» Комментарии Российского законодательства » Комментарий к ФЗ О негосударственных пенсионных фо » Конфиденциальные сведения фонда
На главную

Конфиденциальные сведения фонда

Статья 15. Конфиденциальные сведения фонда
1. Система пенсионных счетов предназначена для учета фондом своих обязательств перед вкладчиками, участниками или застрахованными лицами. Как уже говорилось, в зависимости от обязательств пенсионные счета подразделяются на пенсионные счета негосударственного пенсионного обеспечения, пенсионные счета накопительной части трудовой пенсии, пенсионные счета профессиональных пенсионных систем.
Способ ведения пенсионных счетов должен позволять однозначно идентифицировать гражданина, накопленные фондом на его счету средства пенсионных резервов или средства пенсионных накоплений. Каждый из видов пенсионных счетов содержит свою информацию, необходимую для учета конкретных обязательств. Пенсионный счет негосударственного пенсионного обеспечения содержит информацию о поступивших пенсионных взносах, начисленном доходе, начисленной выплате негосударственных пенсий и выплате выкупных сумм участнику или участникам, а также информацию о начисленных выкупных суммах участнику (участникам) для перевода в другой фонд при расторжении пенсионного договора. Пенсионный счет накопительной части трудовой пенсии содержит сведения, отражающие движение средств пенсионных накоплений, начисление и выплату накопительной части трудовой пенсии застрахованному лицу, а в случае смерти застрахованного лица до ее назначения - выплаты правопреемникам. В пенсионном счете профессиональной пенсионной системы содержатся сведения о поступивших взносах, о начисленном доходе, о движении средств пенсионных накоплений, о начислении и выплате профессиональной пенсии.
Сведения, содержащиеся в пенсионных счетах, содержат персональные данные, т.е. информацию, относящуюся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). фонд при ведении пенсионных счетов обязан обеспечивать конфиденциальность таких данных (не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания).
Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" определены основные принципы работы с персональными данными. Любая работа с персональными данными подразумевает их обработку. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных (ст. 3 вышеуказанного закона). Согласие субъекта персональных данных на обработку персональных данных, осуществляемую в целях исполнения договора, одной из сторон которого является субъект персональных данных, не требуется.
Обработка персональных данных осуществляется на основе следующих принципов:
- законность целей и способов обработки персональных данных и добросовестности;
- соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
- соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
Фонд обязан обеспечивать защиту сведений, полученных в процессе сбора, хранения, передачи и использования сведений, содержащихся в пенсионных счетах негосударственного пенсионного обеспечения, пенсионных счетах накопительной части трудовой пенсии, а также при выплате негосударственной пенсии и накопительной части трудовой пенсии, выплатах (переводе) выкупных сумм и выплатах правопреемникам. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации,
- реализацию права на доступ к информации.
В целях обеспечения защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации фонд принимает локальные нормативные документы, в которых
- устанавливает различные уровни доступа должностных лиц и сотрудников фонда к конфиденциальной информации;
- обеспечивает наличие письменного обязательства должностных лиц и сотрудников фонда о неразглашении конфиденциальной информации;
- ограничивает доступ посторонних лиц в помещения структурных подразделений фонда, предназначенные для ведения пенсионных счетов.
В целях обеспечения конфиденциальности информации фонд обязан обеспечить:
- предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
- своевременное обнаружение фактов несанкционированного доступа к информации;
- предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
- недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
- возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
- постоянный контроль за обеспечением уровня защищенности информации.
Фонд может осуществлять ведение пенсионных счетов самостоятельно или через специальную организацию, с которой заключен договор на оказание услуг по ведению пенсионных счетов. В последнем случае организация осуществляет обработку персональных данных, содержащихся в пенсионных счетах негосударственного пенсионного обеспечения, пенсионных счетах накопительной части трудовой пенсии, а также при выплате негосударственной пенсии и накопительной части трудовой пенсии, выплатах (переводе) выкупных сумм и выплатах правопреемникам. Упоминание о такой организации должно содержаться в правилах фонда и вкладчики, участники и застрахованные лица должны быть уведомлены об этой организации. Информация должна содержать следующие сведения:
- наименование, адрес организации и ее реквизиты;
- цель обработки персональных данных и ее правовое основание;
- предполагаемые пользователи персональных данных;
- права субъекта персональных данных.
Договор, заключаемый фондом и организацией, на оказание услуг по ведению пенсионных счетов должен содержать обязанность обеспечения организацией конфиденциальности персональных данных и безопасности персональных данных при их обработке. Это является существенным условием договора.
Вкладчики, участники и застрахованные лица имеют право на получение информации о состоянии своего пенсионного счета. Праву на получение информации сопутствует обязанность фонда, как оператора, получившего доступ к персональным данным, предоставить такую информацию бесплатно.
Фонд также предоставляет информацию, содержащуюся в пенсионном счете, в случае получения письменного запроса от заинтересованного лица. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.
2. Персональные данные, содержащиеся в пенсионных счетах, могут быть переданы третьим лицам только по требованию следственных, судебных, налоговых органов и уполномоченного федерального органа в установленных законодательством Российской Федерации случаях.
Например, ФСФР России получает доступ к сведениям, содержащимся в пенсионных счетах, при проведении проверок в соответствии с приказом ФСФР России от 13 ноября 2007 г. N 07-108/пз-н "Об утверждении Положения о проведении проверок организаций, осуществление контроля и надзора за которыми возложено на Федеральную службу по финансовым рынкам" (далее - приказ ФСФР России "Об утверждении Положения о проведении проверок организаций, осуществление контроля и надзора за которыми возложено на Федеральную службу по финансовым рынкам"). При проведении проверки инспекторы ФСФР России имеют право:
- при предъявлении служебного удостоверения находиться на территории, в административных зданиях и служебных помещениях организации;
- вносить, выносить и пользоваться собственными организационно-техническими средствами, в том числе компьютерами, калькуляторами, телефонами;
- требовать и получать все необходимые для достижения целей проверки документы (справки, письменные объяснения и другие);
- требовать и получать копии документов в бумажном и/или электронном виде и после надлежащего их оформления приобщать к материалам проверки (письменные копии документов на бумажных носителях должны быть сшиты, пронумерованы, подписаны уполномоченным лицом и скреплены печатью организации);
- требовать и получать доступ к информационным ресурсам автоматизированных систем, используемых в деятельности организации, в режиме "только для чтения", документации на используемые автоматизированные системы, а также письменные или устные разъяснения по вопросам, связанным с их разработкой, внедрением, стандартизацией и эксплуатацией;
- требовать и получать устные разъяснения по существу проверяемых вопросов.
Налоговые органы при проведении проверок при предъявлении служебного удостоверения также имеют доступ к любой информации, относящейся к предмету проверки.
Федеральными законами могут быть установлены и другие лица, по требованию которых фонд обязан предоставить информацию, относящуюся к персональным данным. Например, Федеральный закон от 17 января 1992 г. N 2202-I "О прокуратуре Российской Федерации" устанавливает права прокурора при осуществлении надзора за соблюдением прав и свобод человека и гражданина:
- по предъявлении служебного удостоверения беспрепятственно входить на территорию и в помещения проверяемых организаций, иметь доступ к их документам и материалам, проверять исполнение законов в связи с поступившей в органы прокуратуры информацией о фактах нарушения закона;
- требовать от руководителей и других должностных лиц представления необходимых документов, материалов, статистических и иных сведений; выделения специалистов для выяснения возникших вопросов; проведения проверок по поступившим в органы прокуратуры материалам и обращениям, ревизий деятельности подконтрольных или подведомственных им организаций;
- вызывать должностных лиц и граждан для объяснений по поводу нарушений законов.
3. В случае ведения пенсионных счетов организациями, на основании заключенного договора, на них распространяются обязанности и права фонда, связанные с режимом ведения пенсионных счетов и обеспечением конфиденциальности информации и персональных данных. Организации обязаны принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
В случае поступления запроса субъекта персональных данных о неправомерных действиях фонда (организации) с персональными данными фонд (организация) обязаны заблокировать соответствующие персональные данные с момента такого обращения или получения такого запроса на период проверки. Фонд (организация) в срок, не превышающий трех рабочих дней с даты выявления нарушения, обязан их устранить. В случае невозможности устранения допущенных нарушений в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, персональные данные уничтожаются. Об устранении допущенных нарушений или об уничтожении персональных данных фонд (организация) уведомляют субъекта персональных данных или его законного представителя.
Фонд (организация) обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
- подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
- способы обработки персональных данных, применяемые оператором;
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

Комментарии Российского законодательства / Комментарий к ФЗ О негосударственных пенсионных фо

Похожее

Предыдущая публикация Следующая публикация