Свой Банк
Интернет-Банк

Политика обработки персональных данных в АО «Свой Банк»

  1. Общие положения
    1. Настоящая Политика обработки персональных данных (далее – Политика) Акционерного общества «Свой Банк» (далее – Банк) разработана в соответствии с Рекомендациями по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленным Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
    2. Положения настоящей Политики обязательны для выполнения всеми работниками Банка и служат основой для разработки нормативных документов Банка, регламентирующих порядок обработки персональных данных работников, клиентов и иных субъектов персональных данных.
    3. Банк включен в «Реестр операторов, осуществляющих обработку персональных данных», под регистрационным номером 11-0173881.
    4. Положения настоящей Политики распространяются в том числе на случаи, когда Банк выступает лицом, осуществляющим обработку персональных данных по поручению иного оператора. Дополнительные условия по обработке и защите персональных данных указываются в договоре между Банком и иным оператором.
    5. Настоящая Политика является внутренним нормативным документом Банка и обязательна для исполнения всеми работниками Банка.
    6. Политика является общедоступной и размещается на официальном сайте Банка в сети Интернет (для доступа неограниченного круга лиц) и на общедоступном корпоративном ресурсе Банка (для доступа работников Банка).
    7. Ознакомление работников Банка с настоящей Политикой осуществляется посредством рассылки Политики по системе электронного документооборота, используемого в Банке, либо рассылки по корпоративной почте Банка.
  2. Термины и определения

    Персональные данные (далее также – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

    Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

    Оператор персональных данных (далее также – оператор ПДн) – АО «Свой Банк», как юридическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

    Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

    Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

    Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

    Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

    Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

    Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

    Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

    Конфиденциальность персональных данных – обязанность Банка не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

  3. Цели сбора и обработки персональных данных
    1. Целями сбора и обработки Банком персональных данных является:
      • обеспечение соблюдения законодательства Российской Федерации, осуществление возложенных на Банк функций в соответствии с федеральным законодательством Российской Федерации, нормативными правовыми актами Центрального Банка Российской Федерации (Банка России), а также Уставом и нормативными правовыми актами Банка;
      • регулирование трудовых отношений с работниками Банка, осуществление функций, полномочий и обязанностей, возложенных законодательством Российской Федерации, в том числе по предоставлению персональных данных в Социальный фонд Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;
      • защита жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
      • формирование справочных материалов для внутреннего информационного обеспечения;
      • исполнение судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
      • осуществление прав и законных интересов Банка в рамках осуществления деятельности, предусмотренных Уставом и иными локальными нормативными актами Банка;
      • иные законные цели.
  4. Правовые основания обработки персональных данных

    Правовыми основаниями обработки Банком персональных данных субъектов ПДн являются:

    1. Законодательство Российской Федерации в области персональных данных, которое основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и других определяющих случаи и особенности обработки персональных данных федеральных законов, а также нормативных правовых актов Банка России и иных уполномоченных органов государственной власти.
    2. Устав АО «Свой Банк», внутренние нормативные документы Банка с учетом целей обработки персональных данных, определенных в данном документе.
    3. Договоры, заключаемые между Банком и субъектом персональных данных.
    4. Договоры, заключенные Банком с иными операторами.
    5. Согласия на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Банка).
  5. Состав обрабатываемых персональных данных
    1. Банк обрабатывает персональные данные следующих категорий субъектов:
      • работников, в том числе бывших и потенциальных работников Банка (кандидаты на замещение вакантных должностей), а также членов их семей;
      • клиентов (потенциальных клиентов) – физических лиц, индивидуальных предпринимателей;
      • представителей, бенефициарных владельцев и выгодоприобретателей клиентов, партнеров, бенефициарных владельцев Банка;
      • физических лиц, предоставивших обеспечение обязательств заемщиков по кредитным договорам, заключенным с Банком (поручители, залогодатели, гаранты и проч.);
      • аффилированных лиц Банка;
      • контактных лиц и представителей контрагентов Банка;
      • привлечённых для оказания услуг Банку и/или клиентам специалистов;
      • клиентов, посетителей и пользователей сайта и иных информационных ресурсов Банка;
      • клиентов иных операторов персональных данных, с которыми у Банка заключены договоры и по поручению которых, Банк осуществляет обработку персональных данных;
      • посетителей офисов Банка;
      • иных субъектов персональных данных, выразивших согласие на обработку Банком их персональных данных или субъектов персональных данных, сведения о которых необходимы для исполнения требований законодательства Российской Федерации (далее также – РФ).
    2. Обработка биометрических персональных данных, определенных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», в Банке не осуществляется. Банк не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.
    3. Обработка специальных категорий персональных данных, касающихся сведений о состоянии здоровья, осуществляется согласно требованиям законодательства РФ. Обработка указанной категории ПДн может осуществляться в рамках кадровой работы в соответствии с требованиями пункта 2.3 части 2 статьи 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», а также в рамках взаимодействия с должниками во исполнение требований статьи 4 и статьи 7 Федерального закона от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях».
    4. К обрабатываемым персональным данным относятся:
      • для работников Банка:

        фамилия, имя, отчество (в т.ч. прежние), пол, дата и место рождения, данные документа, удостоверяющего личность, фотография, гражданство, данные миграционной карты и/или данные документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации, адрес места жительства (регистрации) или места пребывания, дата регистрации по месту жительства или по месту пребывания, ИНН, номер телефона (факса), адрес электронной почты, почтовый адрес, сведения о трудовой деятельности, сведения о семейном положении, в том числе сведения, указываемые в карточке по форме Т2, сведения о судимости (обрабатываются только в случаях, предусмотренных законодательством РФ), сведения из реестра дисквалифицированных лиц (обрабатываются в случаях, предусмотренных законодательством РФ), сведения о водительском удостоверении, сведения о заработной плате и иных доходах (надбавка в фиксированном размере, материальная помощь, единовременные выплаты и вознаграждения, оплата листов нетрудоспособности, оплата отпуска), сведения, указанные в оригиналах и копиях приказов по личному составу и материалах к ним, сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях, материалы по аттестации и оценке; материалы по внутренним служебным расследованиям; внутрибанковские материалы по расследованию и учету несчастных случаев на производстве и профессиональным заболеваниям в соответствии с Трудовым кодексом РФ, другими федеральными законами; сведения о временной нетрудоспособности; табельный номер; сведения о социальных льготах и о социальном статусе; сведения об образовании, квалификации, повышении квалификации и переподготовке, о наличии специальных знаний или специальной подготовки; сведения, указанные в трудовой книжке; содержание и реквизиты трудового договора или гражданско-правового договора; сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу; СНИЛС; банковские счета, номера банковских карт, сведения из бюро кредитных историй (БКИ);

      • для кандидатов на замещение вакантных должностей:

        фамилия, имя, отчество; сведения о перемене имени; пол; дата рождения, место рождения; адрес регистрации; фактический адрес; паспортные данные или данные иного документа, удостоверяющего личность; семейное положение; состав семьи (степень родства; фамилия, имя, отчество; год рождения); контактные телефоны; отношение к воинской обязанности; адрес электронной почты; предполагаемая должность; тип занятости; стаж; образование; опыт работы; гражданство; сведения о знании иностранных языков; сведения об ограничениях по состоянию здоровья сведения об обязательствах или просроченной задолженности;

      • для представителей клиентов и партнеров, бенефициарных владельцев и выгодоприобретателей клиентов, бенефициарных владельцев Банка:

        фамилия, имя, отчество (в т.ч. прежние), пол, дата и место рождения, данные документа, удостоверяющего личность, гражданство, данные миграционной карты и/или иного документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации, адрес места жительства (регистрации) или места пребывания, ИНН, номер телефона (факса), адрес электронной почты, почтовый адрес, данные о принадлежности к публичным должностным лицам (должность, наименование и адрес его работодателя), принадлежность владельца к супругам, близким родственникам иностранного публичного должностного лица (статус, степень родства);

      • для клиентов – физических лиц, индивидуальных предпринимателей:

        фамилия, имя, отчество (в т.ч. прежние), пол, дата и место рождения; данные документа, удостоверяющего личность, гражданство, данные миграционной карты и/или иного документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации, адрес места жительства (регистрации) или места пребывания, дата регистрации по месту жительства или по месту пребывания; ИНН; номер телефона (факса), адрес электронной почты, почтовый адрес; сведения об образовании (справка из учебного заведения, о прохождении обучения); сведения о трудовой деятельности; сведения о семейном положении; сведения о регистрации гражданина в качестве индивидуального предпринимателя, об участии в уставном капитале организаций, а также занимаемых постах в органах управления организаций; сведения о заработной плате и иных доходах; данные об имуществе: автотранспорт, недвижимое имущество; банковские вклады и счета, номера банковских карт, кредиты (займы), поручительства, денежные средства и ценные бумаги, в том числе в доверительном управлении и на доверительном хранении; сведения о социальном статусе; сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней; содержание и реквизиты трудового договора или гражданско-правового договора с гражданином, приказа; сведения об имеющихся лицензиях, о членстве в саморегулируемых организациях; сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу; СНИЛС; сведения о номере и серии пенсионного удостоверения, а так же справка из территориального подразделения ПФР о размере получаемой пенсии; сведения о номере и серии государственного сертификата на материнский (семейный) капитал, сведения о размере (оставшейся части) материнского капитала; сведения о должности лица, указанного в подпункте 1 пункта 1 статьи 7.3 Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее Закон № 115-ФЗ), наименование и адрес его работодателя, степень родства либо статус (супруг или супруга) клиента (по отношению к лицу, указанному в подпункте 1 пункта 1 статьи 7.3 Закона № 115-ФЗ), сведения о целях установления и предполагаемом характере деловых отношений с Банком, сведения о целях финансово-хозяйственной деятельности, сведения о финансовом положении, сведения о деловой репутации, сведения об источниках происхождения денежных средств и (или) иного имущества клиента, сведения о бенефициарном владельце клиента, сведения, подтверждающие наличие у лица полномочий представителя клиента, сведения, необходимые для проведения оценочных (скоринговых) методик;

      • физических лиц, выступающих поручителями по кредитным договорам, заключенным с Банком:

        фамилия, имя, отчество (в т.ч. прежние), пол, дата и место рождения; данные документа, удостоверяющего личность, гражданство, адрес места жительства (регистрации) или места пребывания, дата регистрации по месту жительства или по месту пребывания; ИНН; номер телефона (факса), адрес электронной почты, почтовый адрес; сведения об образовании (справка из учебного заведения о прохождении обучения); сведения о трудовой деятельности; сведения о семейном положении; сведения о регистрации гражданина в качестве индивидуального предпринимателя, об участии в уставном капитале организаций, а также занимаемых постах в органах управления организаций; сведения о заработной плате и иных доходах; банковские вклады и счета, кредиты (займы), поручительства, денежные средства и ценные бумаги, в том числе в доверительном управлении и на доверительном хранении; сведения о социальном статусе; сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней; содержание и реквизиты трудового договора или гражданско-правового договора с гражданином, приказа; сведения об имеющихся лицензиях, о членстве в саморегулируемых организациях; сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу; СНИЛС; сведения о номере и серии пенсионного удостоверения, а так же справка из территориального ПФР о размере получаемой пенсии;

      • физических лиц, выступающих залогодателями по кредитным договорам, заключенным с Банком:

        фамилия, имя, отчество (в т.ч. прежние), пол, дата и место рождения; данные документа, удостоверяющего личность, гражданство, адрес места жительства (регистрации) или места пребывания, дата регистрации по месту жительства или по месту пребывания; ИНН; номера телефона (факса), адрес электронной почты, почтовый адрес; сведения о семейном положении; сведения о заработной плате и иных доходах; сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу; СНИЛС; сведения о номере и серии пенсионного удостоверения, а так же справка из территориального ПФР о размере получаемой пенсии; данные об имуществе: автотранспорт, недвижимое имущество, имущественные права;

      • для аффилированных лиц Банка – физических лиц:

        фамилия, имя, отчество, пол, гражданство, место жительства, данные документа, удостоверяющего личность, сведения об основании/основаниях (в том числе реквизиты документов или сами документы, подтверждающие данные основания), в силу которого/которых лицо является аффилированным с Банком, дата наступления основания, взаимосвязи лица с другими лицами, принадлежащими к группе лиц, к которой принадлежит Банк;

      • для контрагентов Банка – в пределах данных, в соответствии с заключенными договорами;
      • для клиентов иных операторов персональных данных – в соответствии с заключенными Банком договорами с этими операторами.

      Полный список персональных данных клиентов, посетителей и пользователей сайта и иных информационных ресурсов Банка указан в настоящей Политике, Пользовательском соглашении, в согласиях, предоставляемых субъектами персональных данных.

      Перечень персональных данных, обрабатываемых в Банке, определяется в соответствии с локальными нормативными актами Банка с учетом целей обработки персональных данных.

  6. Порядок и условия обработки персональных данных
    1. Информация, относящаяся к персональным данным, ставшая известной Банку, является защищаемой, конфиденциальной информацией и охраняется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
    2. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
    3. Обработка персональных данных осуществляется на законных основаниях в соответствии с принципами справедливости и добросовестности.
    4. Обработка персональных данных в Банке ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
    5. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
    6. Банк обеспечивает точность, достаточность и актуальность персональных данных по отношению к целям их обработки, а также не допускает избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки.
    7. Обработка персональных данных осуществляется:
      • при условии получения согласия субъекта персональных данных, составленного по форме утвержденной Банком, или в случаях, когда правовое основание обработки персональных данных определено законодательством Российской Федерации;
      • после принятия необходимых мер по защите персональных данных.
    8. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. Если в соответствии с федеральным законодательством предоставление персональных данных и (или) получение Банком согласия на обработку персональных данных являются обязательными, Банк обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку.
    9. Банк обрабатывает персональные данные следующими способами:
      • обработка с использованием средств автоматизации,
      • обработка без использования таких средств,
      • смешанная обработка.
    10. Передача персональных данных третьим лицам возможна только с согласия субъекта персональных данных или в случаях, предусмотренных действующим законодательством.
    11. В случае если Банк поручает обработку персональных данных субъекта третьему лицу на основании заключенного с ним договора, лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом. В поручении Банка должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обязанность по запросу Банка в течение срока действия поручения оператора, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения оператора требований, установленных в соответствии с настоящей статьей, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», в том числе требование об уведомлении Банка о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
    12. Условиями прекращения обработки персональных данных являются:
      • достижение целей обработки персональных данных;
      • истечение срока действия согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, и отсутствие других законных оснований на продолжение обработки персональных данных;
      • выявление неправомерной обработки персональных данных;
      • ликвидация юридического лица.
    13. Доступ к персональным данным субъектов предоставляется работникам Банка в соответствии с их должностными обязанностями (в пределах трудовой функции).
    14. Сотрудники Банка и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждаются о возможной дисциплинарной, административной, гражданско-правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства РФ, регулирующего правила обработки и защиты персональных данных.
  7. Хранение и уничтожение персональных данных
    1. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
    2. Персональные данные, в отношении которых выполняется одно из следующих условий, подлежат уничтожению в сроки, установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»:
      • истек срок действия согласия или произошел отзыв согласия на обработку персональных данных, и отсутствуют другие законные основания на продолжение обработки персональных данных,
      • в ходе контроля за соблюдением требований законодательства Российской Федерации в области персональных данных выявлено, что персональные данные не являются необходимыми для заявленных целей обработки,
      • в ходе контроля за соблюдением требований законодательства Российской Федерации в области персональных данных выявлено, что персональные данные получены незаконно,
      • невозможно обеспечить правомерность обработки персональных данных,
      • после достижения целей обработки персональных данных.

      Уничтожение персональных данных выполняется в соответствии с методиками, разрабатываемыми уполномоченным органом по защите прав субъектов персональных данных.

    3. Сроки хранения персональных данных определяются исходя из:
      • Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
      • Федерального закона от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
      • Федерального закона от 30.12.2004 №218-ФЗ «О кредитных историях»;
      • Федерального закона от 06.12.2011 №402-ФЗ «О бухгалтерском учете»;
      • Налогового кодекса Российской Федерации;
      • Приказа Федерального архивного агентства Российской Федерации от 20.12.2019 № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
      • Договора, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;
      • Иных нормативных правовых актов, регламентирующих сроки хранения информации.
    4. Персональные данные по достижении цели обработки уничтожаются в срок, не превышающий тридцати дней с момента истечения срока хранения, если иное не предусмотрено требованиями законодательства РФ.
  8. Меры по обеспечению защиты персональных данных
    1. Принимаемые меры основаны на требованиях, указанных в следующих нормативных документах:

      • Федеральный закон от 27.06.2006 № 152-ФЗ «О персональных данных»;
      • «Методический документ. Модель оценки угроз информационной безопасности», утвержден ФСТЭК России 15.02.2021;
      • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
      • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
      • Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
      • нормативные документы Банка России в области защиты информации, в том числе персональных данных.
    2. Банк предпринимает необходимые организационные и технические меры по защите персональных данных, в частности:
      • Назначено лицо, ответственные за организацию обработки и обеспечение безопасности персональных данных;
      • Разработаны, внедрены и соблюдаются требования локальных нормативных актов Банка, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
      • Осуществляетcя ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику Банка в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, проводится обучение указанных работников;
      • Работникам запрещается передавать или иным способом разглашать персональные данные, к которым они имеют доступ, кроме случаев, регламентированных Федеральным законом;
      • Разграничены права доступа к обрабатываемым персональным данным, в том числе с учетом трудовой функции работников;
      • Определены места хранения материальных носителей персональных данных и соблюдаются условия, исключающие несанкционированный доступ к ним;
      • Обеспечено раздельное хранение материальных носителей, на которых хранятся персональные данные, обработка которых ведется в различных целях;
      • В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям проводятся периодические проверки условий обработки персональных данных;
      • Проводится оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных данным федеральным законом;
      • В качестве актуальных угроз при обработке иных категорий персональных данных в информационных системах персональных данных Банка приняты угрозы, определенные Указанием Банка России от 10.12.2015 №3889-У «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных»;
      • Применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.

      Помимо вышеуказанных мер, осуществляются меры технического и организационного характера:

      • Применение мер по обеспечению безопасности персональных данных субъектов при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных субъектов, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
      • Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
      • Учет машинных носителей персональных данных;
      • Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
      • Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      • Установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
      • Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
      • Применение иных мер, предусмотренных законодательством Российской Федерации в области персональных данных;
      • Выполнение резервирования и восстановления персональных данных, работоспособности технических средств и программного обеспечения, средств защиты информации в информационных системах персональных данных модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
      • Применение иных необходимых мер безопасности.
  9. Обязанности оператора при обращении к нему субъекта персональных данных либо при получении запроса субъекта персональных данных или его представителя, а также уполномоченного органа по защите прав субъектов персональных данных
    1. Банк обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
    2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Банк обязан дать в письменной форме мотивированный ответ, содержащий ссылку на законодательство, являющееся основанием для такого отказа, в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
    3. Банк обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Банк обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Банк обязан уничтожить такие персональные данные. Банк обязан уведомить субъекта персональных данных или его представителя об уничтожении ПДн или о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
    4. Указанные выше сведения должны быть предоставлены субъекту персональных данных Банком в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных. Банк предоставляет сведения субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
    5. Банк обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение десяти рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
    6. В Банке введены в действие документы, определяющие порядок обработки обращений субъектов персональных данных, порядок взаимодействия с уполномоченным органом по защите прав субъектов персональных данных, организован учет обращений и запросов в соответствующих журналах учета.

    Формы запросов субъекта персональных данных прилагаются к настоящей Политике.

  10. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, по уточнению, блокированию и уничтожению персональных данных
    1. В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Банк обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Банк обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
    2. В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
    3. В случае выявления неправомерной обработки персональных данных (в том числе неправомерного распространения и предоставления данных), осуществляемой Банком или лицом, действующим по поручению Банка, Банк в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Банка. В случае, если обеспечить правомерность обработки персональных данных невозможно, Банк в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Банк обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

      В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Банк обязан с момента выявления такого инцидента самим Банком, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

      • в течение двадцати четырех часов – о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
      • в течение семидесяти двух часов – о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
    4. В случае достижения цели обработки персональных данных Банк обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных либо если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
    5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Банк обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных, либо если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных законодательством Российской Федерации.
    6. В случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 – 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
    7. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в настоящем разделе Политики, Банк осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен законодательством Российской Федерации.
  11. Основные права и обязанности Банка
    1. Банк как оператор персональных данных вправе:
      • отстаивать свои интересы в суде,
      • предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством РФ или согласием субъекта персональных данных,
      • отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством,
      • использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством.
  12. Права и обязанности субъектов персональных данных
    1. Субъект персональных данных имеет право на:
      • получение в Банке информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с законодательством РФ,
      • подтверждение факта обработки ПДн Банком,
      • получение информации о правовых основаниях и целях обработки ПДн,
      • получение информации о применяемых Банком способах обработки ПДн,
      • получение информации о наименовании и месте нахождения Банка, сведениях о лицах (за исключением работников Банка), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Банком или на основании законодательства РФ,
      • получение сведений о своих персональных данных, обрабатываемых в Банке, и источнике их получения,
      • получение информации об осуществленной или о предполагаемой трансграничной передаче данных,
      • доступ к своим персональным данным, включая право на получение копии любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством РФ,
      • уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки,
      • принятие предусмотренные законом мер по защите своих прав,
      • отзыв согласия на обработку персональных данных,
      • обжалование действия или бездействия Банка, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке,
      • получение информации о способах исполнения Банком обязанностей, установленных статьей 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»,
      • получение иных сведений, предусмотренных законодательством.

      Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться в Банк. Банк рассматривает любые обращения и жалобы субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, привлечения к ответственности лиц, допустивших соответствующие нарушения, и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

      Если субъект персональных данных считает, что Банк обрабатывает его персональные данные с нарушением требований законодательства РФ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Банка в орган по защите прав субъектов персональных данных или в судебном порядке. Субъект персональных данных имеет право на защиту своих законных прав и интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

    2. Субъект персональных данных обязан: своевременно предоставлять сведения об изменении своих персональных данных.
  13. Трансграничная передача персональных данных

    Банк осуществляет трансграничную передачу персональных данных в соответствии с требованиями действующего законодательства Российской Федерации.

    Трансграничная передача персональных данных на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.

    Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется в соответствии с требованиями действующего законодательства Российской Федерации.

  14. Местонахождение баз данных информации, содержащих персональные данные граждан Российской Федерации

    При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Банк обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

  15. Внутренний контроль за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», принятых в соответствии с ним нормативных правовых актов и внутренних нормативных документов Банка
    1. Контроль за соблюдением в Банке требований законодательства Российской Федерации и локальных нормативных документов в области персональных данных (в том числе защиты персональных данных) осуществляется с целью:
      • проверки соответствия обработки персональных данных законодательству Российской Федерации и локальным нормативным документам Банка в области персональных данных,
      • принятия мер, направленных на предотвращение и выявление нарушений законодательства в области персональных данных, выявление возможных каналов несанкционированного доступа к персональным данным и устранение последствий подобных нарушений.
    2. Внутренний контроль соблюдения сотрудниками Банка требований законодательства Российской Федерации и локальных нормативных документов в области персональных данных, в том числе защиты персональных данных осуществляется лицом, ответственным за организацию обработки персональных данных в Банке.
    3. Внутренний контроль соответствия обработки персональных данных требованиям Федерального закона, принятых в соответствии с ним нормативных правовых актов и локальных нормативных документов в области персональных данных осуществляет Служба внутреннего аудита.
    4. Персональная ответственность за соблюдение требований законодательства Российской Федерации и локальных нормативных документов в области персональных данных, в том числе защиты персональных данных, в структурном подразделении Банка возлагается на руководителя данного структурного подразделения или лицо его замещающее.
  16. Основные участники системы управления процессом обработки персональных данных
    1. Положения политики обязательны для выполнения всеми работниками Банка и служат основой для разработки нормативных документов, регламентирующих в Банке вопросы обработки персональных данных работников и иных субъектов персональных данных.
    2. В целях осуществления эффективного управления процессом обработки персональных данных определены основные его участники.
      1. Председатель Правления Банка:
        • Определяет, рассматривает и утверждает политику Банка в отношении обработки персональных данных;
        • Назначает работника Банка, ответственного за организацию процесса обработке персональных данных;
        • Вправе делегировать предусмотренные настоящим пунктом полномочия должностным лицам Банка.
      2. Ответственный за организацию обработки персональных данных работник:
        • Организует и осуществляет контроль за процессами обработки персональных данных (совершаемых с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с требованиями законодательства о персональных данных и настоящей Политики;
        • Разрабатывает и представляет для утверждения соответствующему органу Банка Политику и внутренние нормативные документы, касающиеся вопросов обработки персональных данных;
        • Совместно с Департаментом безопасности осуществляет анализ, оценку и прогноз рисков, связанных с обработкой персональных данных в Банке;
        • Доводит до сведения работников Банка положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
        • Организовывает прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществляет контроль за приемом и обработкой таких обращений и запросов;
        • Осуществляет мониторинг законодательства и доведение до сведения заинтересованных подразделений Банка информации об изменении правовых норм;
        • Выполняет иные функции, предусмотренные законодательством РФ о персональных данных, работникам подразделений Банка.
      3. Департамент безопасности:
        • Осуществляет разработку и организацию применения правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
        • Осуществляет определение угроз безопасности персональных данных при их обработке;
        • Осуществляет оценку, обеспечение и контроль уровня защищенности информационных систем персональных данных;
        • Осуществляет оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
        • Осуществляет взаимодействие с органами государственной власти по вопросам защиты персональных данных; разрабатывает внутренние процедуры, направленные на обеспечение безопасности и защиты персональных данных.
      4. Служба внутреннего аудита в рамках проводимых контрольных процедур оценивает эффективность системы внутреннего контроля Банка по обеспечению соблюдения требований настоящей Политики, а также утвержденных нормативных документов Банка в отношении персональных данных.
      5. Юридическая служба:
        • Обеспечивает правовую защиту интересов Банка в судах и государственных органах по спорам, связанным с обработкой персональных данных, а также при рассмотрении административных дел, связанных с нарушением законодательства РФ в указанной сфере.
  17. Заключительные положения
    1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
    2. Контроль исполнения требований настоящей Политики осуществляется работником Банка, ответственным за обеспечение безопасности персональных данных.
    3. Ответственность должностных лиц Банка, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональные данные, определяется в соответствии с законодательством Российской Федерации и внутренними документами Банка.
Образцы форм запросов