"Положение о требованиях, предъявляемых к организации обработки и защиты персональных данных специализированными организациями в связи с оказанием ими услуг ликвидируемым кредитным организациям" (утв. решением Правления ГК "Агентство по страхованию вкладов" от 03.04.2014, протокол N 40)

Утверждено

решением Правления

Государственной корпорации

"Агентство по страхованию вкладов"

от 3 апреля 2014 г. (протокол N 40)

ПОЛОЖЕНИЕ

О ТРЕБОВАНИЯХ, ПРЕДЪЯВЛЯЕМЫХ К ОРГАНИЗАЦИИ ОБРАБОТКИ

И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СПЕЦИАЛИЗИРОВАННЫМИ

ОРГАНИЗАЦИЯМИ В СВЯЗИ С ОКАЗАНИЕМ ИМИ УСЛУГ

ЛИКВИДИРУЕМЫМ КРЕДИТНЫМ ОРГАНИЗАЦИЯМ

1. Общие положения

1.1. Настоящим Положением определяются требования, предъявляемые к организации обработки и защиты персональных данных специализированными организациями в связи с оказанием ими услуг ликвидируемым кредитным организациям (далее - ПДн), конкурсным управляющим (ликвидатором) которыми является Государственная корпорация "Агентство по страхованию вкладов" (далее - Агентство), а именно:

дополнительные требования (критерии), предъявляемые к специализированным организациям в ходе конкурсного отбора и оценки, осуществляемые согласно Положению о проведении отбора специализированных организаций на право оказания услуг при ликвидации кредитных организаций, утвержденному решением Правления Агентства от 6 июня 2013 г. (протокол N 34) (далее - Положение об отборе);

требования к договору об оказании услуг, заключаемому между ликвидируемой кредитной организацией и специализированной организацией - победителем отбора аккредитованных при Агентстве специализированных организаций.

1.2. Настоящее Положение утверждено во исполнение Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о ПДн), принятых в соответствии с ним нормативных правовых актов Российской Федерации, а также внутренних регулятивных документов Агентства.

1.3. Действие настоящего Положения не распространяется на отбор:

специализированных организаций, осуществляемый по номинации "Упорядочение архивных документов ликвидируемых кредитных организаций", предусмотренной Положением об отборе;

специализированных организаций, с которыми заключаются договоры о передаче документов на хранение.

2. Дополнительные требования, предъявляемые

к специализированным организациям

2.1. Специализированная организация, участвующая в конкурсном отборе на право заключения с Агентством договора о взаимодействии, целью которого является аккредитация специализированной организации при Агентстве, прилагает к заявке на участие в указанном отборе:

1) обязательство, в случае заключения со специализированной организацией договора на оказание услуг ликвидируемой кредитной организации, предусматривающего обработку специализированной организацией ПДн (далее - Обязательство):

а) по своевременному уведомлению уполномоченного органа по защите прав субъектов ПДн о своем намерении осуществлять обработку переданных ей ПДн. Данное требование не предъявляется, если специализированная организация выразила готовность обрабатывать ПДн только без использования средств автоматизации и (или) в иных случаях, названных в части 2 статьи 22 Закона о ПДн;

б) по применению в качестве оператора ПДн в ходе обработки ПДн и для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн и от иных неправомерных действий в отношении ПДн необходимых правовых, организационных и технических мер, соответствующих требованиям Закона о ПДн и принятых, в соответствии с ним, нормативных правовых актов Российской Федерации, в частности:

постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (в случае готовности специализированной организации обрабатывать ПДн в информационных системах);

приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн" (в случае готовности специализированной организации обрабатывать ПДн в информационных системах);

постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

2) составленную в свободной форме справку (далее - Справка) о готовности либо неготовности специализированной организации:

а) обрабатывать в информационных системах ПДн данные более чем 100 000 субъектов ПДн, не являющихся работниками специализированной организации, и обрабатывать ПДн без использования средств автоматизации;

б) обрабатывать в информационных системах ПДн данные менее 100 000 субъектов ПДн, не являющихся работниками специализированной организации, и обрабатывать ПДн без использования средств автоматизации;

в) в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" обеспечивать первый, второй либо третий уровень защищенности ПДн (при обработке ПДн в информационных системах);

г) обрабатывать ПДн только без использования средств автоматизации;

д) обрабатывать специальные ПДн.

2.2. Положения, содержащиеся в подпунктах 1 и 2 пункта 2.1 настоящего Положения, включаются в договор о взаимодействии, заключаемый в соответствии с Положением об отборе, если оказание услуг специализированной организацией ликвидируемой кредитной организации связано с обработкой ПДн.

В договор о взаимодействии с аккредитованной специализированной организацией также включается требование об обязательстве указанной организации незамедлительно уведомлять Агентство об изменении данных ранее представленных в Обязательстве и Справке.

2.3. В ходе проведения отбора аккредитованных при Агентстве специализированных организаций при возникновении необходимости их привлечения для оказания услуг кредитным организациям соответствующей конкурсной комиссией принимаются во внимание данные, указанные в Обязательстве и Справке.

3. Требования, предъявляемые к договору об оказании услуг

специализированной организацией

3.1. В заключаемом договоре, в соответствии с Положением о проведении отбора об оказании услуг специализированной организацией, предусматривающего обработку специализированной организацией ПДн (далее - Договор), должны:

1) содержаться перечень действий (операций) с ПДн, которые будут совершаться специализированной организацией, а также цели обработки ПДн;

2) устанавливаться обязательства специализированной организации:

а) по соблюдению конфиденциальности ПДн и обеспечению безопасности ПДн при их обработке;

б) своевременному направлению в уполномоченный орган по защите прав субъектов ПДн (далее - уполномоченный орган) уведомления о своем намерении осуществлять обработку ПДн, которые будут переданы ей ликвидируемой кредитной организацией (данное обязательство и иные содержащиеся в настоящем подпункте положения не включаются в Договор в названных в подпункте "а" подпункта 1 пункта 2.1 настоящего Положения случаях, когда указанное уведомление не направляется).

При этом в Договор включаются:

положения, устанавливающие срок, в течение которого специализированная организация обязана направить названное уведомление в уполномоченный орган и проинформировать об этом ликвидируемую кредитную организацию, предоставив в ликвидируемую кредитную организацию заверенную руководителем специализированной организации копию названного уведомления;

обязанность специализированной организации приступить к обработке ПДн только после направления названного уведомления в уполномоченный орган;

положения о праве ликвидируемой кредитной организации без применения к ней каких-либо санкций расторгнуть Договор в одностороннем порядке в случае неисполнения специализированной организацией обязательств, указанных в настоящем подпункте (в том числе в случае направления в уполномоченный орган уведомления, не соответствующего требованиям Закона о ПДн), а также об ответственности специализированной организации за такое неисполнение, предусмотренной подпунктами "а" и "б" подпункта 5 пункта 3.3 настоящего Положения;

в) соблюдению требований к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о ПДн, в том числе:

применять в качестве оператора ПДн в ходе обработки ПДн и для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн и от иных неправомерных действий в отношении ПДн необходимые правовые, организационные и технические меры, соответствующие требованиям Закона о ПДн и принятых в соответствии с ним нормативных правовых актов Российской Федерации, в частности:

постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (включается в Договор в случаях обработки ПДн в информационных системах);

приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн" (включается в Договор случаях обработки ПДн в информационных системах);

постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

г) при обработке ПДн, полученных не от субъектов ПДн, сообщать до начала обработки ПДн субъектам ПДн информацию, предусмотренную частью 3 статьи 18 Закона о ПДн, за исключением случаев, изложенных в части 4 статьи 18 Закона о ПДн.

3.2. В Договоре должны содержаться данные о лице, являющемся ответственным за организацию обработки ПДн в специализированной организации, его контактные телефоны, а также положение о том, что, в случае изменения контактных данных (в том числе номеров телефонов) указанного лица, назначения нового лица, ответственного за организацию обработки ПДн, специализированная организация должна в письменной форме и в трехдневный срок уведомить об этом ликвидируемую кредитную организацию.

3.3. В Договор включаются положения:

1) об обязанностях специализированной организации:

своевременно уничтожить ПДн в связи с окончанием их обработки и уведомить об этом ликвидируемую кредитную организацию;

предоставлять ликвидируемой кредитной организации необходимую информацию для подготовки ответа на запрос субъекта ПДн об обрабатываемых ПДн, обеспечивать по поручению ликвидируемой кредитной организации ознакомление субъекта ПДн с его ПДн;

следовать предписаниям ликвидируемой кредитной организации по исполнению обязанностей, предусмотренных Законом о ПДн;

2) о праве ликвидируемой кредитной организации осуществлять контроль за соблюдением специализированной организацией требований законодательства о ПДн в связи с исполнением Договора;

3) об ответственности специализированной организации перед ликвидируемой кредитной организацией, предусматривающей возмещение ликвидируемой кредитной организацией имущественного и морального вреда, а также понесенных убытков, причиненных вследствие нарушения специализированной организацией правил обработки и требований к защите ПДн, включая штрафные санкции, налагаемые на ликвидируемую кредитную организацию государственными органами;

4) о том, что если деятельность специализированной организации в ходе исполнения договора по каким-либо причинам перестанет отвечать требованиям, установленным законодательством Российской Федерации в отношении обработки и защиты ПДн, такая организация незамедлительно информирует об этом ликвидируемую кредитную организацию с указанием причин произошедшего и сроков устранения возникших несоответствий (нарушений), а также прекращает (приостанавливает) обработку ПДн;

5) о праве ликвидируемой кредитной организации в одностороннем порядке расторгнуть Договор без применения к ней каких-либо санкций в случае существенного нарушения специализированной организацией в ходе исполнения Договора законодательства о ПДн и невозможности устранения такого нарушения в разумные сроки.

При этом в Договор включаются:

а) обязательство специализированной организации возместить ликвидируемой кредитной организации причиненные убытки в случае расторжения Договора по названному в настоящем подпункте основанию;

б) положение о штрафной неустойке, выплачиваемой специализированной кредитной организацией ликвидируемой кредитной организации в случае расторжения Договора по названному в настоящем подпункте основанию.