Важно: нельзя передавать или подтверждать по телефону действительность и принадлежность персональных данных субъекта (работника, соискателя, третьего лица и др.), так как по телефону сложно идентифицировать лицо, от которого поступает звонок. При подобной передаче сведений может быть нарушен порядок обработки и разглашены персональные данные постороннему лицу. Предоставление персональных данных возможно только на основании письменного запроса от третьего лица, которому необходимы персональные данные.

Как действовать при запросе данных третьими лицами

Попросите направить к вам в организацию официальный письменный запрос. Это может быть текст на официальном или обычном бланке организации с подписью ответственного лица и печатью при ее наличии. Требований к таким запросам законодательно не предусмотрено.

Сбор сведений в рамках зарплатного проекта является обработкой персональных данных?

Да, так как банк является третьим лицом, которому будут предоставляться персональные данные работника. Для их предоставления от работника необходимо получить согласие на передачу персональных данных, в котором помимо общих условий указать название банка, адрес его местонахождения, перечень передаваемых персональных данных банку, цели передачи, перечень действий, совершаемых с персональными данными. Требования к форме согласия предусмотрены п. 4 ст. 9 Федерального закона № 152-ФЗ.

Работодатель собирает сведения о детях работников с целью вручения подарков к праздникам — как правильно оформить процедуру?

Достаточно получить от работника согласие на обработку персональных данных его детей. Если дети не достигли 18-летнего возраста, работник будет выступать законным представителем своего ребенка, и этого документа будет достаточно, чтобы вручить подарки. Согласие оформляется в соответствии с п. 4 ст. 9 Федерального закона № 152-ФЗ.

Оптимальный перечень документов на работника: какие данные запрещено требовать и хранить?

Помните, что работодатель вправе запрашивать у работника как при приеме на работу, так и в дальнейшем только те документы, которые являются обязательными по закону:

Обработка иных дополнительных персональных данных из документов, предоставленных работником, требует наличия согласия на обработку персональных данных от работника.

Запрашивать нужно только те документы, которые в первую очередь необходимы для выполнения требований законодательства, а во вторую очередь — для целей работодателя.

Оптимально хранить оригиналы документов, необходимые работодателю:

Хранение копий документов возможно только в случаях, разрешенных законодательством, либо для исполнения обязательств по договору с третьими лицами. В противном случае, если копии документов будут храниться без достаточных на то законных обоснований, это может быть признано избыточными персональными данными по отношению к заявленным целям обработки, что, в свою очередь, нарушает порядок обработки персональных данных и влечет возможность привлечения к административной ответственности.

Рекомендации кадровикам по работе с персональными данными работников

Мы наблюдаем тенденцию стремительного изменения законодательства по персональным данным. Рекомендую держать руку на пульсе, ведь одновременно с изменениями в порядке оформления документов и процессов по персональным данным ужесточается и ответственность за нарушения.

Штрафы выросли в разы и достигают уже не тысячных, а миллионных цифр в отношении операторов, которые допускают нарушения по ПД.

Это позволит вам организовать работу правильно, выявить и исправить нарушения до прихода инспектора.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

Случаи, когда Роскомнадзор можно не уведомлять о начале обработки ПД 548.7 КБ

Источник

Политика конфиденциальности

Настоящая Политика конфиденциальности (далее – Политика) устанавливает правила использования персональной информации, получаемой от пользователей сайта (далее – Пользователи) администратором сайта (infobanking.ru) (далее — Компания).

Настоящая Политика конфиденциальности применяется ко всем Пользователям Сайта.

Все термины и определения, встречающиеся в тексте Политики толкуются в соответствии с действующим законодательством РФ (в частности, ФЗ «О персональных данных»).

Пользователи прямо соглашаются на обработку своих персональных данных, как это описано в настоящей Политике. Использование Сайта означает выражение Пользователем безоговорочного согласия с Политикой и указанными условиями обработки информации.

Пользователь не должен пользоваться Сайтом, если Пользователь не согласен с условиями Политики.

1. Персональная информация Пользователей, которую обрабатывает Компания

1.1. Сайт собирает, получает доступ и использует в определенных Политикой целях персональные данные Пользователей, техническую и иную информацию, связанную с Пользователями.
1.2. Техническая информация не является персональными данными. Компания использует файлы cookies, которые позволяют идентифицировать Пользователя. Файлы cookies – это текстовые файлы, доступные Компании, для обработки информации об активности Пользователя, включая информацию о том, какие страницы посещал Пользователь и о времени, которое Пользователь провел на странице. Пользователь может отключить возможность использования файлов cookies в настройках браузера.
1.3. Также под технической информацией понимается информация, которая автоматически передается Компании в процессе использования Сайта с помощью установленного на устройстве Пользователя программного обеспечения.
1.4. Под персональными данными Пользователя понимается информация, которую Пользователь предоставляет Компании при заполнении заявки на Сайте и последующем использовании Сайта. Обязательная для предоставления Компании информация помечена специальным образом. Иная информация предоставляется Пользователем на его усмотрение.
1.5. Компания также может обрабатывать данные, сделанные общедоступными субъектом персональных данных или подлежащие опубликованию или обязательному раскрытию в соответствии с законом.
1.6. Компания не проверяет достоверность персональной информации, предоставляемой Пользователем, и не имеет возможности оценивать его дееспособность. Однако Компания исходит из того, что Пользователь предоставляет достоверную и достаточную персональную информацию о себе и поддерживает эту информацию в актуальном состоянии.

2. Цели обработки персональной информации Пользователей.

2.1. Главная цель Компании при сборе персональных данных — предоставление информационных, консультационных услуг Пользователям. Пользователи соглашаются с тем, что Компания также может использовать их персональные данные для:
● Идентификация стороны в рамках предоставляемых услуг;
● Предоставления услуг и клиентской поддержки по запросу Пользователей;
● Улучшение качества услуг, удобства их использования, разработка и развитие Сайта, устранения технических неполадок или проблем с безопасностью;
● Анализ для расширения и совершенствования услуг, информационного наполнения и рекламы услуг;
● Информирования Пользователей об услугах, целевом маркетинге, обновлении услуг и рекламных предложениях на основании информационных предпочтений Пользователей;
● Таргетирование рекламных материалов; рассылки индивидуальных маркетинговых сообщений посредством электронной почты, звонки и SMS;
● Проведение статистических и иных исследований на основе обезличенных данных;

2.2. Компания использует техническую информацию обезличено в целях, указанных в пункте 2.1.

3. Условия и способы обработки персональной информации Пользователей и её передачи третьим лицам.

3.1. Пользователь дает согласие на обработку своих персональных данных путём отправки заявки (любой письменный запрос, содержащий контактные данные).
3.2. Обработка персональных данных Пользователя означает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных Пользователя.
3.3. В отношении персональной информации Пользователя сохраняется ее конфиденциальность, кроме случаев добровольного предоставления Пользователем информации о себе для общего доступа неограниченному кругу лиц.
3.4. Компания вправе передать персональную информацию Пользователя третьим лицам в следующих случаях:
● Пользователь выразил согласие на такие действия;
● Передача необходима для использования Пользователем определенной услуги Сайта либо для исполнения определенного договора или соглашения с Пользователем;
● Передача уполномоченным органам государственной власти Российской Федерации по основаниям и в порядке, установленным законодательством Российской Федерации;
● В целях обеспечения возможности защиты прав и законных интересов Компании или третьих лиц в случаях, когда Пользователь нарушает условия договоров и соглашений с Компанией, настоящую Политику, либо документы, содержащие условия использования конкретных услуг;
● В результате обработки персональной информации Пользователя путем ее обезличивания получены обезличенные статистические данные, которые передаются третьему лицу для проведения исследований, выполнения работ или оказания услуг по поручению Компании.

4. ​Меры, применяемые для защиты персональной информации Пользователя.

4.1. Компания принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

5. Разрешение споров.

5.1. Все возможные споры, вытекающие из отношений, регулируемых настоящей Политикой, разрешаются в порядке, установленном действующим законодательством Российской Федерации, по нормам российского права.
5.2. Соблюдение досудебного (претензионного) порядка урегулирования споров является обязательным.

6. Дополнительные условия​.

6.1. Компания вправе вносить изменения в настоящую Политику конфиденциальности без согласия Пользователя.
6.2. Новая Политика конфиденциальности вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики конфиденциальности.
6.3. Продолжение использования Сайта после внесения таких изменений подтверждает согласие Пользователя с такими изменениями.

Источник