ПАМЯТКА ПО СОБЛЮДЕНИЮ ЗАКОНОДАТЕЛЬСТВА РОССИЙСКОЙ ФЕДЕРАЦИИ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ОСУЩЕСТВЛЕНИИ СТРАХОВОЙ ДЕЯТЕЛЬНОСТИ

Федеральный закон от 27 июля 2006 года №152-ФЗ "О персональных данных" (далее - Федеральный закон № 152) регулирует отношения, связанные с обработкой персональных данных, осуществляемой государственными органами, муниципальными органами, юридическими лицами и физическими лицами.

Сфера применения Федерального закона №152 такова, что он равным образом распространяется на субъектов, осуществляющих обработку персональных данных, независимо их статуса: государственный орган, муниципальный орган, юридическое или физическое лицо.

Юридические лица, осуществляющие страховую деятельность, также обязаны соблюдать нормы Федерального закона №152-ФЗ.

Правовое основание обработки персональных данных юридических лиц, осуществляющих страховую деятельность, определяется, в том числе, такими нормативными правовыми актами, как Конституция Российской Федерации, Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, Федеральный закон от 01.04.1996 № 27-ФЗ "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", Закон Российской Федерации от 27.11.1992 N 4015-1 "Об организации страхового дела в Российской Федерации", Федеральный закон от 25.04.2002 N 40-ФЗ  "Об обязательном страховании гражданской ответственности владельцев транспортных средств", Постановление Госкомстата РФ от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты"

Цели обработки персональных данных организаций, осуществляющих страховую деятельность

В соответствии с частями 1-2 статьи 5 Федерального закона обработка персональных данных должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Применительно к организациям, осуществляющим страховую деятельность, целями обработки персональных данных субъектов персональных данных могут быть:

заключение, сопровождение, исполнение и расторжение договоров и иных сделок, в том числе договоров страхования и перестрахования, включая процесс анализа и оценки страховых рисков, в том числе ведение преддоговорных переговоров;

урегулирование вопросов, касающихся убытков при наступлении страховых случаев по договорам страхования и перестрахования, включая прием заявлений и обращений, осуществление страховых выплат при наступлении страховых случаев по договорам страхования и перестрахования;

взаимодействие со страховыми посредниками, осуществляющими привлечение застрахованных лиц, в том числе ведение деловых переговоров с указанными страховыми посредниками. Заключение, сопровождение, изменение, расторжение агентских договоров, сопровождение процессов урегулирования убытков, а также осуществление контроля деятельности страховых посредников по выполнению обязанностей, предусмотренных указанными договорами;

выполнение работ и оказание услуг контрагентами и их субподрядчиками, а также осуществление процедур закупок у указанных контрагентов и ведение деловых переговоров с указанными контрагентами;

осуществление взаимных расчетов с клиентами, иными контрагентами и выгодоприобретателями;

рассмотрение и учет обращений (запросов, предписаний, заявлений, предложений, комментариев, претензий, благодарностей и т.п.), поступающих от государственных, контрольных, надзорных, судебных, правоохранительных и иных органов, а также клиентов и иных лиц, и осуществление информационного обслуживания уазанных лиц, а также осуществление контроля качества обслуживания клиентов и иных лиц;

оформление доверенностей в рамках наделения сотрудников (здесь и далее термин «сотрудник» включает работников, членов органов управления и иных должностных лиц) и иных лиц специальными полномочиями для выполнения возложенных на них трудовых функций и (или) представления интересов Оператора;

участие в гражданском, арбитражном, уголовном, административном процессах, а также исполнение судебных актов;

выполнение принятых на себя социальных обязательств в отношении сотрудников и их родственников в виде предоставления им возможность участвовать в программах добровольного медицинского страхования, страхования жизни, страхования от несчастного случая и страхования на случай возникновения критических заболеваний;

оформление командировочных документов для сотрудников, а также осуществление Оператором организации и управления деловыми поездками сотрудников;

организация Оператором обучения, инструктажа, проверки знаний сотрудников и иных лиц по охране труда и технике безопасности, а также проведение специальной оценки условий труда;

Субъекты персональных данных и условия обработки персональных данных

 

Организациями, осуществляющими страховую деятельность, могут обрабатываться персональные данные следующих категорий субъектов персональных данных:

 

Работников и бывших работников страховой компании, членов их семей; кандидатов на вакантные должности; физических лиц (индивидуальных предпринимателей и представителей юридических лиц, с которыми заключены гражданско-правовые договоры; физических лиц – выгодоприобретателей по гражданско-правовым договорам, заключаемым третьими лицами; также других категорий субъектов персональных данных, определяемых в соответствии с локальными документами, принятыми страховой компанией, для обеспечения их исполнения.

 

Организации, осуществляющие страховую деятельность, могут обрабатывать персональные данные следующих категорий:

 

фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; гражданство; семейное положение; социальное положение; фотографическое изображение, сведения о трудовой деятельности, сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу; имущественное положение; образование; сведения о доходах; состоянии здоровья; пол; реквизиты документа, удостоверяющего личность (серия и номер документа, дата выдачи, наименование органа, выдавшего документ и код подразделения) и иных документов, в том числе номер страхового свидетельства государственного пенсионного страхования; сведения о страховом полисе, сведения о страховых выплатах; идентификационный номер налогоплательщика, контактные данные (телефон, email).

 

Обработка персональных должна осуществляться с согласия субъекта данных на обработку его персональных данных.

Согласие субъекта персональных данные не требуется в случаях, предусмотренных пп. 2-11 ч. 1 ст. 6 Федерального закона, а именно в случаях, если:

обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;

обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;

обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);

обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон "О микрофинансовой деятельности и микрофинансовых организациях", либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;

обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);

осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

Не допускается обработка персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных, философских убеждений, интимной жизни, членства в общественных объединениях (специальные категории персональных данных), за исключением случаев, предусмотренных пунктами 1-10 части 2 статьи 10 Федерального закона № 152.

В случаях, предусмотренных Федеральным законом № 152 субъект персональных данных принимает решение о представлении его персональных данных и дает согласие на их обработку своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретныминформированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой форме, позволяющей подтвердить факт его получения (например путем заполнения специального значка на сайте в сети Интернет).

В случаях, предусмотренных Федеральным законом, обработка персональных данных возможна только с согласия в письменной форме субъекта персональных данных.

Согласие в письменной форме субъекта персональных данных на обработку его персональных данных на бумажном носителе должно включать, в частности:

фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных;

наименование страховой компании, получающего согласие на обработку персональных данных;

цель обработки персональных данных;

перечень персональных данных на обработку которых требуется согласие субъекта персональных данных;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена другому лицу;

перечень действий с персональными данными на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

срок в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законом

подпись субъекта персональных данных.

Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Права субъекта персональных данных

 

Субъект персональных данных, в соответствии со ст. 14 Федерального закона, имеет право на получение от организации, осуществляющей страховую деятельности, информации, касающейся обработки его персональных данных, в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом о персональных данных;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу.

Обязанности организации, осуществляющей страховую деятельность, при сборе персональных данных

 В соответствии с требованиями ч. 5 ст.18 Федерального закона № 152, при сборе персональных данных организации, осуществляющие страховую деятельность, обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона.

Обязанности организации, осуществляющей страховую деятельность, по обеспечению безопасности персональных данных при их обработке

При обработке персональных данных организация осуществляющая страховую деятельность, как оператор, осуществляющий обработку персональных данных, в соответствии со ст. 18.1, 19 Федерального закона принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

К мерам, направленным на обеспечение выполнения оператором обязанностей предусмотренных ст.18.1 Федерального закона могут, в частности, относиться:

1) назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;

4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Обеспечение безопасности персональных данных достигается следующими мерами:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета действий, совершаемых с персональными данными в информационной системе персональных данных;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

Уведомление уполномоченного органа об обработке персональных данных

В соответствии с частью 1 статьи 22 Федерального закона "О персональных данных" оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных об осуществлении (намерении осуществлять) обработку персональных данных.

Частью 2 указанной статьи предусмотрены случаи осуществления обработки персональных данных без уведомления уполномоченного органа по защите прав субъектов персональных данных.

Как показывает практика, деятельность страховых организаций по обработке персональных данных, преимущественно, выходит за пределы случаев, предусмотренных ч. 2 ст. 22 Федерального закона № 152, в связи с чем данные организации должны в установленном порядке уведомлять уполномоченный орган по защите прав субъектов персональных данных об осуществлении (намерении осуществлять) обработку персональных данных.

Время публикации: 29.11.2019 16:26
Последнее изменение: 29.11.2019 16:29