Персональные данные в негосударственных пенсионных фондах

Когда речь идет о проектах, связанных с приведением порядка обработки персональных данных в соответствие с федеральным законодательством, очень часто приходится слышать мнение, что дело это простое, шаблонное, думать особо не надо, требования закона одни для всех и т.д. То есть, проблем нет – взял в интернете любой шаблон, подставил нужное название – и все дела. С результатами такого подхода мы сталкивались не раз, когда после прочтения документов, уже имеющихся у клиентов и сделанных весьма солидными компаниями понять, чем занимается оператор, чьи данные, и зачем он обрабатывает, было абсолютно нельзя. Ну, когда торчат ушки другого заказчика, это понятно, тут и обсуждать нечего. А вот когда при всем желании нельзя определить, для кого написаны положение и политика – для банка, провайдера вычислительных услуг или трубного завода – случай уже клинический, хотя и не редкий.

Так получилось, что за прошедший год наше агентство сделало несколько проектов для негосударственных пенсионных фондов, промежуточным итогом которых стало участие в подготовке изменений законодательства, о котором я писал.

На примере этих проектов как раз и можно разобраться, насколько такая работа шаблонна, и чем один проект отличается от другого.

Первая и главнейшая задача – выявить все категории субъектов, чьи данные необходимы фонду для выполнения своих функций в соответствии с законом. В дополнение к традиционным категориям, характерным для каждого из операторов – работникам (в том числе бывшим), соискателям вакантных должностей, представителям контрагентов и посетителям  добавляются весьма специфические группы: вкладчики и участники фонда (а это не всегда одно и то же), застрахованные лица, заключившие договора об обязательном пенсионном страховании, и лица, в пользу которых заключены договора о создании профессиональной пенсионной системы, правопреемники участников фонда и застрахованных лиц (не будем забывать о бренности жизни и сроках, когда наступают выплаты), страхователи, представители субъектов, обращающиеся в фонд по их поручению и др.  

Для каждой такой категории необходимо четко определить правовые основания обработки данных, при необходимости – способы получения согласия на это субъектов (оно должно быть конкретным, информированным и сознательным, и при необходимости оператору придется это доказывать), сформулировать цель обработки персональных данных и конкретные группы сведений, которые необходимо обрабатывать фонду как оператору. Здесь не обойтись без анализа специальных законов. Кроме очевидного «О негосударственных пенсионных фондах» придется покопаться и в таких, как «Об обязательном пенсионном страховании в Российской Федерации», «О дополнительных страховых взносах на накопительную часть трудовой пенсии и государственной поддержке формирования пенсионных накоплений», «Об инвестировании средств для финансирования накопительной части трудовой пенсии в Российской Федерации» и так далее... Эти законы очень важны для определения не только состава обрабатываемых персональных данных, но и сроков их хранения. Например, выяснится, что персональные данные, связанные с трансфер-агентской деятельностью, должны храниться в фонде 6 лет. Или что одной из целей обработки персональных данных работников и их близких родственников является предотвращение конфликтов интересов, для чего необходимы весьма специфические сведения – о наличии у должностных лиц фонда и их родственников в собственности ценных бумаг или долей в уставном капитале организаций, в которые инвестированы средства пенсионных накоплений и наличии заинтересованности в изменении их рыночной цены.

В каждом фонде появляется своя специфика, связанная, например, с размещением вычислительной инфраструктуры в коммерческом облаке или дата-центре по схеме SaaS, PaaS или IaaS (а это сегодня – сплошь и рядом, при этом регулирование отношений между провайдером и фондом может быть осуществлено по совершенно разным схемам), привлечением различного рода организаций – колл-центров, служб доставки, рекламных, ивент-агентств и т.д к работе с клиентами фонда (существующими и потенциальными), и опять-таки, необходимость оценки правовых оснований и условий передачи им персональных данных, наличием и содержанием поручения на обработку. Для агентов и брокеров, действующих в интересах пенсионного фонда, целью такого поручения может быть и сбор персональных данных для заключения фондом в дальнейшем договора пенсионного обеспечения с субъектом.

Все эти вопросы необходимо отразить в локальных актах фонда, в том числе – политике в отношении обработки персональных данных. Если фонд создает на своем сайте для клиентов такой популярный сервис, как личный кабинет, политика должна быть опубликована на сайте обязательно.

И заключительный момент – оценка необходимости направления фондом уведомления об обработке персональных данных в Роскомнадзор. По нашему опыту, под исключения, определенные частью 2 ст.22 ФЗ «О персональных данных», негосударственные пенсионные фонды не подпадают в силу наличия категорий субъектов, не являющихся участниками или выгодоприобретателями по договорам пенсионного страхования и обеспечения. К тому же фраза «персональные данные также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных» и отсутствие в нем упоминания таких оснований для предоставления персональных данных, как случаи, предусмотренные федеральными законами, вообще ставит под сомнения существование исключений в принципе. И практика применения Роскомнадзором ст.19.7 КоАП такой вывод подтверждает.

Вот, если коротко, что такое учет специфики деятельности негосударственного пенсионного фонда оператора. А более подробно об этом можно будет поговорить 16 октября на конференции «Защита персональных данных и автоматизация на финансовом и пенсионном рынках», которую организует и проводит Национальная ассоциация негосударственных пенсионных фондов, пригласившая меня принять участие в мероприятии.