Новости

Внимание!

С 15.02.2016 официальный сайт СРО кредитных кооперативов "Содействие" находится по адресу:
http://sro-sodeystvie.ru.

Об исполнении закона №152-ФЗ «О персональных данных»

Вопрос:

В целях исполнения Кооперативом требований Федерального Закона №152-ФЗ «О персональных данных» от 27.06.2006г., просим дать письменные разъяснения по следующим вопросам:

1. Необходимо ли Кооперативу, как Оператору обработки персональных данных, уведомить уполномоченный орган Роскомнадзор о своем намерении осуществлять обработку персональных данных в целях осуществления уставной деятельности.

2. Необходимо ли истребовать согласие Пайщиков на обработку персональных данных при вступлении в члены Кооператива, заключении договоров передачи личных сбережений, договоров займа. А так же необходимо ли истребовать согласие на обработку персональных данных от Поручителей и Залогодателей, не являющихся Пайщиками Кооператива, при заключении соответствующих договоров.

3. Можно ли отнести программу 1С к информационной системе по обработке персональных данных. Необходимо ли устанавливать информационную систему для обработки персональных данных Пайщиков помимо ведения реестра в системе 1С (где содержатся персональные данные Пайщиков). Необходимо ли отдельным внутренним документом присвоить класс данной информационной системе или программе 1С.

4. Какие внутренние документы для надлежащего исполнения Федерального Закона №152-ФЗ от 27.06.2006г. должны быть разработаны и приняты в Кооперативе.

Ответ:

По существу Вашего запроса считаю необходимым пояснить, что СРО не наделено правом давать разъяснения правоприменительной практики, поэтому письменный ответ на Ваш запрос, о котором Вы просите, не имеет юридической силы и отражает только частную позицию по исполнению кредитными кооперативами требований Федерального закона № 152-ФЗ «О персональных данных». Эта позиция, основанная на анализе норм закона, заключается в следующем:

1. В соответствии с пп. 2, п. 2, ст. 22 «Оператор вправе осуществлять без уведомления уполномоченного органа ... обработку персональных данных:

....полученных .... в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных».

По моему мнению, вступление пайщика в кооператив является договором по смыслу ст. 420 ГК РФ, так как при этом устанавливаются взаимные права и обязанности кооператива и пайщика. Таким образом, при вступлении и впоследствии, при организации финансовой взаимопомощи, персональные данные пайщиков кооператива получаются кооперативом в связи с заключением договора, не распространяются, не предоставляются третьим лицам и используются исключительно в целях исполнения указанного договора. Из чего я позволяю сделать вывод о том, что режим обработки кооперативом персональных данных пайщиков (а также их поручителей) не требует направления уведомления в уполномоченный орган по основаниям пп.2, п.2, ст.22 Закона № 152-ФЗ.

Конечно, если обработка персональных данных пайщиков выходит за пределы установленных в кооперативе регламентов (например, если данные передаются в бюро кредитных историй и это не оговорено уставом, внутренними нормативными документами или договором), то уведомление направлять нужно.

Контраргументом к этому доводу обычно служат отсылки на вероятность направления иска в суд, предоставления персональных данных по требованию компетентных органов (предоставления информации в тот же Росфинмониторинг, например). Однако иск в суд также заявляется в «целях исполнения договора», а сама передача персональных данных в суд обусловлена специальными процессуальными условиями. Так же и предоставление данных компетентным органам обусловлено специальными законами и осуществляется не по Вашей воле, а по требованию таких органов в соответствии с установленной законом процедурой. На этот счет у всех в уставе вероятно есть отсылка, что кооператив действует в соответствии с законодательством, вступая в кооператив пайщик принимает и понимает это условие, следовательно он соглашается с тем, что кооператив соблюдает законодательство, в том числе предусматривающее предоставление его персональных данных по запросу компетентных органов.

Если взглянуть на проблему с другой точки зрения, мы, прежде чем исполнить запрос компетентных органов о предоставлении персональных данных, должны направить уведомление об этом в уполномоченный орган. Бессмысленность таких действий, связанная с коллизией законов очевидна.

Другое сомнение связано с тем, что данные должны храниться в течение пяти лет после прекращения членства пайщика в кооперативе или истечения срока действия договора с поручителем. Сомнение связано с тем, что договор уже истек, а хранение, т.е. «обработка» персональных данных по смыслу пп.2, ст.3 Закона №152-ФЗ продолжает осуществляться. Я не вижу здесь никаких угроз, поскольку данные получены на основании договора, были использованы в целях исполнения договора и продолжают обрабатываться (храниться) в течение срока, установленного законодательством.

2. Принципы, обработки персональных данных, установленные пп.3 «обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта)» и пп. 5 «обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем» п.1, ст.6 Закона № 152-ФЗ, на мой взгляд дают исчерпывающие основания для обработки кооперативом персональных данных своих пайщиков и связанных с ними лиц без получения на то их согласия.

3. «Положением об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденном Постановлением Правительства РФ от 17.11,2007 № 781 под информационными системами понимаются, в частности «средства вычислительной техники, информационно-вычислительные комплексы и сети..., программные средства (операционные системы, системы управления базами данных и т.п.)...». Следовательно программа 1С относится к информационным системам.

4. В целях соблюдения требований закона № 152-ФЗ в части защиты обрабатываемых кооперативом персональных данных Вам следует:

- Установить класс используемой Вами информационной системы;

- Разработать положение о защите прав субъектов ПД, включающее модель угроз и режимы защиты ИСПД;

- Установить режим защиты ИСПД;

- Установить режим обработки ПД.

Возможно также разработать должностную инструкцию администратора ИСПД, должностную инструкцию пользователя ИСПД и пр. внутренние регламенты, которые не предусмотрены впрямую инструкциями уполномоченного органа и в большинстве не актуальны для кооперативов, не располагающих специальным штатом сотрудников, ответственных за обработку ПД.

Контакты

Полное наименование:
Некоммерческое партнерство «Объединение кредитных кооперативов «Содействие»
Сокращенное наименование:
НП «ОКК «Содействие»

Наш адрес:
214000 г. Смоленск, ул. Октябрьской революции, дом 9, офис 301

Телефоны:
(4812) 68-35-38 
(4812) 38-52-92

E-mail: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.

Лицо, исполняющее функции единоличного исполнительного органа:
директор СРО «Содействие»
Овчиян Марат Ригоевич

НП «Саморегулируемая организация кредитных кооперативов «Содействие» не является членом некоммерческих организаций. 

Сейчас в СРО

223 кредитных кооперативов

Присоединяйтесь