Передача персональных данных в медицинской сфере (бюджетные и частные больницы)
05.04.2020
Разработка документов по персональным данным при бухгалтерии на аутсорсе
08.04.2020
Показать все

Порядок действий в ситуации, когда субъект персональных данных не заполнял форму на сайте

Банк через интернет-сайт (веб-форма) принимает заявки на кредит. В данной заявке указываются персональные данные субъектов, которые либо уже являются клиентами банка, либо на момент подачи заявки еще не являются клиентами (потенциальные клиенты). При направлении заявки в банк, субъект ПДн в веб-форме указывает согласие на обработку данных. При этом, на данном этапе взаимодействия банк не может удостовериться, что заявка и согласие исходят от самого субъекта ПДн. (Подробнее об адаптации сайта к обработке персональных данных.)

Вопрос: Существует ли риск санкций со стороны Роскомнадзора, в случае, если персональные данные и согласие на обработку персональных данных были предоставлены не субъектом ПДн, а злоумышленником. Банк звонит субъекту ПДн уточнить что-то в заявке, субъектов ПДн в шоке, после чего субъект направляет в Роскомнадзор жалобу, что он не давал согласие на обработку персональных данных?

В рассматриваемой ситуации Банк является оператором и несет ответственность за обработку персональных данных в соответствии с действующим законодательством.

В обязанности оператора при сборе персональных данных (ПД) в том числе посредством информационно-телекоммуникационной сети «Интернет», входит обеспечение записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечения персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в Законе о персональных данных № 152-ФЗ.

Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом, самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей.

К таким мерам могут, в частности, относиться:

  • назначение оператором ответственного за организацию обработки ПД;
  • издание документов, определяющих политику в отношении обработки ПД, локальных актов;
  • применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
  • осуществление внутреннего контроля;
  • оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о ПД;
  • ознакомление работников оператора, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

Также на оператора возложены обязанности принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Таким образом, оператор — Банк несет ответственность за обработку, хранение, изменения и уничтожение ПД.

В случае получения жалобы, Роскомнадзор запросит документы на проверку, а Банк обязан предоставить их для проверки. Такими документами могут быть:

  • Политика обработки ПД,
  • Пользовательское соглашение,
  • Локальные нормативные акты Банка:
    • приказ об утверждении Политики,
    • приказ о назначении ответственного за сбор и хранение ПД,
    • приказ о назначении ответственного за техническое сопровождение программ и другие.

После рассмотрения которых будет принято решение — виновен Банк в данной ситуации или нет.

Поэтому составление и детальное описание действий и целей для которых берутся персональные данные в Политике обработки ПД является важным, как и наличие локальных нормативных актов.

Во избежание санкций в отношении Банка необходимо проработать порядок принятия ПД от обращающегося в Банк, установить на сайте программное обеспечение, которое к примеру позволит зарегистрироваться и /или оставить заявку только введя код-пароль, который будет выслан на номер телефона или электронную почту заполняющего заявку. Таким образом, в случае не подтверждения, заявка автоматически аннулируется и данные не поступят в базу оператора, соответственно ответственности оператор нести не будет.

Что касается кода-пароля, отправленного на номер телефона или электронную почту, эти данные могут быть также предоставлены не носителем ПД, а это также является преступными действиями, которые могут расцениваться как мошеннические и соответственно попадают под действие Уголовного кодекса РФ.

Но поскольку в вопросе указано, что предоставлен телефон носителя ПД, то в данном случае Банк должен технически обезопасить своих будущих клиентов и себя от подобного рода действий. Иначе Банк рискует быть привлеченным к ответственности.

Так же обращаем внимание, что Вы всегда можете записаться на консультацию в форме ниже.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *