Приказ о назначении сдл

Документы ПОД/ФТ для Росфинмониторинга

(из рассылки IT Patrol inc.)
C 1 сентября 2015 года в Российской Федерации начинает действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»
Основная цель этого текста, донести до наших клиентов суть закона и как он влияет на размещение вашего сайта на заграничном хостинге.
Я постараюсь внести ясность и сделать выжимку трактовки закона.
Цель данного закона: обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Хочу сразу указать что данный закон не распространяется на личный сайт, сайт сообщества, научный, литературный или творческий сайт. При условии что не нарушаются права и законные интересы субъекта персональных данных.
Самый важный момент, это определение Персональные данные (далее ПД):
— любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
В законе указаны следующие основные категории персональных данных:
— персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
Если исключить пункты, созданные для государственных нужд, для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме или подписанное электронной подписью.
— биометрические персональные данные — характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных;
Если исключить пункты, созданные для государственных нужд, для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме.
— в общедоступные источники ПД (в том числе справочники, адресные книги) могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Для обработки данной категории ПД вам необходимо согласие от субъекта ПД в письменной форме или подписанное электронной подписью.
Основное беспокойство с размещением сайтов наших клиентов за границей связано со следующим пунктом закона:
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Если исключить пункты, созданные для государственных нужд, остается пункт:
8) обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
При этом, оператор, который решает обрабатывать ПД обязан уведомить о своем намерении осуществлять обработку ПД (статья 22 пункт 1).
Возможна обработка данных без уведомления (статья 22 пункт 2) (не все пункты, выжимка):
— полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных — относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных — сделанных субъектом персональных данных общедоступными — включающих в себя только фамилии, имена и отчества субъектов персональных данных — необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях
Подводя итог, можно сказать следующее. Ваш личный сайт, сайт сообщества, научный, литературный или творческий сайт может быть размещен на заграничном хостинге. При условии что не нарушаются права и законные интересы субъекта персональных данных.
Если вы осуществляете предоставление услуг, на основе договора — вы не обязаны регистрироваться как Оператор, но обязаны получить письменное или подписанное электронным ключем разрешение от субъекта ПД. При этом вы можете передавать ПД за рубеж при письменном разрешении субъекта ПД .
Если вы анализируете ПД для оптимизации выдачи контента (перечня услуг, товаров) — вы обязаны получить разрешение (в письменном виде или подписанное электронным ключем) субъекта ПД до начала обработки ПД
Для ПД полученных не от субъекта ПД, вы обязаны до начала обработки ПД послать субьекту данные указанные в статье 18 пункт 3 этого закона.
За исключением если ПД были сделаны субъектом ПД общедоступными или получены из общедоступного источника а также если обработка осуществляется для профессиональной деятельности журналиста ибо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных
При этом, чтоб пользоваться зарубежным хостингом, базу клиентов (для осуществления обработки собранных персональных ,систематизации, накопления, хранения, уточнения, извлечения) Вам необходимо хранить на территории Российской Федерации в обязательном порядке с соблюдением всех требований безопасности хранения ПД.
Запрета на передачу данных в страны, являющихся сторонами Конвенции Совета Европы — нет, но сбор, обработка, накопление, хранение, уточнение и извлечение данных должна происходить из базы данных на территории Российской Федерации
В случае если вы занимаетесь коммерческой деятельностью, я настоятельно рекомендую Вам обратиться к юристу, для более детального рассмотрения применения данного закона к вашей деятельности.
Ссылки:
Текст закона: http://www.consultant.ru/document/cons_doc_LAW_61801/
Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных http://www.rg.ru/2013/04/26/perechen-dok.html
Разъяснения к закону: http://www.minsvyaz.ru/ru/personaldata/
Хороший обзор (смотрите секцию Хостинг за рубежом в контексте персональных данных)

Внутренний контроль в целях ПОД/ФТ/ФРОМУ является составной частью общей системы внутреннего контроля организации. Основной задачей внутреннего контроля является контроль за соблюдением требований законодательства, в том числе лицензионных требований, при осуществлении организацией хозяйственной деятельности. Кроме этого, внутренний контроль направлен на выявление и предупреждение нарушений в деятельности организации, а также установление причин и виновных лиц, допустивших такие нарушения.

Отсутствие системы внутреннего контроля или недостаточный уровень её эффективности приводит к нарушениям требований законодательства, что неотвратимо влечёт привлечение организации и её должностных лиц к административной или уголовной ответственности, последствиям регулятивного характера в виде приостановления или аннулирования лицензии.

Внутренний контроль в организации осуществляется через:

  • разработку внутренних документов в соответствии с действующим законодательством;

  • назначение лиц, ответственных за соблюдение внутренних документов;

  • управление рисками;

  • установление персональной ответственности сотрудников за несоблюдение внутренних документов;

  • внедрение в практику методов и способов реализации внутреннего контроля с помощью системы двойного контроля и специализированного программного обеспечения;

  • исключение конфликта интересов;

  • выстраивание эффективных внутрикоммуникационных каналов связи между сотрудниками, сотрудниками и руководством, компании с окружающей средой в лице третьих лиц (контрагентов, партнеров, клиентов, надзорных органов);

  • чёткое разделение полномочий сотрудников;

  • проведение инструктажей и обучения как внутри организации, так и в специализированных учебных центрах.

Перечень документов в целях ПОД/ФТ/ФРОМУ:

Правила внутреннего контроля в целях ПОД/ФТ/ФРОМУ (с учётом последних изменений) с приложениями:

Должностная инструкция специального должностного лица ответственного за соблюдение Правил внутреннего контроля.

Рекомендации (краткая инструкция) исполнения федерального закона №115-ФЗ.

Памятка по работе с личным кабинетом на сайте Росфинмониторинга/Банка России.

Инструкция по работе клиентского менеджера организации (в рамках исполнения требований Федерального закона № 115-ФЗ).

Сведения, Справочники. Перечни:

  • Сведения, устанавливаемые в целях идентификации физического лица (клиента, представителя клиента, выгодоприобретателя, бенефициарного владельца).

  • Сведения, устанавливаемые в целях идентификации юридического лица, иностранной структуры без образования юридического лица.

  • Сведения (документы), получаемые в целях идентификации индивидуальных предпринимателей.

  • Справочник кодов видов организаций, индивидуальных предпринимателей, лиц, являющихся субъектами Федерального закона.

  • Справочник кодов видов операций, информация о которых представляется в Росфинмониторинг.

  • Справочник кодов ролей участников операций (сделок).

  • Справочник кодов видов документов, удостоверяющих личность или подтверждающих право иностранного гражданина, или лица без гражданства на пребывание (проживание) в Российской Федерации.

  • Справочник кодов видов отраслевой принадлежности.

  • Справочник кодов видов участников операций (сделок).

  • Справочник кодов видов документов, являющихся основанием/подтверждением совершения операции (сделки).

  • Перечень должностей иностранных публичных должностных лиц и тех, кто относится к членам их семей и близким родственникам.

  • Перечень признаков операций, видов и условий деятельности, имеющих повышенный риск совершения клиентами операций в целях легализации (отмывания) доходов, полученных преступным путем, финансирования терроризма и финансированию распространения оружия массового уничтожения.

Приказы и распоряжения:

  • Приказ об утверждении и введении в действие правил внутреннего контроля.

  • Приказ о назначении специального должностного лица (СДЛ) или ответственного лица.

  • Приказ об утверждении форм учёта сотрудников, прошедших вводный (первичный) и целевой (внеплановый) инструктаж.

  • Приказ о проведении внутренней проверки в организации.

  • Приказ об утверждении порядка проведения проверки знаний сотрудников.

  • Распоряжение об отказе от выполнения распоряжения клиента о совершении операции.

  • Внутреннее распоряжение о замораживании (блокировании) денежных средств или иного имущества.

  • Внутреннее распоряжение о приостановлении операции (сделки).

  • Внутреннее сообщение об операции (сделке).

Обучение сотрудников:

  • Перечень сотрудников, которые должны проходить обязательную подготовку и обучение в целях ПОД/ФТ/ФРОМУ.

  • Формы учёта сотрудников, прошедших вводный (первичный) и целевой (внеплановый) инструктаж.

  • Программа обучения вводного (первичного) инструктажа и проверки знаний сотрудников.

  • Тест проверки знаний сотрудников и вопросы тестирования.

Отчёты:

  • Отчёт о проведении внутренней проверки в организации.

  • Акт (отчёт) проверки наличия среди своих клиентов организаций и физических лиц, в отношении которых применены либо должны применятся меры по замораживанию (блокированию) денежных средств или иного имущества.

  • Акт проверки наличия среди клиентов публичных должностных лиц всех категорий.

Журналы:

  • Журнал взаимодействия с клиентами при запросе информации.

  • Журнал учёта информации о примененных мерах по замораживанию (блокированию) принадлежащих клиенту денежных средств или иного имущества.

  • Журнал отказов от выполнения распоряжений клиентов о совершении операции.

  • Журнал учёта информации о приостановлении операций с денежными средствами или иным имуществом.

  • Журнал учёта и фиксирования информации о выданных денежных средствах физическим лицам, включенным в Перечни.

  • Журнал сообщений, направленных в уполномоченный орган по результатам проведенной сверки клиентов с Перечнем лиц, в отношении которых имеются данные об их причастности к экстремистской деятельности (квартальные сообщения).

  • Журнал учёта внутренних сообщений.

  • Журнал обработки ФЭС.

Анкеты:

  • Анкета клиента – физического лица, представителя клиента, выгодоприобретателя – физического лица и бенефициарного владельца клиента.

  • Анкета клиента, представителя клиента – юридического лица, выгодоприобретателя — юридического лица.

  • Анкета клиента, представителя клиента – индивидуального предпринимателя, выгодоприобретателя – индивидуального предпринимателя.

  • Анкета клиента, представителя клиента – иностранной структуры без образования юридического лица, выгодоприобретателя – иностранной структуры без образования юридического лица.