Security Lab

Обсудим особенности обработки персональных данных в негосударственных пенсионных фондах

Обсудим особенности обработки персональных данных в негосударственных пенсионных фондах
16 марта пройдет семинар по персональным данным, на этот раз – для негосударственных пенсионных фондов, пенсионных администраторов, страховых и управляющих компаний, который мы проводим совместно с Национальной ассоциацией негосударственных пенсионных фондов (НАПФ), а точнее – ее Учебно-методическим информационным центром.
Опыт наших проектов в этих организациях показывает, что их деятельности присуща специфика, существенно отличающая их от других операторов персональных данных, что требует отдельного анализа и обоснования правовых оснований обработки персональных данных, их допустимого состава.
В первую очередь, это связано с категориями субъектов, чьи данные обрабатываются в фондах. Помимо обязательных для всех операторов работников, их родственников, соискателей вакантных должностей, посетителей, представителей контрагентов и субъектов персональных данных, значительное количество сведений относится квкладчикам, участникам фонда и клиентам по негосударственному пенсионному обеспечению, страхователям и застрахованным лицам, правопреемникам участников фонда и застрахованных лиц, выгодоприобретателям, а также агентам фонда, действующим на основании договора и обязавшихся совершать по поручению фонда действия как от своего имени, но за счет фонда, так от имени и за счет фонда. Для каждой такой категории необходимо определить наличие предусмотренных законом оснований для обработки данных, необходимость получения согласия и его форму, состав сведений, необходимых и достаточных для достижения предопределенных целей обработки, но не выходящих за установленные ими пределы.
Да и перечень законов и иных нормативных правовых актов, содержащих основания обработки персональных данных, помимо традиционного закона «О персональных данных» и Трудового и Гражданского кодексов РФ дополняется большим количеством документов, устанавливающих те или иные нормы, к примеру:
·         ФЗ от 07.05.1998 № 75-ФЗ «О негосударственных пенсионных фондах»;
·         ФЗ от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
·         ФЗ «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений»;
·         ФЗ от 24.07.2002 № 111-ФЗ «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации»;
·         Постановление Правительства РФ от 03.11.2007 № 742 «Об утверждении Правил выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, правопреемникам умершего застрахованного лица средств пенсионных накоплений, учтенных на пенсионном счете накопительной части трудовой пенсии»;
·         Постановление Правительства РФ от 21.12.2009 № 1048 «Об утверждении Правил единовременной выплаты негосударственным пенсионным фондом, осуществляющим обязательное пенсионное страхование, средств пенсионных накоплений лицам, которые не приобрели право на установление трудовой пенсии по старости»
·         Постановление Правления ПФР от 31.07.2006 № 192п «О формах документов индивидуального (персонифицированного) учета в системе обязательного пенсионного страхования и Инструкции по их заполнению».
И в каждом из документов содержатся обязательные требования, которые необходимо учесть при организации работы негосударственного пенсионного фонда, разработки локальных нормативных актов, договоров с контрагентами и субъектами персональных данных.
Часть этих норм требует для их реализации дополнительных усилий, а часть, напротив, существенно облегчает деятельность оператора, освобождая его от весьма трудоемких, а иногда и затратных действий по реализации норм закона «О персональных данных». Крайне важными здесь представляются положения статьи 15 закона «О негосударственных пенсионных фондах», к которым в свое время приложил руку и я , в соответствии с которыми фонд не обязан получать согласие вкладчиков-физических лиц, страхователей-физических лиц, участников, застрахованных лиц, выгодоприобретателей на обработку персональных данных, касающихся состояния здоровья указанных лиц и предоставленных ими или с их согласия третьими лицами в объеме, необходимом для исполнения договора, а также право фонда поручить обработку персональных данных указанных выше лиц организациям при определенных условиях.
В ходе семинара будет рассмотрена позиция регулятора и надзорного органа в отношении негосударственных пенсионных фондов – Банка России, связанная с организацией обработки персональных данных и обеспечением информационной безопасности, новые тенденции ее правового регулирования, озвученные на магнитогорском форуме по банковской безопасности
В заключении семинара будет подробно проанализирована система контроля и надзора за соблюдением законодательства о персональных данных , ее изменения, произошедшие после 1 сентября 2015 года, примеры из практики надзорной деятельности, типичные нарушения, выявляемые при проведении надзорных мероприятий и мероприятий систематического наблюдения, а также практика разрешения судебных споров, связанных с персональными данными.
Учитывая, что во многих негосударственных пенсионных фондах подразделений по информационной безопасности традиционно нет, а занимаются описанными выше проблемами самые разные специалисты, мы вместе с НАПФ надеемся, что семинар поможет им разобраться в непростых вопросах и обеспечить соответствие обработки персональных данных всех категорий субъектов закону. 

Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Михаил Емельянников

Блог известного российского эксперта в области информационной безопасности, защиты персональных данных, коммерческой тайны, государственного регулирования охраны конфиденциальности. Комментарии к «громким» событиям, связанным с утечкой данных и взломом компьютерных сетей.