Соблюдение законодательства о персональных данных в финансовых организациях. Единая биометрическая система и новые правила контроля и надзора

На вебинаре будут проанализированы изменения законодательства, в частности, вступившие в силу в 2021 году и внесенные Федеральными законами от 30.12.2020 № 519-ФЗ (персональные данные, разрешенные субъектом персональных данных для распространения), от 29.12.2020 № 479-ФЗ (расширение области применения Единой биометрической системы и изменения в регулирования ее использования), принятые нормативные правовые акты, регулирующие вопросы биометрической идентификации клиентов банков и предоставления им услуг без личного присутствия в банке, нормативно-правовые акты, определяющие порядок взыскания просроченной задолженности физических лиц, нормативные акты Банка России, регламентирующие идентификацию клиентов, раскрытие информации о руководстве банка на его официальном сайте и др.

 Особое внимание будет уделено получению согласия на распространение персональных данных в соответствии с новым порядком его получения с 1 марта 2021 года и формой, установленной приказом Роскомнадзора от 24.02.2021 № 18 с 1 сентября 2021 года, а также согласию третьего лица на взаимодействие с ним с целью взыскания просроченной задолженности.

 Будут рассмотрены изменения в организации федерального государственного контроля (надзора) за обработкой персональных данных в связи со вступлением в силу с 1 июля 2021 года Федерального закона от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», новой статьи 23.1 закона «О персональных данных» и Постановления Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных».

Будет рассмотрен документ Роскомнадзора «Перечень правовых актов, содержащих обязательные требования, соблюдение которых оценивается при осуществлении государственного контроля и надзора за соответствием обработки персональных данных законодательству Российской Федерации в области персональных данных».

 В программе учтены и в рамках вебинара анализируются требования смежных законов, в частности, Трудового кодекса РФ, закона о банках и банковской деятельности, о взыскании просроченной задолженности, об архивном деле и др. Рассматриваются особенности отнесения к специальным категориям сведений о состоянии здоровья и инвалидности, допустимость и порядок обработки персональных данных кандидатов на вакантные должности организации, близких родственников работников, различных категорий субъектов, не состоящих с банками в договорных отношениях, но чьи персональные данные обрабатываются банками (лиц, имеющих право распоряжения средствами на счетах клиентов, пользователей банковских ячеек, посетителей, представителей контрагентов и т.д.), вопросы отнесения к биометрическим данным фотографических и видео- изображений, требования, соблюдение которых необходимо при использовании банком биометрической идентификации.

Детально рассматриваются вопросы передачи третьим лицам персональных данных заемщиков по кредитам с целью взыскания просроченной задолженности, архивного хранения персональных данных.

Будет уделено вниманию более чем двукратному повышению размеров штрафов за правонарушения, предусмотренные статьей 13.11 КоАП с 27 марта 2021 года и десятикратному увеличению штрафов за разглашение информации с ограниченным доступом (статья 13.14 КоАП РФ) с 22 июня 2021 года.

Мы проанализируем рекомендации Европейского совета по персональным данным по применимости GDPR к деятельности операторов, созданных за пределами Евросоюза и, в частности, российских банков.

Лектор: М.Ю. Емельянников, один из ведущих российских экспертов по защите персональных данных, автор многочисленных публикаций по наиболее острым проблемам применения законодательства в специализированных изданиях России. Автор — член рабочих и экспертных групп по проблематике законодательства в сфере персональных данных Совета Федерации, Минкомсвязи, Роскомнадзора, Комитета по информационной безопасности Национального совета финансового рынка, лауреат диплома Ассоциации российских банков «За большой вклад в развитие безопасности банковской системы России» и отраслевой премии «Информационная безопасность банков», постоянный консультант транснациональных, иностранных и российских компаний по вопросам соответствия бизнеса законодательству Российской Федерации.

Программа семинара

1. Персональные данные в банке и банковских системах. Незаконное использование персональных данных в России. Кибер-атаки на кредитно-финансовые учреждения с использованием персональных данных клиентов. Фишинг и вишинг как острая проблема последних двух лет.

2. Обработка персональных данных работников банка, членов их семей, акционеров и аффилированных лиц.
• Общие требования при обработке персональных данных работника.
• Передача персональных данных работников между структурными подразделениями банка и иным лицам. Согласие работника банка на передачу персональных данных третьим лицам в письменной форме.
• Персональные данные, не требующие обеспечения конфиденциальности. Раскрытие кредитной организацией информации о квалификации и опыте работы руководителей, об аффилированных лицах на сайте банка.
• Особенности обработки персональных данных специальных категорий. Сведения о судимости.
• Биометрические персональные данные и фотографии работников.
• Видеонаблюдение в банке.
• Персональные данные, избыточные по отношению к заявленным целям обработки.
• Принятие решений в отношении работников на основании исключительно автоматизированной обработки.
• Обработка сведения о членах семей работников.
• Перевод трудовых книжек в электронную форму, формирование в электронной форме сведений о трудовой деятельности.

3. Обработка персональных данных о клиентах и иных лицах, не состоящих с банком в трудовых отношениях.
• Клиенты банка-субъекты персональных данных и субъекты, не являющиеся работниками и клиентами, чьи данные обрабатываются банком.
• Общедоступные персональные данные о клиентах. Федеральные законы 152-ФЗ «О персональных данных» и 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей».
• На обработку каких персональных данных клиента надо получать его согласие и как?
• Уведомление банком субъектов, не являющихся клиентами, о начале обработки их персональных данных.
• Продвижение услуг и продуктов банка путем прямых контактов с клиентами с использованием средств связи.
• Содержание договоров с клиентами. Характерные ошибки и несоответствия законодательству о персональных данных в договорах с клиентами.
• Проверка персональных данных клиентов.
• Получение персональных данных клиентов через сеть Интернет. Использование данных из социальных сетей и других общедоступных ресурсов Интернета для оценки кредитоспособности клиента.

4. Персональные данные, разрешенные субъектом персональных данных для распространения после 1 марта 2021 года.
• Согласие на распространение персональных данных. Сервис Роскомнадзора по получению рекомендаций для формы согласия на обработку персональных данных, разрешенных для распространения.
• Запреты и условия обработки персональных данных, разрешенных для распространения.
• Позиция Роскомнадзора и Минцифры России по ретроактивности принятого закона и необходимости получения согласия на распространение данных, включаемых в общедоступные источники, подлежащих опубликованию и обязательному раскрытию.

5. Биометрическая идентификация клиентов банка, Единая система идентификации и аутентификации (ЕСИА) и Единая биометрическая система (ЕБС), предоставление услуг новым клиентам без их присутствия в банке, требования к банкам, оказывающим такие услуги.
• Фиксирование действий при размещении в электронной форме в ЕСИА сведений, необходимых для регистрации гражданина Российской Федерации, и при размещении биометрических персональных данных в ЕБС.
• Сведения, размещаемые в Единой биометрической системе.
• Форма согласия клиента на обработку биометрических персональных данных.
• Угрозы безопасности, актуальные при обработке, включая сбор, хранение и передачу, биометрических персональных данных.
• Изменения, вступившие в силу с 1 января 2021 год. Расширение области применения ЕБС, обязательность биометрической идентификации и разрешение на ее использование, аккредитация в Минцифры, контроль и надзор за обработкой биометрии.
• Особенности применения мер к банкам при совершении ими действий, предусмотренных пунктом 5.6 статьи 7 Федерального закона от 07.08.2001 № 115-ФЗ.
• Проблемы и риски биометрической идентификации в ЕБС.

6. Взаимодействие банка с заемщиками и иными лицами при возврате просроченной задолженности.
• Взаимодействие с должником.
• Согласие должника на обработку персональных данных. Согласие должника и третьих лиц на взаимодействие при взыскании просроченной задолженности.
• Отказ должника от взаимодействия.
• Взыскание задолженности по исполнительной надписи нотариуса.

7. Блокирование и уничтожение персональных данных клиентов. Определение процедуры, сроки и документирование уничтожения персональных данных. Сроки хранения персональных данных в Правилах внутреннего контроля и смежном законодательстве.

8. Как реализовать принцип «Знай своего клиента» в условиях действия 152-ФЗ. Архивное хранение и электронные архивы. Доступ клиентов к персональным данным, находящимся на архивном хранении в банке. Процедура передачи документов на архивное хранение. Почему Роскомнадзор часто не соглашается, что хранение документов у аутсорсера — архивное.

9. Федеральный государственный контроль (надзор) за обработкой персональных данных.
• Надзорные органы, их полномочия.
• Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», Постановление Правительства РФ от 29.06.2021 № 1046 «О федеральном государственном контроле (надзоре) за обработкой персональных данных». Объекты контроля. Риск-ориентированный подход к проведению проверок. Группы рисков, группы тяжести и группы вероятностей. Отнесения к группам риска и их учет при проведении контрольных мероприятий. Профилактика рисков причинения вреда (ущерба). Инспекционный визит, документарная и выездная проверка. Мероприятия по контролю без взаимодействия с контролируемым лицом. Статистика по результатам надзорной деятельности и рассмотрению жалоб и обращений субъектов.
• Увеличение штрафов по статьям 13.11 и 13.14 КОАП РФ и новые составы административных правонарушений.

10. Европейский регламент защиты персональных данных GDPR. Цели принятия нового регламента и его основные отличия от ранее принятых документов. Применимость GDPR к деятельности российских банков.