Контроль и надзор в сфере обработки персональных данных кредитными кооперативами

При решении проблем по возврату долгов многие организации, в том числе кооперативы, все активнее стали прибегать к услугам сторонних специализированных организаций - коллекторских агентств и прочих. Данная процедура требует передачи персональных данных о заемщиках, что в ряде случаев может повлечь нарушения соответствующих законодательных норм. В итоге неграмотные действия сотрудников кооперативов способны привести к судебным разбирательствам. Пока таковых единицы, они не стали громкими процессами, но прецеденты уже есть. И вполне вероятно, что сейчас, в случае просроченной задолженности, недобросовестные заемщики в ответ на обращения коллекторских агентств попытаются апеллировать к законодательным нормам в области защиты персональных данных и использовать эти нормы.

Кроме того, уже вступили в силу нормы Федерального закона «О персональных данных», касающиеся информационных систем персональных данных (под которые подпадают и многие базы данных кредитных кооперативов). Вполне возможно, что ФСТЭК и Роскомнадзор будут строго наказывать нарушителей.

Таким образом, действующим законодательством установлены жесткие требования, регламентирующие порядок обработки персональных данных. Эти требования носят обязательный характер и распространяются на всех без исключения юридических лиц, действующих на территории России, хранящих и обрабатывающих данные о физических лицах.

В числе действующих нормативных правовых актов по вопросам обработки персональных данных можно выделить следующие:

Конвенция Совета Европы о защите физических лиц в отношении автоматизированной обработки данных личного характера от 28.01.1981 EST № 108 (ратифицирована Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке данных личного характера»).
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденное Постановлением Правительства РФ от 17.11.2007 № 781.
Положение об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации, утвержденное Постановлением Правительства РФ от 15.09.2008 № 687.
Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденные Постановлением Правительства РФ от 06.08.2008 № 512.
Порядок проведения классификации информационных систем персональных данных, утвержденный приказом ФСТЭК, ФСБ, Мининформсвязи России от 13.02.2008 № 55/86/20.
Приказ Россвязькомнадзора от 17.07.2008 № 8 «Об утверждении образца формы уведомления об обработке персональных данных».

Необходимо отметить, что на практике используются все перечисленные российские нормативные правовые акты, однако указанная Конвенция применяется в настоящее время недостаточно широко. Представляется, что это неправильно, поскольку международный документ имеет приоритет перед российскими нормативными правовыми актами (ст. 15 Конституции РФ).

Субъекты и объекты надзора обработки персональных данных

Исходя из положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», можно выделить четыре основные категории субъектов надзора. Первые три категории - это государственные и муниципальные органы, юридические лица (т.е. практически все, осуществляющие предпринимательскую деятельность на территории РФ, за исключением только что созданных и еще не имеющих своей инфраструктуры).

Четвертая категория - это физические лица, которым федеральным законом не присвоен статус индивидуальных предпринимателей и, следовательно, к их предпринимательской деятельности не применяются нормы ГК РФ, которые регулируют деятельность юридических лиц - коммерческих организаций (ст. 23 ГК РФ). К ним относятся, например, частные адвокаты и частные нотариусы.

К объектам надзора й области защиты персональных данных, в соответствии с Федеральным законом «О персональных данных», отнесены основные, специальные и биометрические персональные данные. Основные категории, согласно ст. 3 этого Закона, - это фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Таким образом, исчерпывающий перечень не определен.

К специальным категориям персональных данных законодатель отнес расовую, национальную принадлежность, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимную жизнь (ст. 10 ФЗ «О персональных данных»).

В отличие от основных, перечень специальных персональных данных является закрытым, что исключает возможность отнести какие-либо специально не оговоренные категории персональных данных к специальным.

К объектам надзора в области защиты персональных данных, в соответствии с Федеральным законом «О персональных данных», отнесены основные, специальные и биометрические персональные данные... но исчерпывающий перечень не определен.

И, наконец, к биометрическим персональным данным отнесены сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. Формулировка дана законодателем очень широко, четко не определен объем данных, которые относятся к биометрическим. При отсутствии наработанной практики применения указанной нормы могут встречаться различные формы ее толкования. Исходя только из общих положений действующих нормативных правовых актов, можно говорить о том, что в качестве биометрических персональных данных в настоящее время можно рассматривать изображения: отпечатка пальца, радужной оболочки глаза, лица и др.

Например, часто встает вопрос, относятся ли фотографии, которые хранятся в том числе и в системе банка, к биометрическим персональным данным. Здесь можно исходить из требований к биометрическим паспортам гражданина - так называемым паспортам нового поколения, которые начинают вводиться. Существующее Положение о паспорте гражданина Российской Федерации, утвержденное Постановлением Правительства РФ от 08.07.97 № 828, не предусматривает, что паспорт в какой-либо форме содержит персональные данные.

Установлено, что бланки новых паспортов включают в том числе пластиковый вкладыш со встроенной микросхемой (п. 2).

Кроме того, фотография должна также соответствовать ряду требований, перечисленных в Приложении 3 к приказу от 06.10.2006 МВД России № 785, МИД России № 14133, ФСБ России № 461 «Об утверждении Инструкции о порядке оформления и выдачи паспорта гражданина Российской Федерации, дипломатического паспорта и служебного паспорта, являющихся основными документами, удостоверяющими личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащих электронные носители информации».

В настоящее время также действуют регламентирующие требования к обработке персональных данных в отношении в том числе и данных изображения лица - ГОСТ Р ИСО/МЭК 19794-5-2006.

Таким образом, исходя из действующих нормативно-правовых и нормативно-технических требований, следует отметить, что вопрос отнесения (или неотне-сения) фотографии к биометрическим персональным данным не может быть решен однозначно. Для этого в каждом конкретном случае требуются проведение экспертных исследований и подготовка экспертных заключений.

Типы проверок и состав необходимых документов

Органы государственного надзора осуществляют два типа проверок в сфере связи и массовых коммуникаций - плановые и внеплановые (согласно Федеральному закону от 08.08.2001 № 134-Ф3 «О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)»).

При проведении планового мероприятия по контролю организации Россвязькомнадзора обязаны предъявить уведомление и приказ о проведении проверки с приложением типовой программы, где указываются все основные данные, которые должен предоставить соответствующий субъект надзора. Государственные инспекторы при проведении проверки обязаны предъявлять свои удостоверения госслужащего. При проведении внепланового мероприятия предъявляется только приказ о проведении проверки с приложением к нему ее программы и удостоверения госслужащего.

Проверке подлежат следующие три категории организаций:

операторы, осуществляющие обработку персональных данных и занесенные в Реестр операторов, обрабатывающих персональные данные;
государственные и муниципальные органы, юридические и физические лица, являющиеся операторами, не занесенные в реестр, но осуществляющие обработку персональных данных;
государственные и муниципальные органы, юридические или физические лица, являющиеся операторами, обрабатывающими персональные данные, но не требующие занесения в реестр.

Кредитные кооперативы следует отнести к первой категории организаций. Это связано с тем, что кредитные кооперативы не подпадают под перечень исключений, предусмотренных ст. 22 Федерального закона «О персональных данных», и, следовательно, должны направлять уведомления об обработке персональных данных. Кроме того, кооперативы имеют достаточно развитые и хорошо структурированные информационные системы. Их наличие, в соответствии с действующим законодательством, также ставит вопрос о необходимости выступать в качестве оператора, осуществляющего обработку персональных данных на основании должным образом оформленного уведомления.
Сложнее в данном случае обстоит дело с регулированием обработки персональных данных коллекторскими агентствами. Действующее законодательство не предусматривает правового регулирования их деятельности, так же как и иных аналогичных органи-заций-взыскателей. Но при этом кредитные кооперативы передают этим организациям право на взыскание долгов. Как следует из судебной практики, для передачи коллекторскими агентствами таких долгов к взысканию необходимо получать от клиента финансовой организации (и/или поручителя, созаемщика) согласие в соответствии с положениями ст. 6 Федерального закона «О персональных данных» (решение Фрунзенского районного суда г. Владивостока от 17.06.2008).

Особенности проверки кредитных кооперативов

При проверке кредитных организаций существуют как общие, так и специальные вопросы. К первым относятся наличие уведомления об обработке персональных данных, проверка содержания уведомления, так как и закон, и соответствующие приказы Мининформсвязи России и Россвязькомнадзора установили требования к содержанию уведомления. В случае выявления противоречий между заявленными и реальными сведениями, указанными в конкретном уведомлении, решается вопрос о внесении изменений либо дополнений к нему.

Особое внимание при проверке деятельности кредитных кооперативов уделяется наличию в договорах с клиентами их согласия на обработку персональных данных. Конечно, можно было бы говорить о том, что получаемые при заключении договоров персональные данные обрабатываются только в целях исполнения конкретного договора и согласия субъекта персональных данных в этом случае не требуется. Но, например, банки обязаны предоставлять информацию, составляющую тайну частных лиц, определенным третьим лицам. Причем такая информация может содержать персональные данные. Поскольку указанный Закон не соответствует условиям обработки персональных данных без согласия субъекта, то такое условие является необходимым. При этом субъект персональных данных может отказать кредитному кооперативу в передаче своих данных третьим лицам. Таким образом, существует противоречие между двумя законодательными актами: с одной стороны, кооператив обязан предоставлять информацию уполномоченным лицам, а с другой - он не имеет право это делать без согласия субъекта персональных данных.

Аналогичная проблема возникает и при применении Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Более того, ст. 4 этого Закона запрещает информировать клиентов о принимаемых мерах противодействия легализации доходов, полученных преступным путем. Получение согласия субъекта в данном случае может носить признаки информирования клиента о принятии таких мер.

Кроме того, возникают сложности с приведением ранее заключенных договоров в соответствие с новыми требованиями законодательства. Ведь есть множество так называемых мертвых счетов, которые их владельцы не закрывают годами, из-за чего возникают проблемы по приведению договоров с такими клиентами в соответствие с действующим законодательством. Таким образом, тема обработки персональных данных в целях исполнения банковских договоров имеет достаточно широкое поле для обсуждения.

Следует отметить наличие большого перечня вопросов, подлежащих проверке. Они определены подзаконными нормативными актами, среди них - вопросы, связанные с обработкой и передачей биометрических персональных данных; наличием круга лиц, имеющих доступ к персональным данным, и т.д.

При проверке кредитного кооператива большое внимание уделяется проверке его филиалов и отделений. В ходе проверок к нарушителям закона о персональных данных могут применяться меры разного уровня строгости. В частности, кроме предписаний об устранении выявленных нарушений контролирующие и надзорные органы могут направлять заявления в органы, осуществляющие лицензирование деятельности оператора, для рассмотрения вопроса о принятии мер по приостановлению действий или аннулированию соответствующей лицензии на основании ст. 23 Федерального закона «О персональных данных». Данное требование Закона может быть выполнено только в том случае, если условием лицензии на осуществление конкретного вида деятельности является запрет на передачу персональных данных третьим лицам без согласия в письменной форме субъекта персональных данных. Говоря проще, для применения норм ст. 23 рассматриваемого Закона соответствующая лицензия должна предусматривать требование к обеспечению защиты персональных данных.

Следующая мера, в настоящее время довольно редко применяемая, - направление в органы прокуратуры и другие правоохранительные органы материалов для решения вопроса о возбуждении уголовных дел по признакам преступлений, связанных с нарушением прав субъектов персональных данных на основании подпункта ст.23 ФЗ «О персональных данных». Это защита как личных данных граждан и касающаяся непредоставления сведений о гражданине, так и данных, внесенных в информационные системы.

Ответственность в области защиты персональных данных

Федеральный закон «О персональных данных» (ст. 24) устанавливает четыре вида ответственности за нарушение в области защиты персональных данных - административную, гражданскую, уголовную и дисциплинарную.

Основными вопросами, связанными с применением ответственности в области защиты персональных данных, в международной практике являются вопросы персональных данных в сфере государственно-правового регулирования, подразумевая в качестве основной меры административную ответственности.

Особое внимание при проверке деятельности кооперативов уделяется наличию в договорам с клиентами их согласия на обработку персональных данных.

Можно выделить три вида составов административных правонарушений, относящихся к обороту и защите персональных данных:

административные правонарушения, объектом которых непосредственно являются общественные отношения в области оборота и защиты персональных данных - это составы правонарушений, предусмотренные ст. 13.11 и 5.39 КоАП РФ;
административные правонарушения, в сфере защиты информации, которые хотя и носят общий характер, но могут быть отнесены и к защите персональных данных. Это составы правонарушений, предусмотренные ст. 13.14,19.7 и п. 2 ст. 13.12 КоАП РФ;
административные правонарушения, затрагивающие общественные отношения, относящиеся напрямую к персональным данным, но, исходя из действующего российского законодательства о персональных данных и из международного опыта, также отнесенные к сфере регулирования персональных данных - это составы правонарушений, которые можно разделить на две подгруппы: общественные отношения в области регулирования банковской сферы (предусмотрены ст. 5.53, 5.54 и 5.55 КоАП РФ) и избирательных прав граждан (предусмотрены ст. 5.1 и 5.13 КоАП РФ).

Действующее законодательство, регулирующее вопросы защиты персональных данных в банковской сфере, требует комплексной доработки с учетом положений российского законодательства, а также международных документов в этой сфере.

Кредитная кооперация

Просвещение

Статистика и услуги

Прочие публикации

Advertisement

Книга "Маркетинг в кредитных кооперативах. Том 1"

Выжить в условиях нарастающего кризиса Вам поможет опыт зарубежных и российских коллег.

Предлагаем к прочтению первый том методического пособия "Управление функциями маркетинга в КПК".

Субъекты и объекты надзора обработки персональных данных

Типы проверок и состав необходимых документов

Особенности проверки кредитных кооперативов

Ответственность в области защиты персональных данных

Добавить комментарий

Поиск

Авторизация

Кто на сайте

Последние материалы

Правление Кредитного потребительского кооператива «Сберкредиткасса»

Внимание пайщиков Кредитного потребительского кооператива граждан «Касса взаимопомощи «Столичная»!

Правление Кредитного потребительского кооператива «Касса взаимопомощи «Ардатовская»

Правление Кредитного потребительского кооператива «Столичный-Алатырь-Порецкое»

Правление Кредитного потребительского кооператива граждан «Столичный»

Правление Кредитного потребительского кооператива граждан «Столичный-Батырево-Комсомольское»

Правление Кредитного потребительского кооператива «СоцЗайм»

Правление Кредитного потребительского кооператива граждан «Касса взаимного кредита»

Правление Кредитного потребительского кооператива «Касса взаимопомощи «Ардатовская»

Внимание пайщиков Кредитного потребительского кооператива граждан «Касса взаимного кредита»!

Внимание пайщиков Кредитного потребительского кооператива граждан «Касса взаимопомощи «Столичная»!

Внимание пайщиков Кредитного потребительского кооператива граждан «Столичный-Батырево-Комсомольское»!

Внимание пайщиков Кредитного потребительского кооператива «СОЦЗАЙМ»!

Внимание пайщиков Кредитного потребительского кооператива «Касса взаимопомощи «Ардатовская»!

Правление Кредитного потребительского кооператива «Сберкредиткасса»

Реклама