Положение о требованиях, предъявляемых к организации обработки и защиты персональных данных специализированными организациями в связи с оказанием ими услуг ликвидируемым кредитным организациям (утв. решением Правления ГК Агентство по страхованию вкладов от 03.04.2014, протокол N 40)

Утверждено
решением Правления
Государственной корпорации
"Агентство по страхованию вкладов"
от 3 апреля 2014 г. (протокол N 40)
ПОЛОЖЕНИЕ
О ТРЕБОВАНИЯХ, ПРЕДЪЯВЛЯЕМЫХ К ОРГАНИЗАЦИИ ОБРАБОТКИ
И ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ СПЕЦИАЛИЗИРОВАННЫМИ
ОРГАНИЗАЦИЯМИ В СВЯЗИ С ОКАЗАНИЕМ ИМИ УСЛУГ
ЛИКВИДИРУЕМЫМ КРЕДИТНЫМ ОРГАНИЗАЦИЯМ
1. Общие положения
1.1. Настоящим Положением определяются требования, предъявляемые к организации обработки и защиты персональных данных специализированными организациями в связи с оказанием ими услуг ликвидируемым кредитным организациям (далее - ПДн), конкурсным управляющим (ликвидатором) которыми является Государственная корпорация "Агентство по страхованию вкладов" (далее - Агентство), а именно:
дополнительные требования (критерии), предъявляемые к специализированным организациям в ходе конкурсного отбора и оценки, осуществляемые согласно Положению о проведении отбора специализированных организаций на право оказания услуг при ликвидации кредитных организаций, утвержденному решением Правления Агентства от 6 июня 2013 г. (протокол N 34) (далее - Положение об отборе);
требования к договору об оказании услуг, заключаемому между ликвидируемой кредитной организацией и специализированной организацией - победителем отбора аккредитованных при Агентстве специализированных организаций.
1.2. Настоящее Положение утверждено во исполнение Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о ПДн), принятых в соответствии с ним нормативных правовых актов Российской Федерации, а также внутренних регулятивных документов Агентства.
1.3. Действие настоящего Положения не распространяется на отбор:
специализированных организаций, осуществляемый по номинации "Упорядочение архивных документов ликвидируемых кредитных организаций", предусмотренной Положением об отборе;
специализированных организаций, с которыми заключаются договоры о передаче документов на хранение.
2. Дополнительные требования, предъявляемые
к специализированным организациям
2.1. Специализированная организация, участвующая в конкурсном отборе на право заключения с Агентством договора о взаимодействии, целью которого является аккредитация специализированной организации при Агентстве, прилагает к заявке на участие в указанном отборе:
1) обязательство, в случае заключения со специализированной организацией договора на оказание услуг ликвидируемой кредитной организации, предусматривающего обработку специализированной организацией ПДн (далее - Обязательство):
а) по своевременному уведомлению уполномоченного органа по защите прав субъектов ПДн о своем намерении осуществлять обработку переданных ей ПДн. Данное требование не предъявляется, если специализированная организация выразила готовность обрабатывать ПДн только без использования средств автоматизации и (или) в иных случаях, названных в части 2 статьи 22 Закона о ПДн;
б) по применению в качестве оператора ПДн в ходе обработки ПДн и для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн и от иных неправомерных действий в отношении ПДн необходимых правовых, организационных и технических мер, соответствующих требованиям Закона о ПДн и принятых, в соответствии с ним, нормативных правовых актов Российской Федерации, в частности:
постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (в случае готовности специализированной организации обрабатывать ПДн в информационных системах);
приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн" (в случае готовности специализированной организации обрабатывать ПДн в информационных системах);
постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
2) составленную в свободной форме справку (далее - Справка) о готовности либо неготовности специализированной организации:
а) обрабатывать в информационных системах ПДн данные более чем 100 000 субъектов ПДн, не являющихся работниками специализированной организации, и обрабатывать ПДн без использования средств автоматизации;
б) обрабатывать в информационных системах ПДн данные менее 100 000 субъектов ПДн, не являющихся работниками специализированной организации, и обрабатывать ПДн без использования средств автоматизации;
в) в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" обеспечивать первый, второй либо третий уровень защищенности ПДн (при обработке ПДн в информационных системах);
г) обрабатывать ПДн только без использования средств автоматизации;
д) обрабатывать специальные ПДн.
2.2. Положения, содержащиеся в подпунктах 1 и 2 пункта 2.1 настоящего Положения, включаются в договор о взаимодействии, заключаемый в соответствии с Положением об отборе, если оказание услуг специализированной организацией ликвидируемой кредитной организации связано с обработкой ПДн.
В договор о взаимодействии с аккредитованной специализированной организацией также включается требование об обязательстве указанной организации незамедлительно уведомлять Агентство об изменении данных ранее представленных в Обязательстве и Справке.
2.3. В ходе проведения отбора аккредитованных при Агентстве специализированных организаций при возникновении необходимости их привлечения для оказания услуг кредитным организациям соответствующей конкурсной комиссией принимаются во внимание данные, указанные в Обязательстве и Справке.
3. Требования, предъявляемые к договору об оказании услуг
специализированной организацией
3.1. В заключаемом договоре, в соответствии с Положением о проведении отбора об оказании услуг специализированной организацией, предусматривающего обработку специализированной организацией ПДн (далее - Договор), должны:
1) содержаться перечень действий (операций) с ПДн, которые будут совершаться специализированной организацией, а также цели обработки ПДн;
2) устанавливаться обязательства специализированной организации:
а) по соблюдению конфиденциальности ПДн и обеспечению безопасности ПДн при их обработке;
б) своевременному направлению в уполномоченный орган по защите прав субъектов ПДн (далее - уполномоченный орган) уведомления о своем намерении осуществлять обработку ПДн, которые будут переданы ей ликвидируемой кредитной организацией (данное обязательство и иные содержащиеся в настоящем подпункте положения не включаются в Договор в названных в подпункте "а" подпункта 1 пункта 2.1 настоящего Положения случаях, когда указанное уведомление не направляется).
При этом в Договор включаются:
положения, устанавливающие срок, в течение которого специализированная организация обязана направить названное уведомление в уполномоченный орган и проинформировать об этом ликвидируемую кредитную организацию, предоставив в ликвидируемую кредитную организацию заверенную руководителем специализированной организации копию названного уведомления;
обязанность специализированной организации приступить к обработке ПДн только после направления названного уведомления в уполномоченный орган;
положения о праве ликвидируемой кредитной организации без применения к ней каких-либо санкций расторгнуть Договор в одностороннем порядке в случае неисполнения специализированной организацией обязательств, указанных в настоящем подпункте (в том числе в случае направления в уполномоченный орган уведомления, не соответствующего требованиям Закона о ПДн), а также об ответственности специализированной организации за такое неисполнение, предусмотренной подпунктами "а" и "б" подпункта 5 пункта 3.3 настоящего Положения;
в) соблюдению требований к защите обрабатываемых персональных данных в соответствии со статьей 19 Закона о ПДн, в том числе:
применять в качестве оператора ПДн в ходе обработки ПДн и для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн и от иных неправомерных действий в отношении ПДн необходимые правовые, организационные и технические меры, соответствующие требованиям Закона о ПДн и принятых в соответствии с ним нормативных правовых актов Российской Федерации, в частности:
постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (включается в Договор в случаях обработки ПДн в информационных системах);
приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн" (включается в Договор случаях обработки ПДн в информационных системах);
постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
г) при обработке ПДн, полученных не от субъектов ПДн, сообщать до начала обработки ПДн субъектам ПДн информацию, предусмотренную частью 3 статьи 18 Закона о ПДн, за исключением случаев, изложенных в части 4 статьи 18 Закона о ПДн.
3.2. В Договоре должны содержаться данные о лице, являющемся ответственным за организацию обработки ПДн в специализированной организации, его контактные телефоны, а также положение о том, что, в случае изменения контактных данных (в том числе номеров телефонов) указанного лица, назначения нового лица, ответственного за организацию обработки ПДн, специализированная организация должна в письменной форме и в трехдневный срок уведомить об этом ликвидируемую кредитную организацию.
3.3. В Договор включаются положения:
1) об обязанностях специализированной организации:
своевременно уничтожить ПДн в связи с окончанием их обработки и уведомить об этом ликвидируемую кредитную организацию;
предоставлять ликвидируемой кредитной организации необходимую информацию для подготовки ответа на запрос субъекта ПДн об обрабатываемых ПДн, обеспечивать по поручению ликвидируемой кредитной организации ознакомление субъекта ПДн с его ПДн;
следовать предписаниям ликвидируемой кредитной организации по исполнению обязанностей, предусмотренных Законом о ПДн;
2) о праве ликвидируемой кредитной организации осуществлять контроль за соблюдением специализированной организацией требований законодательства о ПДн в связи с исполнением Договора;
3) об ответственности специализированной организации перед ликвидируемой кредитной организацией, предусматривающей возмещение ликвидируемой кредитной организацией имущественного и морального вреда, а также понесенных убытков, причиненных вследствие нарушения специализированной организацией правил обработки и требований к защите ПДн, включая штрафные санкции, налагаемые на ликвидируемую кредитную организацию государственными органами;
4) о том, что если деятельность специализированной организации в ходе исполнения договора по каким-либо причинам перестанет отвечать требованиям, установленным законодательством Российской Федерации в отношении обработки и защиты ПДн, такая организация незамедлительно информирует об этом ликвидируемую кредитную организацию с указанием причин произошедшего и сроков устранения возникших несоответствий (нарушений), а также прекращает (приостанавливает) обработку ПДн;
5) о праве ликвидируемой кредитной организации в одностороннем порядке расторгнуть Договор без применения к ней каких-либо санкций в случае существенного нарушения специализированной организацией в ходе исполнения Договора законодательства о ПДн и невозможности устранения такого нарушения в разумные сроки.
При этом в Договор включаются:
а) обязательство специализированной организации возместить ликвидируемой кредитной организации причиненные убытки в случае расторжения Договора по названному в настоящем подпункте основанию;
б) положение о штрафной неустойке, выплачиваемой специализированной кредитной организацией ликвидируемой кредитной организации в случае расторжения Договора по названному в настоящем подпункте основанию.

Еще документы:

(утв. Банком России 28.12.2015 N 525-П) (Зарегистрировано в Минюсте России 01.02.2016 N 40910)
(утв. Банком России 29.12.2010 N 364-П) (ред. от 28.08.2012) (вместе с "Порядком обеспечения информационной безопасности при использовании СКЗИ", "Порядком формирования сводного архивного файла территориального учреждения") (Зарегистрировано в Минюсте России 11.02.2011 N 19815) (с изм. и доп., вступающими в силу с 01.12.2012)