Политика ООО КБ «ВНЕШФИНБАНК» в отношении обработки персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. ООО КБ «ВНЕШФИНБАНК» (далее – Банк) при осуществлении своей деятельности уделяет приоритетное внимание вопросам обеспечения информационной безопасности. В Банке принят комплекс правовых, организационных и технических мер, направленных на защиту информации о клиентах, работниках, контрагентах и других Субъектах персональных данных.

1.2. Настоящая «Политика ООО КБ «ВНЕШФИНБАНК» в отношении обработки персональных данных» (далее – Политика) предоставляет информацию об основных принципах, целях, правовых основаниях, порядке и условиях обработки персональных данных (далее - ПДн), об их объеме и категориях, а также реализуемых требованиях к их защите в Банке.

1.3.  Настоящая Политика разработана в соответствии с требованиями законодательства Российской Федерации, в том числе:

-  Конституции Российской Федерации;

-  Гражданского кодекса Российской Федерации;

-  Трудового кодекса Российской Федерации;

- Федерального закона Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Федеральный закон №152-ФЗ);

-  Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологий и о защите информации»;

-  Федерального закона от 02.12.90 №395-1-ФЗ «О банках и банковской деятельности» (далее – Федеральный закон №395-1-ФЗ);

-  Федерального закона от 06.04.2011 №63-ФЗ «Об электронной подписи»;

-    Комплекса стандартов Банка России по обеспечению информационной безопасности организации банковской системы Российской Федерации;

 - Приказов/ рекомендаций Роскомнадзора в отношении обработки ПДн.

 1.4. Правовым основанием обработки ПДн является совокупность правовых актов, во исполнение которых и в соответствии с которыми Банк осуществляет обработку ПДн: федеральные законы и принятые на их основе нормативно-правовые акты, регулирующие отношения, связанные с деятельностью кредитных организаций, обществ с ограниченной ответственностью; Устав Банка и внутренние документы Банка; договоры, заключаемые между Банком и субъектом ПДн; согласие на обработку ПДн (в случаях , прямо не предусмотренных законодательством Российской Федерации, но соответствующим полномочиям Банка), в т.ч. согласие  на обработку  ПДн: соискателей на замещение вакантных должностей,  согласие работников Банка,  согласие  клиентов Банка, согласие практикантов/ стажеров, посетителей, пользователей Сайта Банка.

1.6. Настоящая Политика является общедоступным документом, размещаемым на официальном сайте Банка в информационно-телекоммуникационной сети «Интернет», неограниченный доступ к которому предоставляется любому заинтересованному лицу.

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Автоматизированная обработка персональных данных - обработка ПДн с помощью средств вычислительной техники.

Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Банком для установления личности Субъекта ПДн.

Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, когда обработка необходима для уточнения ПДн).

Доступ к информации - возможность получения информации и ее использование (в частности копирование, модификация или уничтожение информации; получение Субъектом персональных данных возможности ознакомления с информацией, в том числе при помощи технических средств).

Информационная система персональных данных - совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных - режим ограниченного доступа, включающий в себя требование не раскрывать третьим лицам и не допускать распространение ПДн без согласия Субъекта ПДн или наличия иного основания согласно действующему законодательству Российской Федерации.

Материальный носитель персональных данных - материальный объект, используемый для закрепления и хранения информации. В целях настоящей Политики под материальным носителем понимается бумажный документ, диск, дискета, флэшкарта и т.п.

Оператор ПДн - Общество с ограниченной ответственностью «Коммерческий банк внешнеторгового финансирования» (ООО КБ «ВНЕШФИНБАНК»»), организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, и действия (операции), совершаемые с ПДн.

 Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных).

Персональные данные, разрешенные Субъектом ПДн для распространения- персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъетом ПДН путем дачи согласия на обработку ПДн, разрешенных Субъектом ПДн для распространения в порядке, предусмотренным Федеральным законом № 152-ФЗ.

Обработка ПДн- любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному Субъекту ПДн.

Ответственное лицо - работник Банка, назначенный организационно- распорядительным документом Банка, организующий принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации обработки ПДн в Банке в соответствии с положениями законодательства Российской Федерации и внутренних документов Банка в области ПДн.

Отзыв согласия - заявление Субъекта ПДн, направленное Оператору ПДн, о прекращении действия ранее данного согласия (согласий) на обработку ПДн

Подразделение ИБ - Отдел информационной безопасности.

Предоставление персональных данных - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.

Работник Банка - физическое лицо, заключившее с Банком трудовой договор или приравненное к нему соглашение.

Распространение персональных данных - действия, направленные на раскрытие ПДн неопределенному кругу лиц., в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом

Роскомнадзор - уполномоченный орган по защите прав Субъектов ПДн – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (РКН).

Сайт - официальная страница Банка в информационно-телекоммуникационной сети «Интернет», доменное имя и (или) по сетевой адрес которой, принадлежат Банку.

Согласие - решение Субъекта персональных данных, принятое свободно, своей волей и в своем интересе, о предоставлении его ПДн и их обработке Оператором ПДн.

Субъект ПДн - физическое лицо, которое прямо или косвенно определенное или определяемое на основании относящихся к нему ПДн.

Трансграничная передача персональных данных - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн.

Цель обработки персональных данных - конкретный конечный результат действий, совершенных с ПДн, вытекающий из требований действующего законодательства Российской Федерации либо договорных отношений сторон, и направленный на исполнение требований законодательства, а также на создание необходимых правовых условий для достижения оптимального учета интересов сторон.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Обработка персональных данных в Банке осуществляется на основании следующих принципов:

- законности и справедливости оснований для обработки ПДн, законности целей и способов обработки ПДн;

- соответствия целей обработки персональных данных целям, конкретизированным и заранее определенным, заявленным при сборе ПДн;

- соответствие содержания и объема обрабатываемых ПДн, способов обработки ПДн заявленным целям обработки ПДн;

- обеспечения точности, достоверности, достаточности и, в необходимых случаях, актуальности ПДн по отношению к целям их обработки, недопустимости избыточности обрабатываемых ПДн по отношению к заявленным целям их обработки;

- недопустимости объединения созданных для несовместимых между собой целей баз данных ПДн;

- хранения Пдн в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели их обработки, если срок хранения Пдн не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект Пдн;

- уничтожения либо обезличивание ПДн по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Российским законодательством;

-  недопустимости заключения с Субъектом ПДн  договоров   содержащих положения, ограничивающие права и свободы Субъекта ПДн,  допускающие в качестве условия договора бездействие Субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством Российской Федерации.

3.2. Банк не осуществляет принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных, или при условии наличия согласия в письменной форме Субъекта ПДн.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Банк осуществляет обработку ПДн для достижения следующих целей:

- осуществление банковских операций и заключение/исполнение сделок в соответствии с Уставом Банка и выданными Банку лицензиями на совершение банковских и иных операций;

- предоставление отчетности государственным надзорным органам, Банку России в соответствии с требованиями действующего законодательства Российской Федерации;

- предоставление Субъекту персональных данных информации об оказываемых услугах, о разработке Банком новых продуктов и услуг, информирование о предложениях по продуктам и услугам, а также о проводимых акциях, об оценке качества обслуживания клиентов и мероприятиях (по которым имеется предварительное согласие Клиента на их получение);

- проведение акций, мероприятий, опросов, исследований, заключение, исполнение, изменение и прекращение договоров с клиентами и контрагентами и/или реализация совместных проектов;

- проведение мероприятий по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (ПОД ФТ);

- формирование и получение данных о кредитной истории Клиента;

- проведение мероприятий, необходимых действий по урегулированию заявлений, претензий; отработке сообщений клиентов по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж;

- обработка запросов Субъектов персональных данных (в рамках действующего законодательства);

- обеспечения пропускного режима на объектах Банка;

- выявления случаев мошенничества, хищения денежных средств со счета Клиента, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;

- прием на практику студентов и выпускников учебных заведений для прохождения ознакомительной, учебной, производственной или преддипломной практики, а также для ознакомления с работой подразделений Банка и дальнейшее рассмотрение практиканта как кандидата на открытые вакансии Банка;

- прием на стажировку студентов и выпускников учебных заведений с целью оценки качества выполнения работ стажером в рамках заявленного Банком проекта для рассмотрения как кандидата на открытые вакансии;

- рассмотрение возможности заключения, заключение и исполнение трудового соглашения/договора с Субъектом персональных данных;

- регулирование трудовых (гражданско-правовых) отношений Субъекта ПДн с Банком (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества);

- передача Банком персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством Российской Федерации;

- осуществление функций, полномочий и обязанностей, возложенных на Банк действующим законодательством Российской Федерации;

- осуществление мероприятий по проверке контрагента / Клиента (лица, осуществляющего функции единоличного исполнительного органа юридического лица/его уполномоченных представителей / учредителей/бенефициарных владельцев) до заключения с ними договора;

- проверка наличия/отсутствия сведений о банкротстве в Едином федеральном реестре сведений о банкротстве;

- осуществление телефонной связи с целью информирования о задолженности перед Банком (в том числе о сумме и сроках погашения задолженности);

- взыскание просроченной / проблемной задолженности;

- получение и обработка сведений, содержащихся в индивидуальном лицевом счете в Пенсионном Фонде Российской Федерации;

- информирование Клиента о проведенных операциях;

- регистрация Cубъектов ПДн в Единой биометрической системе;

- исполнение поручения третьего лица на обработку персональных данных в соответствии с требованиями действующего законодательства, а также для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.

5. СОСТАВ И КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Банком осуществляется обработка полученных в установленном Федеральным законом №152-ФЗ порядке ПДн, принадлежащих:

- участникам Банка,

- физическим лицам, входящих в органы управления Банка;

- физическим лицам, аффилированным с Банком;

- работникам Банка, бывшим работникам Банка, близким родственников работников Банка, кандидатам на замещение вакантных должностей в Банке;

- посетителям Банка (в том числе представителям федеральных, региональных органов государственной власти РФ, органов местного самоуправления судов, правоохранительных органов и других регуляторов);

- пользователям Сайта Банка;

- физические лица и индивидуальные предприниматели, их законные представители, намеревающиеся вступить или состоящие в договорных и иных гражданско-правовых отношениях с Банком, в том числе через партнеров или контрагентов Банка (лица оказывающие услуги Банку, заемщики, залогодатели, поручители, вкладчики, владельцы банковских счетов, лица, арендующие банковские сейфовые ячейки; отправители/получатели платежей, депоненты и иные лица, пользующиеся финансовыми услугами Банка,), иные лица, обработка ПДн которых необходима для возникновения и/или исполнения указанных договорных и иных гражданско-правовых отношений (супруг/супруга заемщика, поручителя, залогодателя, опекун, наследник(-и) и т.п.);

- физические лица, состоящие в гражданско-правовых отношениях с Клиентом Банка, в интересах которого Клиент осуществляет финансовые операции (платежи);

- физические лица-представители юридических лиц, уполномоченные взаимодействовать с Банком, в т. ч. в связи с намерением вступить или состоящие в договорных и иных гражданско- правовых отношениях с Банком;

- выгодоприобретатели;

- бенефициарные владельцы;

- физических лиц, осуществляющих выполнение работ по оказанию услуг и заключившие с Банком договор гражданско-правового характера;

- лиц, осуществляющих доставку корреспонденции (курьеры, сотрудники спецсвязи, Почты России);

- физические лица, персональные данные которых включены в общедоступные источники ПДн, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством РФ о персональных данных;

- работники, члены Российских и международных организаций, отраслевых ассоциаций, Международных платежных систем и других коммерческих и некоммерческих организаций, а также представители средств массовой информации;

- участники конкурсов по выбору поставщиков продукции и услуг;

- иные физические лица, выразившие согласие на обработку Банком их персональных данных или физические лица, обработка персональных данных которых необходима Банку для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.

- иным субъектам ПДн, вступившим или намеривающих вступить в договорные отношения с Банком и\или обращающимся в Банк для целей выполнения их запросов (при необходимости обработки их ПДН).

5.2. В состав обрабатываемых ПДн могут входить:

– фамилия, имя, отчество;

– пол;

– паспортные данные;

– адрес;

– год рождения;

– месяц рождения;

– дата рождения;

– место рождения;

– биометрические персональные данные;

– семейное положение;

– социальное положение;

– имущественное положение;

– образование;

– профессия;

– доходы;

– гражданство; статус (резидент/нерезидент)

– данные миграционной карты;

– телефоны;

– адрес электронной почты;

– доля участия в бизнесе;

– сведения об имуществе;

– сведения о собственном бизнесе;

–сведения о наличии судимости (для определенных законом категорий субъектов ПДн);

– кредитная история;

– данные о ссуде;

– сведения о счетах;

– история счета;

– сумма перевода;

– ИНН;

– ОГРНИП;

– СНИЛС;

– ученая степень,

– звание,

– награды;

– состав семьи;

– сведения о повышении квалификации;

– знание иностранных языков;

– сведения о воинском учете;

– данные о воинской обязанности;

– данные военного билета или удостоверения личности офицера;

– образование, должность, место работы, доходы, сведения о трудовой деятельности, данные документов, удостоверяющих личность; и иных документов, выданных на имя Субъекта ПДн (трудовые книжки, водительские удостоверения, миграционные карты, разрешение на временное проживание и др.);

– должность;

– стаж работы,

– место работы,

– данные трудовой книжки,

– трудовая деятельность;

– удержания по алиментам;

– налоговые вычеты (коды);

– социальные льготы;

– налоговые отчисления.

– IP-адрес в сети Интернет, используемый Субъектом для взаимодействия с Банком, в том числе для подключения к системе дистанционного банковского обслуживания (Интернет-банк, мобильный банк), а также время осуществления взаимодействия; – параметры устройства доступа к сервисам Банка (цифровые отпечатки программы просмотра страниц сайта Банка, идентификатор мобильного телефона/сим-карты);

 – специальные категории ПДн, обрабатываемые в случаях, предусмотренных ст. 7 ч. 1, п.п. 2 Федерального закона от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»;

 – иные сведения о Субъекте ПДн в зависимости от оказываемых Банком услуг и осуществляемых операций.

5.3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Банком не осуществляется.

5.4. Банк в праве осуществлять обработку сведений о состоянии здоровья в соответствии с Трудовым кодексом, ФЗ «Об обязательном медицинском страховании в РФ», а также п.2.3 ч.2 ст.10 Федерального закона №152-ФЗ.

5.5. Банк вправе осуществлять обработку биометрических персональных данных с целью идентификации клиентов и работников Банка при оказании банковских услуг и установления личности работников и посетителей при осуществлении пропуска на территорию Банка. При этом Банк не вправе отказывать в обслуживании в случае отказа Субъекта ПДн предоставить биометрические ПДн и (или) дать согласие на обработку ПДн, если в соответствии с федеральным законом получение Банком согласия на обработку ПДн не является обязательным.

5.6. Банк не осуществляет трансграничную передачу персональных данных.

5.7.  В целях информационного обеспечения Банком могут создаваться общедоступные источники ПДн только с согласия Субъекта ПДн.

6. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств путем следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

6.2. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Банка, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами Банка c соблюдением принципов и правил, предусмотренных настоящей Политики.

6.3. Обработка ПДн с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических документов ФСТЭК и ФСБ России по защите информации, а также комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».

6.4. Обработка персональных данных, осуществляемая без использования средств автоматизации, выполняется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

6.5. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Банка или лица, осуществляющие такую обработку по договору с Банком), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Банком без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также внутренними нормативными документами Банка.

6.6. Срок хранения ПДн ограничивается сроком необходимости их обработки.

6.7. Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом №152-ФЗ, осуществляется Банком с письменного согласия Субъекта персональных данных, оформленного в соответствии с требованиями Федерального закона №152-ФЗ. Равнозначным содержащему собственноручную подпись Субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью Субъекта ПДн.

6.8. Согласие на обработку персональных данных может быть дано Субъектом персональных данных или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

6.9. Согласие на обработку персональных данных может быть предоставлено Субъектом персональных данных посредством совершения следующих конклюдентных действий, если иное не предусмотрено федеральным законом:

- При прохождении процедуры регистрации или заполнения заявки на продукты/услуги на любом из сайтов Банка в домене vfbank.ru и проставление в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренном в тексте, предлагаемом для ознакомления перед осуществлением регистрации. Согласие считается полученным с момента такой регистрации, при условии ее подтверждения Субъектом персональных данных в установленном порядке, и действует до момента отмены Субъектом ПДн регистрации на сайте Банка или до момента направления Субъектом персональных данных Банку отзыва согласия на обработку персональных данных.

6.10. В случаях, когда предоставление персональных данных и\или получение Банком согласия на обработку ПДн является обязательным в соответствии с федеральным законом, Банк в рамках своей обязанности разъясняет Субъекту ПДн юридические последствия отказа Субъекта предоставить его ПДн и \или дать согласие на их обработку.

6.11. Банк вправе обрабатывать ПДн без согласия Субъекта ПДн (в т.ч. при отзыве Субъектом ПДн согласия на обработку ПДн) при наличии оснований, указанных в ч.2 ст.9 Федерального закона №152-ФЗ.

6.12. В случае отсутствия Согласия Субъекта ПДн и оснований, указанных в ч.2 ст.9 Федерального закона обработка ПДн не осуществляется.

6.13. Создание фото- и видеоизображений в помещениях Банка и на прилегающей территории может производиться Банком с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и для последующей передачи в правоохранительные органы в случае необходимости. Указанные фото- и видеоизображения не используются с целью идентификации Субъектов персональных данных и не рассматриваются Банком как биометрические персональные данные.

6.14. Персональные данные Субъекта могут быть получены Банком от лица, не являющегося Субъектом персональных данных, при условии предоставления Банку подтверждения наличия согласия Субъекта персональных данных на обработку его ПДн или наличия оснований, указанных в п.п. 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ.  

6.15. Если ПДн получены не от Субъекта персональных данных, а от третьих лиц, Банк, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона №152-ФЗ, до начала обработки таких ПДн предоставляет Субъекту ПДн следующую информацию:

- наименование либо фамилия, имя, отчество и адрес оператора ПДн или его представителя;

- цель обработки персональных данных и ее правовое основание;

-   перечень персональных данных;

- перечень предполагаемых пользователей персональных данных;

- об установленных Федеральным законом №152-ФЗ правах Субъекта персональных данных;

- об источнике получения персональных данных.

6.16. Право доступа к персональным данным Субъектов персональных данных на бумажных и электронных носителях имеют работники Банка в соответствии с их должностными обязанностями.

6.17. Передача персональных данных Субъектов персональных данных третьим лицам осуществляется Банком в соответствии с требованиями действующего законодательства Российской Федерации.

6.18. Банк вправе поручить обработку ПДн третьей стороне с согласия Субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора.

7. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. В договорах, заключенных между Банком субъектом ПДН, предусматривается обязательство сторон о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона №152-ФЗ,

7.2. Банк при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.3. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Банком, планируются и реализуются в целях обеспечения соответствия требованиям Федерального закона №152-ФЗ.

7.4. Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства Российской Федерации. Банк в частности принял следующие меры:

- назначен ответственный за организацию обработки ПДн в Банке;

- разработаны и внедрены внутренние документы по вопросам обработки ПДн, а также внутренние документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке ПДн и устранение последствий таких нарушений;

- применяются правовые, организационные и технические меры по обеспечению безопасности ПДн;

- осуществляется внутренний контроль соответствия обработки ПДн Федеральному закону №152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Банка в отношении обработки ПДн, внутренним документам Банка;

- работники Банка, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Банка в отношении обработки ПДн, внутренними документами по вопросам обработки ПДн.

7.5. В случае передачи документов, содержащих персональные данные, по электронной почте Субъект ПДн может зашифровать их, используя один из предоставленных Банком способов. Отказ Субъекта использовать средства защиты персональных данных снимает ответственность с Банка за обеспечение конфиденциальности в процессе их передачи от Субъекта ПДн Банку.

7.6. В дополнение к требованиям Федерального закона №152-ФЗ в Банке осуществляется комплекс мероприятий, направленных на защиту информации о своих клиентах, работниках и контрагентах. Банк руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, Банка России, других регулирующих организаций, а также российскими и международными практиками в сфере защиты ПДн.

7.7. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав Субъектов ПДн, Банк обязан с момента выявления такого инцидента Банком, Роскомнадзором или иным заинтересованным лицом уведомить Роскомнадзор:

1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов ПДн, и предполагаемом вреде, нанесенном правам Субъектов ПДн о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Банком на взаимодействие с Роскомнадзором, по вопросам, связанным с выявленным инцидентом;

2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

8. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Хранение персональных данных в Банке осуществляется в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем/залогодателем по которому является Субъект ПДн.

8.2. В случае обработки персональных данных, осуществляемой без использования средств автоматизации, Банк обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

8.3. При определении сроков хранения ПДн Банк исходит из требований:

- законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

- гражданского законодательства;

- законодательства о бухгалтерском учете;

- налогового законодательства;

- Трудового Кодекса Российской Федерации;

- иных нормативно - правовых актов, регулирующих деятельность Банка.

8.4. В случае решения Субъекта ПДн об Отзыве Согласия на обработку его ПДн, Банку направляется соответствующее заявление, содержащее ПДн Субъекта, данные документа удостоверяющего личность и подпись Субъекта. В случае если Субъект не указал в отзыве в явном виде ПДн и целей, для которых осуществляется отзыв Согласия, Банк считает, что согласие отозвано для всех типов ПДн и целей.

8.5. ПДн, неиспользуемые в операционной деятельности Банка, и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом от 22.10.2001 №125-ФЗ

"Об архивном деле в Российской Федерации",  Положением Росархива № 1, Банка России № 801-П от 12.07.2022"Об утверждении Перечня документов, образующихся в процессе деятельности кредитных организаций, с указанием сроков их хранения" и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов.

8.6. Архивирование документов, содержащих ПДн, осуществляется в установленном в Банке порядке. Обязательным условием архивирования ПДн является обеспечение их конфиденциальности и безопасности.

8.7. При осуществлении хранения персональных данных Банк использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона №152-ФЗ.

8.8. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию в следующих случаях, если иное не предусмотрено соглашением между Банком и Субъектом ПДн, договором, выгодоприобретателем или поручителем по которому является Субъект ПДн, или федеральным законом:

- достижение целей обработки персональных данных;

- в случае утраты необходимости в достижении целей обработки ПНд, если иное не предусмотрено федеральным законом - истечение срока действия согласия или отзыв согласия Субъектом ПДн;

- выявление неправомерной обработки персональных данных.

8.9. В случае отсутствия возможности уничтожения ПДн в течение сроков, указанных в ч.3-5.1 ст.21 Федерального закона №152-ФЗ, Банк осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

9. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ЕГО ПДн

9.1. Субъект персональных данных имеет право:

9.1.1.    на получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных ч.8 ст.14 Федерального закона № 152-ФЗ, в том числе содержащей:

- подтверждение факта обработки персональных данных Банком;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Банком способы обработки персональных данных;

- наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе сроки их хранения;

- порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом №152-ФЗ;

- информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных, в случае если Банк осуществляет трансграничную передачу данных;

  - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу;

-информацию о способах исполнения Банком обязанностей, установленных ст.18.1 Федерального закона № 152-ФЗ.

- иные сведения, предусмотренные Федеральным законом №152-ФЗ или другими федеральными законами.

9.1.2. Требовать от Банка уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.1.3. Обжаловать действия или бездействие Банка, как Оператора ПДн, в уполномоченный орган по защите прав Субъектов ПДн или в судебном порядке.

9.2. Порядок направления Субъектом персональных данных (его представителем) запросов на предоставление сведений определен требованиями Федерального закона №152-ФЗ. В частности, в соответствии с указанными требованиями запрос на получение информации в Банке должен содержать:

- серию, номер основного документа, удостоверяющего личность Субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие Субъекта персональных данных в отношениях с Банком (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Банком;

- подпись Субъекта персональных данных (его представителя).

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с действующим законодательством Российской Федерации.

9.3. Субъекты персональных данных несут ответственность за предоставление Банку достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

9.4. Банк обязан сообщить Субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему Субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении Субъекта ПДн или его представителя в  сроки, определенные требованиями Федерального закона № 152-ФЗ   при условии, что запрос оформлен в соответствии с требованиями п.9.2 настоящей Политики. Банк предоставляет сведения Субъекту ПДН или его представителю в той форме, в которой  направлены соответствующие обращения  либо запрос, если иное не указано в обращении или запросе.

9.5. Банк вправе отказать в предоставлении информации Субъекту ПДн или его представителю при их обращении либо при получении запроса. Отказ возможен в следующих случаях если:

- право Субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если:

- обработка ПДн осуществляется в соответствии с действующим законодательством Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

- доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

- в иных случаях, предусмотренных частью 8 статьи 14 Федерального закона №152-ФЗ.

9.6. В случае реализации Субъектом ПДн своего права требования в части уточнения своих ПДн, их блокирования или уничтожения на основании того, что ПДн являются неполными, неточными или неактуальными Банк в сроки, установленные законодательством, обязан внести в них необходимые изменения, осуществить блокирование или уничтожение.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1.  Банк, его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов, требований к защите и условий обработки ПДн физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.

10.2. В случае изменения законодательства Российской Федерации настоящая Политика до момента её изменения Банком применяется в части, не противоречащей требованиям законодательства Российской Федерации.