POSITION
sur la protection des données personnelles
Clients (abonnés)
dans LLC Ortes-Finance
Termes et définitions
1.1. Données personnelles- toute information relative à une personne spécifique (soumise à des données personnelles) définie ou déterminée sur la base de ces informations, y compris son nom, prénom, deuxième prénom, année, mois, date et lieu de naissance, adresse, adresse e-mail, numéro de téléphone, famille , social, statut de propriété, éducation, profession, revenu, autres informations.
1.2. Traitement des données personnelles- actions (opérations) avec des données personnelles, y compris la collecte, la systématisation, l'accumulation, le stockage, la clarification (mise à jour, modification), l'utilisation, la distribution (y compris le transfert), la dépersonnalisation, le blocage.
1.3. Confidentialité des données personnelles- une obligation de se conformer à la personne responsable désignée qui a eu accès aux données personnelles est une obligation de ne pas permettre leur diffusion sans le consentement du sujet ou d'une autre base juridique.
1.4. Diffusion des données personnelles- actions visant à transférer des données personnelles à un certain cercle de personnes (transfert de données personnelles) ou à se familiariser avec les données personnelles d'un cercle illimité de personnes, y compris la divulgation de données personnelles dans les médias, la publication sur des réseaux d'information et de télécommunication ou l'accès à des données personnelles par lequel de toute autre manière.
1.5. Utilisation des données personnelles- actions (opérations) avec des données personnelles commises afin de prendre des décisions ou d'effectuer d'autres actions qui entraînent des conséquences juridiques en relation avec les sujets des données personnelles ou affectent d'une autre manière leurs droits et libertés ou les droits et libertés d'autrui.
1.6. Blocage des données personnelles- suspension temporaire de la collecte, systématisation, accumulation, utilisation, diffusion des données personnelles, y compris leur transfert.
1.7. Destruction des données personnelles- actions à la suite desquelles il est impossible de restaurer le contenu des données à caractère personnel dans le système d'information sur les données à caractère personnel ou à la suite de laquelle les supports matériels de données à caractère personnel sont détruits.
1.8. Anonymisation des données personnelles- actions, à la suite desquelles il est impossible sans l'utilisation d'informations supplémentaires de déterminer la propriété des données personnelles à un sujet spécifique.
1.9. Données personnelles accessibles au public- les données personnelles, l'accès à un cercle illimité de personnes auquel est fourni avec le consentement du sujet ou auxquelles, conformément aux lois fédérales, l'exigence de confidentialité ne s'applique pas.
1.10. L'information- des informations (messages, données) quelle que soit la forme de leur présentation.
1.11. Client (personne concernée)- un consommateur individuel des services d'Ortes-Finance LLC, ci-après dénommée «l'organisation».
1.12. Opératrice- un organisme d'État, un organisme municipal, une personne morale ou physique, indépendamment ou conjointement avec d'autres personnes, organisant et (ou) traitant des données personnelles, ainsi que déterminant les finalités du traitement des données personnelles, la composition des données personnelles à traiter, les actions (opérations) effectuées avec données personnelles. En vertu de ce règlement, l'exploitant est Ortes-Finance Limited Liability Company;
2. Dispositions générales.
2.1. Le présent règlement sur le traitement des données personnelles (ci-après - le règlement) est élaboré conformément à la Constitution de la Fédération de Russie, au Code civil de la Fédération de Russie, à la loi fédérale "sur l'information, les technologies de l'information et la protection des informations", la loi fédérale 152-ФЗ "sur les données personnelles", autres lois fédérales.
2.2. L'élaboration du règlement a pour objet de déterminer le traitement et la protection des données personnelles de tous les clients de l'organisation dont les données doivent être traitées, sur la base de l'autorité de l'exploitant; assurer la protection des droits et libertés de l'homme et du citoyen dans le traitement de ses données personnelles, y compris la protection des droits à la vie privée, aux secrets personnels et familiaux, ainsi qu'établir la responsabilité des fonctionnaires ayant accès aux données personnelles en cas de non-respect des exigences des règles régissant le traitement et protection des données personnelles.
2.3. L'ordre d'entrée en vigueur et les modifications du règlement.
2.3.1. Le présent règlement entre en vigueur dès son approbation par le directeur général de l'Organisation et est valable indéfiniment, jusqu'à ce qu'il soit remplacé par un nouveau règlement.
2.3.2. Les modifications du règlement sont effectuées sur la base des ordonnances du directeur général de l'Organisation.
3. La composition des données personnelles.
3.1. La composition des données personnelles des clients, notamment:
3.1.1. Nom, prénom, patronyme.
3.1.2. Année de naissance.
3.1.3. Mois de naissance.
3.1.4. Date de naissance.
3.1.5. Lieu de naissance.
3.1.6. Données de passeport
3.1.7. Adresse e-mail
3.1.8. Numéro de téléphone (domicile, cellulaire).
3.2. Les documents et informations suivants peuvent être créés (créés, créés, collectés) et stockés dans l'Organisation, y compris sous forme électronique, contenant des données sur les clients:
3.2.1. Demande d'examen sur la possibilité de connecter un individu.
3.2.2. Contrat (offre publique).
3.2.3. Confirmation de l'adhésion au contrat.
3.2.5. Copies de documents d'identité, ainsi que d'autres documents fournis par le Client et contenant des données personnelles.
3.2.6. Données de paiement pour les commandes (biens / services) contenant le paiement et d'autres détails du client.
4. La finalité du traitement des données personnelles.
4.1. Le but du traitement des données personnelles est la mise en œuvre d'un ensemble d'actions visant à atteindre l'objectif, notamment:
4.1.1. Fournir des services de conseil et d'information.
4.1.2. D'autres transactions non interdites par la loi, ainsi qu'un ensemble d'actions avec des données personnelles nécessaires à l'exécution des transactions ci-dessus.
4.1.3. Afin de se conformer aux exigences de la législation de la Fédération de Russie.
4.2. La fin du traitement des données personnelles est la liquidation de l'Organisation, ainsi que l'exigence correspondante du Client.
5. Collecte, traitement et protection des données personnelles.
5.1. La procédure d'obtention (collecte) de données personnelles:
5.1.1. Toutes les données personnelles du Client doivent être obtenues de lui personnellement avec son consentement écrit, à l'exception des cas spécifiés dans les clauses 5.1.4 et 5.1.6 du présent Règlement et d'autres cas prévus par les lois de la Fédération de Russie.
5.1.2. Le consentement du Client à l'utilisation de ses données personnelles est stocké dans l'Organisation sous forme papier et / ou électronique.
5.1.3. Le consentement du sujet au traitement des données personnelles est valable pour toute la durée du contrat, ainsi que depuis 5 ansà compter de la date de résiliation de la relation contractuelle du Client avec l'Organisation. Après l'expiration de la période spécifiée, le consentement est considéré comme prolongé tous les cinq ans en l'absence d'informations sur son retrait.
5.1.4. Si les données personnelles du Client ne peuvent être obtenues que d'un tiers, le Client doit en être informé au préalable et un consentement écrit doit être obtenu de lui. Un tiers fournissant les données personnelles du Client doit avoir le consentement du sujet au transfert des données personnelles de l'Organisation. L'organisation est tenue de recevoir la confirmation d'un tiers transmettant les données personnelles du Client que les données personnelles sont transmises avec son consentement. L'organisation est obligée, en coopération avec des tiers, de conclure avec eux un accord sur la confidentialité des informations concernant les données personnelles des clients.
5.1.5. L'organisation est tenue d'informer le Client des objectifs, des sources et des méthodes présumées d'obtention des données personnelles, ainsi que de la nature des données personnelles à recevoir et des conséquences du refus du Client des données personnelles de donner son consentement écrit pour les recevoir.
5.1.6. Le traitement des données personnelles des clients sans leur consentement est effectué dans les cas suivants:
5.1.6.1. Les données personnelles sont accessibles au public.
5.1.6.2. À la demande des organismes publics autorisés dans les cas prévus par la loi fédérale.
5.1.6.3. Le traitement des données personnelles s'effectue sur la base de la loi fédérale fixant sa finalité, les conditions d'obtention des données personnelles et le cercle des entités dont les données personnelles font l'objet d'un traitement, ainsi que la détermination des pouvoirs de l'opérateur.
5.1.6.4. Le traitement des données personnelles est effectué afin de conclure et d'exécuter un contrat, dont l'une des parties fait l'objet de données personnelles - le Client.
5.1.6.5. Le traitement des données personnelles est effectué à des fins statistiques, sous réserve de la dépersonnalisation obligatoire des données personnelles.
5.1.6.6. Dans les autres cas prévus par la loi.
5.1.7. L'organisation n'a pas le droit de recevoir et de traiter les données personnelles du Client concernant sa race, sa nationalité, ses opinions politiques, ses convictions religieuses ou philosophiques, son état de santé, sa vie intime.
5.2. La procédure de traitement des données personnelles:
5.2.1. La personne concernée fournit à l'Organisation des informations fiables sur elle-même.
5.2.2. Seuls les employés de l'Organisation autorisés à travailler avec les données personnelles du Client et ayant signé l'Accord de non-divulgation des données personnelles du Client peuvent avoir accès au traitement des données personnelles des Clients.
5.2.3. Le droit d'accéder aux données personnelles du Client dans l'Organisation est:
Directeur général de l'Organisation;
Employés chargés des calculs financiers (gestionnaire, comptable).
Employés du service relations clients (chef des ventes, responsable).
Personnel informatique (directeur technique, administrateur système).
Le client, en tant que sujet de données personnelles.
5.2.3.1. La liste des employés de l'Organisation ayant accès aux données personnelles des Clients est déterminée par arrêté du Directeur Général de l'Organisation.
5.2.4. Le traitement des données personnelles du Client peut être effectué exclusivement aux fins établies par le Règlement et le respect des lois et autres actes juridiques réglementaires de la Fédération de Russie.
5.2.5. Pour déterminer le volume et le contenu des données personnelles traitées, l'Organisation est guidée par la Constitution de la Fédération de Russie, la loi sur les données personnelles et d'autres lois fédérales.
5.3. Protection des données personnelles:
5.3.1. La protection des données personnelles du Client signifie un ensemble de mesures (organisationnelles, administratives, techniques, juridiques) visant à empêcher l'accès non autorisé ou accidentel à celles-ci, la destruction, la modification, le blocage, la copie, la diffusion des données personnelles des entités, ainsi que d'autres actions illégales.
5.3.2. La protection des données personnelles du Client est effectuée aux frais de l'Organisation de la manière prescrite par la loi fédérale de la Fédération de Russie.
5.3.3. L'organisation, tout en protégeant les données personnelles des Clients, prend toutes les mesures organisationnelles, administratives, juridiques et techniques nécessaires, notamment:
Protection antivirus.
Analyse de sécurité.
Détection et prévention des intrusions.
Contrôle d'accès.
Enregistrement et comptabilité.
Assurer l'intégrité.
Organisation d'actes locaux normatifs et méthodologiques réglementant la protection des données personnelles.
5.3.4. L'organisation générale de la protection des données personnelles des Clients est assurée par le Directeur Général de l'Organisation.
5.3.5. L'accès aux données personnelles du Client est fourni aux employés de l'Organisation qui ont besoin de données personnelles dans le cadre de l'exercice de leurs fonctions professionnelles.
5.3.6. Tous les employés associés à la réception, au traitement et à la protection des données personnelles des clients sont tenus de signer un accord sur la non-divulgation des données personnelles des clients.
5.3.7. La procédure d'accès aux données personnelles du Client comprend:
Familiarisation du salarié contre signature avec le présent règlement. En présence d'autres actes normatifs (commandes, instructions, instructions, etc.) régissant le traitement et la protection des données personnelles du Client, ces actes sont également revus sous signature.
Demande à l'employé (à l'exception du directeur général) d'une obligation écrite de maintenir la confidentialité des données personnelles des clients et de se conformer aux règles de leur traitement conformément aux réglementations locales internes de l'organisation régissant la sécurité des informations confidentielles.
5.3.8. Un employé de l'Organisation ayant accès aux données personnelles des Clients dans le cadre de l'exercice de ses fonctions:
Fournit le stockage des informations contenant des données personnelles du Client, à l'exclusion de l'accès à des tiers.
En l'absence d'un employé sur son lieu de travail, il ne devrait pas y avoir de documents contenant des données personnelles des clients.
Lorsqu'il part en vacances, lors d'un voyage d'affaires et dans les autres cas d'absence prolongée d'un employé sur son lieu de travail, il est obligé de transférer des documents et autres supports contenant des données personnelles des Clients à une personne qui sera mandatée pour accomplir son acte local de la Société (par commande, commande) tâches.
Si une telle personne n'est pas nommée, les documents et autres supports contenant les données personnelles des Clients sont transférés à un autre employé qui a accès aux données personnelles des Clients comme indiqué par le Directeur général de l'Organisation.
En cas de licenciement d'un employé qui a accès aux données personnelles des clients, les documents et autres supports contenant des données personnelles des clients sont transférés à un autre employé qui a accès aux données personnelles des clients conformément aux instructions du directeur général.
Afin d'accomplir la tâche assignée et sur la base d'une note de service avec une résolution positive du directeur général, l'accès aux données personnelles du client peut être fourni à un autre employé. L'admission aux données personnelles du Client d'autres employés de l'Organisation qui n'ont pas un accès correctement conçu est interdite.
5.3.9. HR Manager fournit:
Familiarisation des employés contre la signature du présent règlement.
Exiger des employés une obligation écrite de maintenir la confidentialité des données personnelles du Client (accord de non-divulgation) et de respecter les règles de leur traitement.
Contrôle général du respect par les employés des mesures de protection des données personnelles du Client.
5.3.10. L'administrateur du système assure la protection des données personnelles des Clients stockées dans les bases de données électroniques de l'Organisation contre tout accès non autorisé, distorsion et destruction d'informations, ainsi que contre d'autres actions illégales.
5.4. Stockage des données personnelles:
5.4.1. Les données personnelles des clients sur papier sont stockées dans des coffres-forts.
5.4.2. Les données personnelles des Clients sont stockées électroniquement dans le réseau informatique local de l'Organisation, dans des dossiers et fichiers électroniques dans les ordinateurs personnels du Directeur Général et des employés autorisés à traiter les données personnelles des Clients.
5.4.3. Les documents contenant des données personnelles des Clients sont stockés dans des casiers (coffres-forts) qui offrent une protection contre les accès non autorisés. À la fin de la journée de travail, tous les documents contenant des données personnelles des clients sont placés dans des armoires (coffres-forts) qui offrent une protection contre les accès non autorisés.
5.4.4. L'accès aux bases de données électroniques contenant les données personnelles des clients est protégé par:
Utilisation de programmes antivirus et anti-piratage sous licence qui n'autorisent pas l'accès non autorisé au réseau local de l'Organisation.
Différenciation des droits d'accès à l'aide d'un compte.
Système de mot de passe en deux étapes: au niveau du réseau informatique local et au niveau de la base de données. Les mots de passe sont définis par l'administrateur système de l'organisation et sont communiqués individuellement aux employés qui ont accès aux données personnelles des clients.
5.4.4.1. L'entrée non autorisée sur le PC, qui contient les données personnelles des clients, est bloquée par un mot de passe défini par l'administrateur système et n'est pas sujette à divulgation.
5.4.4.2. Tous les dossiers et fichiers électroniques contenant des données personnelles des clients sont protégés par un mot de passe, qui est défini par l'employé de l'organisation responsable du PC et communiqué à l'administrateur système.
5.4.4.3. La modification des mots de passe par l'administrateur système s'effectue au moins 1 fois en 3 mois.
5.4.5. La copie et l'extraction des données personnelles du Client sont autorisées uniquement à des fins officielles avec l'autorisation écrite du Directeur général de l'Organisation.
5.4.6. Les réponses aux demandes écrites d'autres organisations et institutions concernant les données personnelles des Clients ne sont données qu'avec le consentement écrit du Client lui-même, sauf disposition contraire de la loi. Les réponses sont faites par écrit, sur papier à en-tête de l'Organisation, et dans la mesure où cela permet de ne pas divulguer la quantité excessive de données personnelles du Client.
6. Blocage, dépersonnalisation, destruction des données personnelles
6.1. La procédure de verrouillage et de déverrouillage des données personnelles:
6.1.1. Le blocage des données personnelles des clients s'effectue sur demande écrite du client.
6.1.2. Le blocage des données personnelles implique:
6.1.2.2. L'interdiction de la diffusion des données personnelles par tous moyens (e-mail, communications mobiles, supports tangibles).
6.1.2.4. La suppression des documents papier liés au Client et contenant ses données personnelles de la gestion interne des documents de l'Organisation et l'interdiction de leur utilisation.
6.1.3. Le blocage des données personnelles du Client peut être temporairement levé s'il est nécessaire de se conformer à la législation de la Fédération de Russie.
6.1.4. Le déverrouillage des données personnelles du Client s'effectue avec son consentement écrit (s'il y a lieu d'obtenir un consentement) ou avec la demande du Client.
6.1.5. Le consentement répété du Client au traitement de ses données personnelles (si nécessaire pour les obtenir) entraîne le déblocage de ses données personnelles.
6.2. La procédure de dépersonnalisation et de destruction des données personnelles:
6.2.1. La dépersonnalisation des données personnelles du Client a lieu sur demande écrite du Client, à condition que toutes les relations contractuelles soient terminées et qu'au moins 5 ans se soient écoulés depuis la date de fin du dernier contrat.
6.2.2. En cas de dépersonnalisation, les données personnelles dans les systèmes d'information sont remplacées par un jeu de caractères, selon lequel il est impossible de déterminer si les données personnelles appartiennent à un client spécifique.
6.2.3. Les documents papier lors de l'anonymisation des données personnelles sont détruits.
6.2.4. L'organisation est tenue d'assurer la confidentialité des données personnelles s'il est nécessaire de tester des systèmes d'information sur le territoire du développeur et d'anonymiser les données personnelles dans les systèmes d'information transmis au développeur.
6.2.5. La destruction des données personnelles du Client implique la résiliation de tout accès aux données personnelles du Client.
6.2.6. Lors de la destruction des données personnelles du Client, les employés de l'Organisation ne peuvent pas accéder aux données personnelles du sujet dans les systèmes d'information.
6.2.7. Les documents papier sont détruits lors de la destruction des données personnelles, les données personnelles dans les systèmes d'information sont dépersonnalisées. Les données personnelles ne peuvent pas être restaurées.
6.2.8. L'opération de destruction des données personnelles est irréversible.
6.2.9. La période après laquelle l'opération de destruction des données personnelles du Client est possible est déterminée par la fin de la période spécifiée à l'article 7.3 du présent Règlement.
7. Transfert et stockage des données personnelles
7.1. Transfert de données personnelles:
7.1.1. Le transfert de données personnelles d'un sujet signifie la diffusion d'informations par des canaux de communication et sur des supports tangibles.
7.1.2. Lors du transfert de données personnelles, les employés de l'Organisation doivent se conformer aux exigences suivantes:
7.1.2.1. Ne divulguez pas les données personnelles du Client à des fins commerciales.
7.1.2.2. Ne divulguez pas les données personnelles du Client à un tiers sans le consentement écrit du Client, à l'exception des cas établis par la loi fédérale de la Fédération de Russie.
7.1.2.3. Avertir les personnes recevant des données personnelles du Client que ces données ne peuvent être utilisées qu'aux fins pour lesquelles elles sont communiquées, et exiger confirmation de ces personnes que cette règle a été respectée;
7.1.2.4. Autoriser l'accès aux données personnelles des Clients uniquement à des personnes spécialement autorisées, alors que ces personnes devraient avoir le droit de recevoir uniquement les données personnelles des Clients qui sont nécessaires pour exécuter des fonctions spécifiques.
7.1.2.5. Effectuer le transfert des données personnelles du Client au sein de l'Organisation conformément au présent Règlement, à la documentation réglementaire et technologique et aux descriptions de poste.
7.1.2.6. Fournir au Client l'accès à ses données personnelles lors de la prise de contact ou lors de la réception d'une demande du Client. L'organisation est tenue d'informer le Client de la disponibilité des données personnelles le concernant, ainsi que de lui donner la possibilité de les connaître dans un délai de dix jours ouvrables à compter du moment du contact.
7.1.2.7. Transférer les données personnelles du Client aux représentants du Client de la manière prescrite par la loi et la documentation réglementaire et technologique et limiter ces informations uniquement aux données personnelles du sujet qui sont nécessaires pour que les représentants spécifiés remplissent leurs fonctions.
7.2. Stockage et utilisation des données personnelles:
7.2.1. Le stockage de données personnelles fait référence à l'existence d'enregistrements dans des systèmes d'information et sur des supports physiques.
7.2.2. Les données personnelles des clients sont traitées et stockées dans les systèmes d'information, ainsi que sur papier dans l'Organisation. Les données personnelles des Clients sont également stockées sous forme électronique: dans le réseau informatique local de l'Organisation, dans des dossiers et fichiers électroniques dans le PC du Directeur Général et des employés autorisés à traiter les données personnelles des Clients.
7.2.3. Le stockage des données personnelles du Client ne peut être effectué plus longtemps que les objectifs de traitement l'exigent, sauf disposition contraire des lois fédérales de la Fédération de Russie.
7.3. Conditions de stockage des données personnelles:
7.3.1. La durée de conservation des contrats civils contenant des données personnelles des Clients, ainsi que liée à leur conclusion, à la signature des documents - 5 ans à compter de la date de résiliation des contrats.
7.3.2. Pendant la période de stockage, les données personnelles ne peuvent pas être anonymisées ou détruites.
7.3.3. Après l'expiration de la période de stockage, les données personnelles peuvent être dépersonnalisées dans les systèmes d'information et détruites sur papier de la manière spécifiée dans le règlement et la législation actuelle de la Fédération de Russie. (Loi annexe sur la destruction des données personnelles)
8. Droits de l'opérateur des données personnelles
L'organisation a le droit:
8.1. Défendez vos intérêts devant les tribunaux.
8.2. Fournir des données personnelles des Clients à des tiers, si la loi applicable l'exige (fiscalité, services répressifs, etc.).
8.3. Refuser de fournir des données personnelles dans les cas prévus par la loi.
8.4. Utiliser les données personnelles du Client sans son consentement, dans les cas prévus par la législation de la Fédération de Russie.
9. Droits du client
Le client a le droit:
9.1. Demander des éclaircissements sur leurs données personnelles, leur blocage ou leur destruction si les données personnelles sont incomplètes, périmées, inexactes, obtenues illégalement ou ne sont pas nécessaires aux fins déclarées du traitement, et prendre les mesures prescrites par la loi pour protéger leurs droits;
9.2. Exiger une liste des données personnelles traitées disponibles dans l'Organisation et la source de leur réception.
9.3. Recevez des informations sur le temps de traitement des données personnelles, y compris le temps de stockage.
9.4. Exiger la notification de toutes les personnes qui ont précédemment reçu des données personnelles incorrectes ou incomplètes sur toutes les exceptions, corrections ou ajouts qui leur ont été apportés.
9.5. Appel à l'organisme autorisé pour la protection des droits des sujets de données personnelles ou dans une procédure judiciaire d'actions illégales ou d'omissions dans le traitement de ses données personnelles.
10. Responsabilité pour violation des règles régissant le traitement et la protection des données personnelles
10.1. Les employés de l'Organisation coupables d'avoir enfreint les règles régissant la réception, le traitement et la protection des données personnelles encourent une responsabilité disciplinaire, administrative, civile ou pénale conformément à la législation en vigueur de la Fédération de Russie et aux actes locaux internes de l'Organisation.
Marina Prokhorova, éditeur de données personnelles
Natalya Samoilova, avocat de la société InfoTehnoProekt
Le cadre juridique qui s'est développé à ce jour dans le domaine du traitement des données personnelles, les documents qui n'ont pas encore été adoptés pour une organisation plus efficace du travail de protection des données personnelles dans les organisations, les aspects techniques de la préparation des systèmes d'information des opérateurs de données personnelles - tels sont les sujets qui ont été récemment abordés dans de nombreux journaux et publications de magazines sur les questions de données personnelles. Dans cet article, je voudrais m'attarder sur un aspect de l'organisation du travail des établissements bancaires et de crédit comme la protection "non technique" des données personnelles traitées dans ces organisations
Commençons par un exemple concret.
Il s'agit d'un contrôle judiciaire de l'affaire relative à la protection des données personnelles, engagée contre Sberbank en juin 2008. L'essence du procès était la suivante. Un accord de garantie a été conclu entre le citoyen et la banque, selon lequel le citoyen a accepté l'obligation d'être responsable envers la banque de l'exécution par l'emprunteur des obligations découlant du contrat de prêt. Ce dernier n'a pas rempli ses obligations dans le délai fixé par le contrat de prêt, des informations sur le garant en tant que client non fiable ont été saisies dans le système d'information automatisé de la banque Stop-list, qui, à son tour, a motivé son refus de lui accorder un prêt. Dans le même temps, la banque n'a même pas informé le citoyen du non-respect par l'emprunteur de ses obligations au titre du contrat de prêt. En outre, l'accord de garantie n'indiquait pas qu'en cas de manquement par l'emprunteur à ses obligations, la banque a le droit de saisir des informations sur le garant dans le système d'information Stop-list. Ainsi, la banque a traité les données personnelles du citoyen en incluant des informations le concernant dans le système d'information Stop List sans son consentement, ce qui viole les exigences de la partie 1 de l'art. 9 de la loi fédérale n ° 152-ФЗ du 27 juillet 2006 "sur les données personnelles", selon laquelle la personne concernée décide de fournir ses données personnelles et accepte leur traitement par sa propre volonté et intérêt. En outre, de la manière prescrite par la partie 1 de l'art. 14 de la même loi, un citoyen a demandé à la banque de lui donner la possibilité de se familiariser avec les informations saisies à son sujet dans le système d'information de la liste d'arrêt, ainsi que de bloquer ces informations et de les détruire. La banque a refusé de satisfaire aux exigences d'un citoyen.
À la suite de l'examen de l'affaire, le tribunal de district de Leninsky de Vladivostok a accordé les réclamations du bureau de Roskomnadzor pour le territoire de Primorsky à la Sberbank de Russie pour la protection des droits violés d'un citoyen et a ordonné à la banque de détruire les informations sur le citoyen du système d'information Stop List.
Comment cet exemple est-il indicatif? Les banques, stockant les données personnelles d'un nombre important de leurs clients, les transfèrent sans hésitation d'une base de données à une autre, le plus souvent informant le sujet des données personnelles à ce sujet, sans oublier l'obtention de son consentement à de telles actions avec ses données personnelles. Bien sûr, la banque a un certain nombre de fonctionnalités, et souvent les données personnelles des clients sont utilisées non seulement pour remplir les accords conclus par la banque, mais aussi pour contrôler le respect par la banque de ses obligations par le client, mais cela signifie que le consentement de leur sujet est déjà requis pour toute manipulation avec des données personnelles .
Difficultés d'interprétation des dispositions
Pourquoi ne pas légaliser toute opération avec des données personnelles? Bien entendu, cela nécessitera très probablement la participation de spécialistes tiers, car même les avocats des services juridiques des grandes banques ne sont des professionnels de premier ordre que dans un certain domaine et doivent se familiariser avec les spécificités du travail dans le domaine des données personnelles pratiquement à partir de zéro. La meilleure solution consiste donc à impliquer les entreprises spécialisées dans la fourniture de services de gestion des données personnelles pour organiser un système de protection des données personnelles, y compris celles capables de réaliser un audit pour déterminer si vos mesures de protection non techniques sont conformes aux exigences du législateur.
Les résultats des études analytiques permettent de conclure que l'interprétation des dispositions de la loi fédérale n ° 152-FZ "sur les données personnelles" pose le plus de difficultés.
Conformément à la partie 1 de l'article 22 du présent document réglementaire, l'opérateur est tenu de notifier à l'organisme habilité le traitement des données personnelles. Parmi les exceptions figure le cas où les données personnelles traitées ont été obtenues dans le cadre de la conclusion d'un accord auquel la personne concernée est partie ... et sont utilisées par l'exploitant uniquement pour exécuter ledit accord sur la base de la clause 2 de la partie 2 de l'article 22 de la loi fédérale n ° 152-ФЗ "О données personnelles. " Sur la base précisément de cette disposition, certaines banques ne signalent pas le traitement des données personnelles et beaucoup ne se considèrent pas comme des opérateurs, ce qui est fondamentalement faux.
En outre, une autre erreur courante des banques en tant qu'opérateurs de données personnelles liées au contrat est la suivante. Selon l'art. 6 de la loi précitée, le traitement des données personnelles peut être effectué par l'opérateur avec le consentement des sujets des données personnelles, à l'exception des cas, parmi lesquels le traitement en vue de l'exécution d'un accord, dont l'un fait l'objet de données personnelles. Par conséquent, de nombreuses institutions bancaires expliquent leur manque de consentement de la personne concernée par le fait de conclure un tel accord.
Mais réfléchissons-y, la banque, en tant qu'opératrice, n'utilise-t-elle pas les données personnelles du sujet obtenues à la conclusion du contrat, par exemple pour envoyer des notifications sur de nouveaux services, pour tenir des «Stop lists»? Cela signifie que le traitement des données personnelles est effectué non seulement aux fins de l'exécution du contrat, mais également à d'autres fins, dont la réalisation présente un intérêt commercial pour les banques, par conséquent:
- les banques sont tenues de soumettre un avis sur le traitement des données personnelles à l'organisme autorisé;
- les banques ne doivent traiter les données personnelles qu'avec le consentement du sujet.
Et cela signifie que les banques doivent organiser un système pour travailler avec les données personnelles de leurs clients, c'est-à-dire assurer une protection non technique de ces données.
Consentement écrit au traitement des données personnelles
En ce qui concerne le consentement des données personnelles soumises au traitement des données personnelles, la loi fédérale n ° 152-ФЗ "sur les données personnelles" exige que les opérateurs n'obtiennent un consentement écrit au traitement des données personnelles que dans les cas prévus par la loi. En même temps, conformément à la partie 3 de l'art. 9 L'obligation de prouver la réception du consentement du sujet au traitement de ses données personnelles incombe à l'opérateur. Afin, si nécessaire, de ne pas perdre de temps à collecter de telles preuves (par exemple, rechercher des témoins), à notre avis, il est préférable dans tous les cas d'obtenir le consentement écrit des sujets.
Voici un autre argument pour le traitement écrit des données personnelles. Souvent, les activités des banques prévoient le transfert de données (y compris personnelles) vers le territoire d'un État étranger. A cette occasion, partie 1 de l'article 12 de la loi fédérale n ° 152-ФЗ "sur les données personnelles" stipule qu'avant de commencer le transfert transfrontalier de données personnelles, l'opérateur doit s'assurer que l'État étranger sur le territoire duquel le transfert de données personnelles est effectué assure une protection adéquate des droits des personnes concernées. Si une telle protection n'est pas assurée, le transfert transfrontalier de données personnelles n'est possible qu'avec le consentement écrit de la personne concernée. On peut supposer qu'il est plus facile pour un employé de banque d'obtenir le consentement écrit du client pour traiter des données personnelles que d'établir le degré d'adéquation de sa protection dans un pays étranger.
Nous attirons votre attention sur le fait que les informations qui doivent être contenues dans le consentement écrit sont répertoriées dans la partie 4 de l'art. 9 de la loi fédérale susmentionnée, et cette liste est exhaustive. Et la signature sous la phrase, par exemple, dans l'accord de prêt: "J'accepte l'utilisation de mes données personnelles", conformément à la loi fédérale n ° 152-ФЗ "sur les données personnelles", n'est pas un consentement à leur traitement!
Il semblerait qu'il n'y ait que quelques points de la loi et combien de complications, jusqu'au litige, peuvent provoquer leur mauvaise interprétation. En outre, aujourd'hui, lorsque les données personnelles des entités deviennent souvent des biens dans la concurrence de diverses structures, la résolution réussie des problèmes de leur protection, en garantissant la sécurité des systèmes d'information des établissements bancaires et de crédit, devient une garantie de maintien de la réputation et du nom honnête de toute organisation.
Chaque jour, la sensibilisation des citoyens aux éventuelles conséquences négatives de la diffusion de leurs données personnelles est renforcée, ce qui est facilité par l'émergence de publications spécialisées. Il existe des ressources d'information de diverses sociétés. Certains d'entre eux dans leur ensemble couvrent un large éventail de questions liées au concept de "sécurité de l'information", d'autres sont consacrés à l'examen des mesures et des moyens de protection technique, tandis que quelqu'un, au contraire, se concentre sur les problèmes liés à la protection non technique. En d'autres termes, les informations sur la protection des données personnelles deviennent plus accessibles, ce qui signifie que les citoyens seront plus avertis dans le domaine de la protection de leurs droits.
contrôle de la mise en œuvre des règles nécessaires. Liste de la littérature utilisée:
1. Loi fédérale sur les banques et les activités bancaires
2. www.Grandars.ru [Ressource électronique] Mode d'accès: http://www.grandars.ru/student/finansy/vozniknovenie-bankov.html (Date d'accès: 05/05/2016)
3. In-bank.ru [Ressource électronique] Mode d'accès: http://journal.ib-bank.ru/post/411 (Date d'accès: 05/05/2016)
Khlestova Daria Robertovna
Courriel: [protégé par e-mail]
PARTICULARITÉS DE PROTECTION DES DONNÉES PERSONNELLES DANS LA SPHÈRE BANCAIRE
Annotation
Cet article présente les caractéristiques de la protection des données personnelles d'un client dans le secteur bancaire. Un certain nombre d'actes réglementaires sont répertoriés sur la base desquels un système de traitement et de protection des données à caractère personnel dans une banque devrait être construit. Une liste de mesures visant à organiser la sécurité des données dans les établissements bancaires a été mise en évidence.
Mots clefs
Données personnelles, sécurité bancaire, sécurité de l'information,
protection des données personnelles
La protection des données personnelles à l'ère des technologies de l'information est devenue particulièrement pertinente. Il y a de plus en plus de cas où les attaquants ont accès à toute information confidentielle en attaquant les systèmes d'information des organisations. Sans aucun doute, les attaques ne contournent pas le secteur bancaire. Étant donné que les systèmes bancaires contiennent un grand nombre de données personnelles sur les clients, leur sécurité devrait être étroitement surveillée par l'État et les propriétaires des établissements de crédit et financiers eux-mêmes.
Pour commencer, il convient de déterminer quelles données personnelles une personne peut devenir disponible à la banque si elle devient son client. Donc, c'est obligatoire: nom, prénom et patronyme; date et lieu de naissance; la citoyenneté lieu d'enregistrement et résidence effective; toutes les données du passeport (série, numéro, quand et par qui le document a été délivré); numéro de téléphone mobile et domicile; lieu de travail, poste occupé. Dans la plupart des cas, les institutions demandent à la personne des informations supplémentaires, mais sans elle, une liste de données qu'une personne fait confiance à la banque est impressionnante. Bien entendu, le client espère que ses données personnelles lors du traitement et du stockage seront protégées de manière fiable.
Afin que les institutions financières et de crédit puissent organiser un système de qualité pour le traitement et la protection des données personnelles, il est nécessaire d'identifier une liste d'actes juridiques sur lesquels la banque devrait s'appuyer lorsqu'elle travaille avec les données personnelles des clients: la Constitution de la Fédération de Russie est le document le plus important du pays; Code du travail de la Fédération de Russie; Code civil et code pénal de la Fédération de Russie; Loi fédérale n ° 152 sur les données personnelles; loi fédérale n ° 149
information, technologie de l'information et protection de l'information »; Loi fédérale n ° 395-1 sur les banques et les activités bancaires. De plus, lors de la création d'un système de traitement et de stockage des données personnelles, les banques créent un certain nombre de documents locaux qui offrent un contrôle supplémentaire sur le travail avec les données.
À la réception de ses données personnelles d'un client, un organisme bancaire assume l'obligation de prendre toutes les mesures organisationnelles et techniques pour protéger les informations qui lui sont confiées contre tout accès non autorisé (accidentel ou intentionnel), bloquer, modifier, détruire et autres actions illégales. Il convient de souligner un certain nombre de mesures pour une organisation de haute qualité du traitement et de la protection des données personnelles dans les banques: la nomination des responsables du traitement et de la sécurité des données dans le système d'information de la banque; mise en œuvre de mesures de contrôle et familiarisation des employés avec le cadre réglementaire et les documents internes pertinents sur lesquels repose le système de sécurité des données de la banque; identification des menaces dans le traitement des données personnelles dans la banque et mesures pour les contrer; évaluation de l'efficacité des mesures organisationnelles et techniques appliquées pour assurer la protection des données, avant la mise en service du système de protection; comptabilité de toutes les machines porteuses de données personnelles; établir des règles d'accès au système de traitement et de protection des salariés; en cas d'accès non autorisé aux données protégées, prendre des mesures pour éliminer la menace et récupérer les données perdues. Et un événement obligatoire pour les banques disposant d'un système existant de stockage et de protection des données personnelles du client est la surveillance et l'amélioration constantes du système de sécurité.
Ainsi, il convient de noter que le traitement, le stockage et la protection des données à caractère personnel dans les banques doivent être effectués sur la base de conditions déterminées par le cadre réglementaire de la Fédération de Russie. Chaque institution financière doit: respecter le principe de légalité dans l'organisation de la protection des données personnelles de ses clients; mettre en œuvre une gamme complète de mesures pour la protection des données organisationnelles et techniques; lors de la création de documents locaux liés à la sécurité des informations, s'appuyer sur les meilleures pratiques russes et internationales dans ce domaine; se conformer à toutes les exigences des autorités réglementaires (FSTEC, Roskomnadzor, FSB) pour assurer la protection des données personnelles des clients.
Liste de la littérature utilisée:
1. Khlestova D.R., Popov K.G. «Sur les aspects juridiques de la protection des données personnelles»
2. Loi fédérale sur les banques et les activités bancaires
3. Banque de Russie [Ressource électronique] Mode d'accès: http://www.cbr.ru/ (Date d'accès: 05.06.2016)
© Khlestova D.R., Popov K.G., 2016
Khlestova Daria Robertovna
Étudiant de 2e année à l'Université de l'Université d'État de Bashkir, Oufa, Russie Courriel: [protégé par e-mail] Popov Kirill Gennadevich Ph.D., professeur agrégé, Département de la sécurité de l'information, BashSU, Ufa, Russie
Courriel: [protégé par e-mail]
L'EXPLORATION COMMERCIALE COMME MOYEN LE PLUS LÉGAL D'OBTENIR DES INFORMATIONS
Annotation
L'article traite des méthodes de business intelligence. Il est également justifié que l'intelligence économique soit une activité légale dans les affaires. Principes de base mis en évidence auxquels vous devez adhérer,
Documents similaires
Cadre juridique pour la protection des données personnelles. Classification des menaces à la sécurité de l'information. Base de données de données personnelles. L'appareil et les menaces du LAN de l'entreprise. Le PC principal de protection matérielle et logicielle. Politique de sécurité de base.
thèse, ajoutée le 10.06.2011
Conditions préalables à la création d'un système de sécurité des données personnelles. Menaces à la sécurité de l'information. Sources d'accès non autorisé à ISPDn. Les systèmes d'information sur les appareils des données personnelles. Outils de sécurité de l'information. Politique de sécurité.
papier à terme, ajouté le 10/07/2016
Analyse de la structure d'un système d'information distribué et des données personnelles qui y sont traitées. Le choix des mesures et moyens de base pour assurer la sécurité des données personnelles contre les menaces actuelles. Déterminer les coûts de création et de support du projet.
thèse, ajoutée le 01/07/2011
Système de contrôle et de gestion des accès dans l'entreprise. Analyse des informations traitées et classification de l'ISPDn. Développement d'un modèle de menaces à la sécurité des données personnelles lors de leur traitement dans le système d'information sur les données personnelles des systèmes de contrôle d'accès de OJSC MMZ.
thèse, ajoutée le 04/11/2012
Description des principales solutions techniques pour équiper un système d'information sur les données personnelles situé dans une salle informatique. Sous-système de protection antivirus. Mesures de préparation à la mise en place d'outils de sécurité de l'information.
papier à terme, ajouté 30/09/2013
Secret et sécurité des informations documentées. Les types de données personnelles utilisées dans les activités de l'organisation. Élaboration d'une législation dans le domaine de leur protection. Méthodes pour assurer la sécurité des informations de la Fédération de Russie.
présentation ajoutée le 15/11/2016
Analyse des risques de sécurité de l'information. Évaluation des remèdes existants et prévus. Un ensemble de mesures organisationnelles pour assurer la sécurité des informations et la protection des informations des entreprises. Exemple de référence de la mise en œuvre du projet et sa description.
thèse, ajoutée le 19.12.2012
Documents réglementaires dans le domaine de la sécurité de l'information en Russie. Analyse des menaces des systèmes d'information. Description de l'organisation du système de protection des données personnelles de la clinique. Mise en place d'un système d'authentification à l'aide de clés électroniques.
thèse, ajoutée le 10.31.2016
Informations générales sur les activités de l'entreprise. Objets de sécurité de l'information dans l'entreprise. Mesures et moyens de protection des informations. Copiez les données sur un support amovible. Installation d'un serveur de sauvegarde interne. L'efficacité de l'amélioration du système de sécurité de l'information.
test, ajouté le 29/08/2013
Principales menaces à l'information. Concepts, méthodes et moyens d'assurer la protection des données. Configuration système requise. Le mécanisme d'autorisation dans l'infobase pour déterminer le type d'utilisateur. L'administrateur travaille avec le système de sécurité.
