Чем интересна статья: вы узнаете, как в связи с ужесточением ответственности за нарушения законодательства в области защиты персональных данных изменился подход Роскомнадзора к проверкам, в т.ч. и в кредитных кооперативах
Расширение ст. 13.11 КоАП РФ до семи составов правонарушений, диктует новые правила и новые рекомендации руководителям кредитных кооперативов, которые помогут пройти проверку Роскомнадзора. Что нужно сделать:
Статья 13.11 КоАП РФ. Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных).
Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) — влечет предупреждение или наложение административного штрафа
1. Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа
Осуществлять обработку персональных данных только на законных основаниях, предусмотренных законодательством РФ в области персональных данных
2. Обработка персональных данных без согласия в письменной форме субъектаперсональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, — влечет наложение административного штрафа
Вести обработку персональных данных только при наличии письменного согласии субъекта персональных данных, когда такое согласие должно быть получено в соответствии с законодательством РФ
3. Невыполнение операторомпредусмотренной законодательством РФ в области персональных данныхобязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа
Необходимо разместить на сайте КПК или обеспечить доступ другим образом к документу (в офисе КПК) «Политику оператора в отношении обработки персональных данных»
4. Невыполнение оператором предусмотренной законодательством РФ в области персональных данныхобязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — влечет предупреждение или наложение административного штрафа
Оператор должен выполнять обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных. Разработать соответствующее положение по предоставлению информации на заявления от субъектов персональных данных, касающиеся обработки их персональных данных, шаблоны форм ответов, журнал учета обращений от граждан (субъектов персональных данных).
5. Невыполнение оператором в сроки, установленные законодательством РФ в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, — влечет предупреждение или наложение административного штрафа
Оператору необходимо в срок выполнять требования субъекта персональных данных / (его представителя либо уполномоченного органа по защите прав субъектов персональных данных) об уточнении его персональных данных, их блокировки или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Разработать соответствующее положение с учетом сроков по выполнению требованния субъекта персональных данных в части их блокировки или уничтожении (в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными), при обработке их персональных данных.
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством РФ в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния — влечет наложение административного штрафа
Оператор при обработке персональных данных без использования средств автоматизации обязан соблюдать условия, обеспечивающие сохранность персональных данных при хранении материальных носителей ПДн и исключающих несанкционированный к ним доступ (для предотвращения их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных). Разработать соответствующее положение об обработке ПДн без использования средств автоматизации, приказ о допуске сотрудников к обработке персональных данных не автоматизированным способом, приказ о местах хранения материальных носителей содержащих ПДн и назначение ответственных за их хранение, обеспечить места хранения (режим ограниченного доступа в эти помещения, в не рабочее время сдача на охранно пожарную сигнализацию (ОПС), запираемые хранилища (бух. шкафы) для хранения в них материальных носителей содержащих ПДн).
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством РФв области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных — влечет предупреждение или наложение административного штрафа
Оператор (государственный или муниципальный органом), обязан выполнять требования по обезличиванию персональных данных, в КПК или коммерческих организациях — это требование не обязательно и выполняется по мере возможности или по необходимости. Необходимо разработать положение об обезличивании ПДн (с отметкой в левом верхнем углу титульного листа «не используется») и приложить пояснительную записку о невозможности данной процедурой в связи с отсутствием технической возможности (особенность обработки в БД).
Необходимо выполнить все рекомендации, что бы у Роскомнадзора не было оснований привлечь кооператив к ответственности по новым составам правонарушений. Не стоит ждать, что повышение штрафов, кардинальным образом изменит отношение к обработке и защите ПДн. Но это заставит КПК и коммерческие организации более внимательно относится к вопросам обработке ПДн. Повышение штрафов, приведет к увеличению количества проверок со стороны РКН, новые составы правонарушений увеличат количество организаций попавших под административную ответственность.
Популярную статью 19.7 КоАП РФ о привлечении юридических лиц к ответственности за не предоставление или несвоевременное представление в государственный орган (должностному лицу), орган (должностному лицу), осуществляющий (осуществляющему) государственный контроль (надзор) <…>, таких сведений (информации) в неполном объеме или в искаженном виде (штраф — 3-5 тысяч рублей) сменит статья 13.11 КоАП РФ с семью составами правонарушений и вполне внушительными штрафами от 15 до 75 тысяч рублей.
Регулятор временно не будет наказывать за нарушение сроков, порядка составления и сдачи некоторых отчетов
Регулятор предлагает делать это не менее чем за 15 календарных дней до начала действия изменений
Государство планирует возместить кредиторам 50% недополученного дохода по процентам
Банк России предостерег кредиторов от действий, которые создают условия для нарушения прав заемщика
Банк России порекомендовал рассматривать обращения на основании тех документов, которые есть в наличии у человека,…
Организации вправе сделать это без обращения наследников
This website uses cookies.