Соблюдение законодательства о персональных данных в страховых компаниях.
Лигал Сервис Групп Основные положения Обязанности страховщика: зарегистрироваться в реестре субъектов персональных данных (за некоторым исключением); уведомлять об изменениях (10 рабочих дней); назначить лицо, ответственное за организацию обработки ПД (осуществление внутреннего контроля, ознакомление сотрудников с требованиями закона, обработка запросов субъектов ПД); принять меры, направленные на обеспечение соблюдения закона (ст. 18 Закона 152-ФЗ), в том числе разработать и обеспечить доступ к политике в отношении обработки ПД; принять меры по обеспечению безопасности ПД при их обработке (определение уровня угроз безопасности, применение средств защиты, установление правил доступа к ПД, пр. согласно ст. 19 Закона 152-ФЗ).
-обработка, в том числе хранение должна ограничиваться целями и не дольше, чем этого требуют цели обработки ПД; -обработка ПД осуществляется с согласия субъекта или -для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект является выгодоприобретателем или поручителем; -заключение договоров страхования посредниками, страхователями (при групповых схемах) – кто оператор? Лигал Сервис Групп Соблюдение законодательства на стадии заключения договора
Лигал Сервис Групп Согласие на обработку персональных данных -форма согласия – конкретное, информированное и сознательное, в любой форме, позволяющей подтвердить факт его получения; -обязанность предоставить доказательство получения согласия (иных оснований) лежит на операторе; -письменное согласие в случаях, требующихся законом: -трансграничная передача в определенные государства, -о состоянии здоровья (искл. – обработка в соответствии с законодательством об обязательных видах страхования и со страховым законодательством).
передача ПД третьим лицам (колл-центры, урегулирование убытков) на основании договора с положениями, обеспечивающими защиту ПД; передача третьим лицам – предоставление ПД, которое включается в обработку. обработка в целях исполнения допускается без согласия. Но продление договоров через колл-центры, пр. вряд ли могут быть отнесены к обработке в целях исполнения договора. в таких случаях требуется указывать наименование компаний, которым передаются информация и получать письменное согласие. Лигал Сервис Групп Соблюдение законодательства при исполнении договора страхования
Лигал Сервис Групп -необходимо получение согласия лиц, которые не являются стороной, выгодоприобретателем – застрахованные лица, допущенные к управлению, контактные лица (ответственные за исполнение обязательств по договору); -в групповых договорах – можно ли хранить согласия у страхователя и обязать его представлять их в случае запросов страховщика? -онлайн продажи, директ маркетинг – достаточно ли включить в полис или правила положения, что оплата премии является подтверждением? Что такое инициатива субъекта ПД? Спорные вопросы
ст КоАП «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)» – Штраф на должностных лиц до руб., на юр лиц – – руб. Планируются изменения: штраф до руб. Роскомнадзор получит право самостоятельно составлять акты по нарушениям (сейчас прокуратура); ст КоАП «Непредставление сведений (информации)» - штраф на юр лиц от до руб. – непредставление/несвоевременное представление уведомления для регистрации в реестре субъектов ПД/сведений об изменении информации, содержащейся в уведомлении. Лигал Сервис Групп Ответственность за нарушение законодательства
Лигал Сервис Групп Рекомендации Провести своими силами или силами сторонних консультантов аудит: наличия требующихся локальных нормативных актов и ответственного сотрудника; наличия регистрации в реестре операторов субъектов ПД; соблюдения законодательства при осуществлении страхования (наличие согласий, соответствие форм согласий требованиям законодательства); наличия требующихся положений в договорах с контрагентами (партнерами, посредниками, колл-центрами и пр.); соблюдения требований обеспечения безопасности при обработке ПД (ФСТЭК). Принять меры для приведения деятельности в соответствие с требованиями законодательства, а также для недопущения нарушений в будущем.
Лигал Сервис Групп Спасибо за внимание!