Соблюдение законодательства о персональных данных в кредитно-финансовых учреждениях в 2025 году. Усиление ответственности за незаконную обработку и утечки персональных данных

Лектор: Емельянников М.Ю., один из ведущих российских экспертов по защите персональных данных, автор многочисленных публикаций по наиболее острым проблемам применения законодательства в специализированных изданиях России. Автор — член рабочих и экспертных групп по проблематике законодательства в сфере персональных данных Совета Федерации, Минцифры, Роскомнадзора, Комитета по информационной безопасности Национального совета финансового рынка, лауреат диплома Ассоциации российских банков «За большой вклад в развитие безопасности банковской системы России» и отраслевой премии «Информационная безопасность банков», постоянный консультант транснациональных, иностранных и российских компаний по вопросам соответствия бизнеса законодательству Российской Федерации.

Программа:

1. Реформа законодательства о персональных данных в России
• Экстерриториальность Федерального закона «О персональных данных».
• Расширение полномочий Роскомнадзора.
• Уведомление об утечках персональных данных, сроки и состав уведомлений.
• Оценка вреда субъектам персональных данных.
• Подтверждение уничтожения персональных данных, содержание акта об уничтожении и выгрузки из журнала регистрации событий в информационной системе персональных данных.
• Новые особенности получения согласия субъекта на обработку его персональных данных оператором.
• Изменения порядка поручения обработки персональных данных иному лицу.
• Трансграничная передача персональных данных в новой редакции закона. Недопустимость любой трансграничной передачи без уведомления Роскомнадзора с 1 марта 2023 года.
• Новые права субъектов персональных данных.
• Новые обязанности оператора.
• Изменения в порядке уведомления Роскомнадзора о намерении обрабатывать персональные данные. Надо ли подавать новое уведомление в связи с изменением закона и особенности подачи уведомления о произошедших изменениях в организации обработки.

2. Обработка персональных данных работников банка, членов их семей, соискателей вакантных должностей, акционеров и аффилированных лиц.
• Общие требования при обработке работодателем персональных данных работников.
• Передача персональных данных работников между структурными подразделениями банка и иным лицам.
• Согласие работника банка на передачу персональных данных в письменной форме.
• Персональные данные, не требующие обеспечения конфиденциальности. Раскрытие кредитной организацией информации о лицах, под контролем либо значительным влиянием которых он находится, о квалификации и опыте работы руководителей, об аффилированных лицах на сайте банка. Особенности раскрытия этих сведений в 2025 году.
• Особенности обработки персональных данных специальных категорий. Сведения о судимости. Персональные данные, избыточные по отношению к заявленным целям обработки.
• Биометрические персональные данные и фотографии работников.
• Видеонаблюдение в банке.
• Принятие решений в отношении работников на основании исключительно автоматизированной обработки.
• Обработка персональных данных членов семей работников.
• Обработка персональных данных соискателей вакантных должностей.

3. Обработка персональных данных о клиентах и иных лицах, не состоящих с банком в трудовых отношениях.
• Клиенты банка-субъекты персональных данных и субъекты, не являющиеся работниками и клиентами, чьи данные обрабатываются банком в рамках оказания банковских услуг.
• Общедоступные персональные данные о клиентах. Федеральный закон 152-ФЗ «О персональных данных» и № 129-ФЗ «О государственной регистрации юридических лиц и индивидуальных предпринимателей».
• На обработку каких персональных данных клиента надо получать его согласие и как?
• Уведомление банков субъектов, не являющихся клиентами, о начале обработки их персональных данных.
• Получение персональных данных при обращении в банк. Требования закона «О защите прав потребителей» и административная ответственность за их несоблюдение.
• Продвижение услуг и продуктов банка путем прямых контактов с клиентами с использованием средств связи. Позиция ФАС и Банка России.
• Содержание договоров с клиентами и их согласий на обработку персональных данных. Характерные ошибки и несоответствия законодательству о персональных данных в договорах с клиентами. Позиция Роскомнадзора, Банка России.
• Получение персональных данных клиентов через сеть Интернет. Использование данных из социальных сетей и других общедоступных ресурсов Интернета для оценки кредитоспособности клиента.

4. Ужесточение ответственности за неправомерную обработку персональных данных.
• Изменения в Кодексе Российской Федерации об административных правонарушениях
- Новые части статьи 13.11 КоАП РФ. Ответственность за утечку персональных данных, неуведомление об обработке персональных данных и их утечку.
- Ответственность за нарушения, связанные с обработкой биометрических персональных данных при взаимодействии с Единой биометрической системой.
- Новое нарушение прав потребителей.
- Кто еще рассматривает теперь дела по нарушениям, предусмотренным статьей 13.11.
- Сроки рассмотрения дела об административном правонарушении.
- Особенности уплаты штрафов за допущенные нарушения.
• Новая статья Уголовного кодекса Российской Федерации и ответственность за незаконный доступ к персональным данным при их компьютерной обработке и незаконное использование полученных таким образом персональных данных. Возможные случаи привлечения к ответственности.
• Особенности новых законов и проблемы их возможного правоприменения

5. Федеральный государственный контроль (надзор) за обработкой персональных данных.
• Надзорные органы и их полномочия.
• Федеральный закон от 31.07.2020 № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», Положение о федеральном государственном контроле (надзоре) за обработкой персональных данных (Постановление Правительства РФ от 29.06.2021 № 1046). Объекты контроля. Риск-ориентированный подход к проведению проверок. Группы Категории рисков, группы тяжести и группы вероятностей. Отнесения к категориям риска и их учет при проведении контрольных мероприятий. Профилактика рисков причинения вреда (ущерба). Инспекционный визит, документарная и выездная проверка. Мероприятия по контролю без взаимодействия с контролируемым лицом.
• Контроль и надзор в сфере идентификации и аутентификации.
• Проверочные листы и самоконтроль.
• Мораторий на проверки в 2025 году и его границы.

6. Изменения в законодательстве о персональных данных в части обезличивания с 1 сентября 2025 года.
• Требования новой статьи 13.1 Федерального закона «О персональных данных»: формирование составов обезличенных данных и их передача в ГИС Минцифры России; пользователи ГИС Минцифры России, требования к ним, обработка пользователями данных в ГИС; кто и для каких систем устанавливает требования к обезличиванию и методы обезличивания.
• Особенности формирования региональных составов персональных данных, полученных в результате обезличивания, в ГИС ДИТ г. Москвы.
• Средства защиты информации для уничтожение персональных данных с 08.08.2024.
• Снятие с 08.08.2024 ограничений для ФСБ России по доступу к персональным данным в ходе проверок.

7. Локализация персональных данных в период их сбора в новой редакции закона.
• Краткая история вопроса.
• Изменения формулировки требования о локализации в новой редакции закона с 01.07.2025.
• Риски использования зарубежных метрических систем для анализа файлов cookies.
• Дорожная карта использования зарубежных информационных систем персональных данных без нарушений требований законодательства.