Особенности разработки документов по защите персональных данных в МФО (микрофинансовой организации)
Деятельность микрофинансовой организации (далее - МФО) регламентируется Законом №151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях». Можно добавить еще Федеральный закон №28-ФЗ «О кредитных историях».
В соответствии с ними персональные данные (далее - ПД) могут передаваться в Банк России, Бюро кредитных историй. Это обязательно указывается в документах и рисуется в схеме потоков передачи ПД. Также возможна передача ПД о заёмщиках и аффилированных лицах в Росфиннадзор и иные контролирующие органы. В документах это должно быть также учтено.
Ряд МФО имеют филиальную структуру или сеть агентов. Как правило, разрабатывается шаблон договора, правила предоставления микрозаймов и прочие документы. В зависимости от этого документы по ПД могут приниматься централизованно на все филиалы, или предоставляться агентам на ознакомление. Если агент является отдельным юридическим лицом, то он самостоятельно заботится о необходимости защиты ПД в своей организации, является оператором и должен подать уведомление об обработке ПД в Роскомнадзор.
Центральному офису МФО желательно, конечно же, сделать единую форму заявления или договора, в котором будет предусмотрено согласие субъекта на обработку его ПД. Согласие должно обязательно включать в себя все, что требуется по ст.9 152-ФЗ. Например, в нем обязательно должны быть перечислены все организации, которым передаются ПД (Бюро кредитных историй, Банк России, агенты по работе с проблемной задолженностью) с указанием их юридических наименований и адресов. Если такая передача осуществляется не на основании федерального закона или постановления Правительства РФ, то с этими организациями обязательно должен быть заключен договор, предусматривающий соблюдение второй стороной требований 152-ФЗ.
Далее, в МФО возможно наличие единого сервера с данными на все филиалы или доступ к нему агентов. Должна быть правильно организована техническая защита. Перед определением мер защиты необходимо определить угрозы безопасности. Кроме общих угроз, имеется ряд угроз, рекомендованных ко вниманию МФО Указанием Банка России от 10.12.2015 № 3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных».
Особенности разработки документов по персональным данным для коллекторской компании
Коллекторская компания осуществляет деятельность по взысканию задолженности на основании Федерального закона "О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности" и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях" № 230-ФЗ от 03 июля 2016 года. Данные о должниках компания получает у банка, с которым заключен договор.
На досудебной стадии персональные данные должников (поручителей) никуда не передаются. На судебной стадии – готовятся исковые заявления в суды общей юрисдикции и арбитражные суды, запросы в органы ГИБДД, страховые компании. Основания – Гражданский процессуальный кодекс РФ, Арбитражный процессуальный кодекс РФ, Федеральный закон от 29.12.2014 N 476-ФЗ "О внесении изменений в Федеральный закон "О несостоятельности (банкротстве)" и отдельные законодательные акты РФ в части регулирования реабилитационных процедур, применяемых в отношении гражданина-должника".
На стадии исполнительного производства документы передаются в подразделения Федеральной Службы Судебных приставов на основании Федерального закона "Об исполнительном производстве" от 02.10.2007 N 229-ФЗ.
Особенности разработки документов по персональным данным для потребительского кооператива
Потребительский кооператив осуществляет деятельность на основании федеральных законов №90-ФЗ "О кредитной кооперации", №353-ФЗ "О потребительском кредите (займе)".
Имеющиеся в наличии пакеты документов содержат такие особенности:
Микрофинансовая организация. Один головной офис и несколько филиалов в разных городах. Данные о клиентах стекаются в головной офис. 4-ый уровень защищенности. Приказы и документы принимаются из головного офиса на филиалы, некоторые приказы принимаются руководителями филиалов самостоятельно. Каждый филиал – одна комната – одна контролируемая зона, в каждом филиале работает 3-4 человека. Внутренней комиссии нет, все документы принимаются приказами директора. Менее 100 000 субъектов в базе данных. 4 уровень защищенности.
Также имеются разработанные пакеты документов для коллекторской компании и потребительского кооператива.
Готовый пакет шаблонов документов для финансовой организации стоит 9900 руб.
Все готовые пакеты содержат обезличенные документы, созданные для реальных заказчиков.
СПИСОК ДОКУМЕНТОВ ПО ПДН
1. Приказ об организации работ по защите персональных данных.
2. План мероприятий по обеспечению защиты персональных данных.
3. Перечень ИСПДн.
4. Перечень персональных данных.
5. Акты определения уровня защищенности ИСПДн
6. Акт об оценке вреда субъектам ПДн.
7. Положение об обработке ПДн (общее, работников, граждан, клиентов).
8. Политика в отношении обработки ПДн.
9. Приказ о списке лиц, допущенных к ПДн.
10. Приказы о назначении ответственных.
11. Инструкция ответственного за обеспечение безопасности ПДн в информационных системах.
12. Инструкция ответственного за организацию обработки ПДн.
13. Инструкция пользователя ИСПДн.
14. Инструкция администратора защиты.
15. Положение об организации и проведении работ по обеспечению безопасности персональных данных (включает правила парольной политики, антивирусной защиты, созданию резервных копий и др. технические и организационные меры защиты ПДн).
16. Процедура обработки обращений субъектов ПДн.
17. Приказ об утверждении мест хранения материальных носителей.
18. Приказ о списке должностей, допущенных до работы с ПД.
19. Положение о порядке обработки ПДн без использования средств автоматизации.
20. Типовые формы документов, используемые для организации обработки персональных данных
21. Уведомление в РКН об обработке ПДн
22. Журналы
-
Область применения
-
МФО
-
Тип
-
ПДн
