ПАМЯТКА ДЛЯ КРЕДИТНЫХ И МИКРОФИНАНСОВЫХ ОРГАНИЗАЦИЙПО СОБЛЮДЕНИЮ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПАМЯТКА

ДЛЯ КРЕДИТНЫХ И МИКРОФИНАНСОВЫХ ОРГАНИЗАЦИЙПО СОБЛЮДЕНИЮ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

 

Кредитной организацией согласно ст. 1 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности» является юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции.

Микрофинансовой организациейсогласно ст. 2 Федерального закона от 02.07.2010 № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях» является юридическое лицо, которое осуществляет микрофинансовую деятельность и сведения о котором внесены в государственный реестр микрофинансовых организаций.

Кредитная или микрофинансовая организация (далее – Организация) самостоятельно или совместно с другими лицами организующая и (или) осуществляющая обработку персональных данныхработников, заемщиков, иных контрагентов и их представителей, а также других субъектов персональных данных, является Оператором персональных данных.

Согласно ч. 1 ст. 22 Федерального от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон о персональных данных) Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, то есть направить уведомление об обработке (о намерении осуществлять обработку) персональных данных (далее – Уведомление) в соответствующий территориальный орган Роскомнадзора.Это относится ко всем организациям, которые осуществляют обработку персональных данных и не подпадают под исключения, предусмотренные ч. 2 ст. 22 Федерального закона о персональных данных.

В соответствии с ч. 7 ст. 22 Федерального закона о персональных данных в случае изменения сведений, поданных Оператором (организацией) ранее в уведомлении об обработке персональных данных, а также в случае прекращения обработки персональных данных оператор (организация) обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.

Большинство Организаций посредством своих официальных сайтов предоставляют услуги пользователям этих сайтов, в связи с чем осуществляют сбор персональных данных граждан с использованием информационно-телекоммуникационной сети «Интернет» (регистрация на сайте, заполнение анкеты, предоставление различной информации через форму обратной связи, куда необходимо внести персональные данные).В данных случаях на сайте Организации должен быть размещён документ, определяющий политику в отношении обработки персональных данных.

Правовым основанием обработки Организацией персональных данных клиентов является согласие субъекта персональных данных на обработку его персональных данных, а также договор, заключенный Организацией с субъектом персональных данных.

В соответствии с пунктом 5 части 1 статьи 6 Федерального закона о персональных данных обработка персональных данных без согласия субъекта персональных данных допускается в случае, если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем.

Согласно пункту 7 части 1 статьи 6 Федерального закона о персональных данныхобработка персональных данных без согласия субъекта персональных данных допускается также в случае, если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных.

Основными нарушениями, допускаемыми кредитными и микрофинансовыми организациями при обработке персональных данных, являются:

представление в уполномоченный орган Уведомления об обработке персональных данных (Информационного письма), содержащего неполные и (или) недостоверные сведения;

обработка персональных данных субъектов без получения их согласия и при отсутствии иных, предусмотренных законом оснований;

поручение иному лицу осуществлять обработку персональных данных без согласия субъекта персональных данных;

непринятие мер по опубликованию в информационно-телекоммуникационной сети документа, определяющего политику оператора в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите персональных данных.

Время публикации: 15.06.2018 10:40
Последнее изменение: 15.06.2018 10:40