УТВЕРЖДЕНО

Председателем Правления ООО «Бланк банк» Приказ от 26 сентября 2022 г. №91/3

GBR.185

ПОЛИТИКА

в отношении обработки персональных данных в Обществе с ограниченной ответственностью «Бланк банк»

СОДЕРЖАНИЕ

1. Общие положения 3

2. Нормативные ссылки 3

3. Термины, определения и сокращения 4

4. Правовые основания обработки персональных данных 6

5. Категории субъектов персональных данных 8

6. Перечень персональных данных, обрабатываемых в Банке 9

7. Цели и основные принципы обработки персональных данных 9

8. Порядок и условия обработки персональных данных 11

9. Использование web-ресурсов Банком 14

10. Перечень действий с персональными данными и способы их обработки 15

11. Сроки обработки персональных данных 15

12. Права и обязанности субъекта персональных данных 15

13. Права и обязанности Банка, как оператора персональных данных 17

14. Меры Банка, направленные на обеспечение выполнения обязанностей по обработке

    и защите персональных данных 18

15. Ответы на запросы (обращения) субъектов персональных данных 20

16. Ответственность 21

17. Заключительные положения 21

Приложение 1. Запрос субъекта персональных данных (его представителя) на получение информации, касающейся обработки персональных данных 22

Приложение 2. Обращение субъекта персональных данных (его представителя)

на уточнение/блокирование/уничтожение персональных данных 23

Приложение 3. Запрос (обращение) субъекта персональных данных (его представителя)

по вопросу отзыва согласия на обработку персональных данных 24

1. Общие положения

   1. Настоящая Политика в отношении обработки персональных данных (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Обществе с ограниченной ответственностью

      «Бланк банк» (далее — Банк) персональных данных, функции Банка при обработке персональных данных, права субъектов персональных данных и реализуемые в Банке требования по защите персональных данных.

   2. Банк, являясь оператором, осуществляющим обработку персональных данных, обеспечивает полное соблюдение прав и свобод граждан — субъектов персональных данных при обработке их персональных данных, в том числе обеспечивает защиту их прав на неприкосновенность частной жизни, личной и семейной тайн и принимает меры для обеспечения выполнения обязанностей, предусмотренных Федеральный законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

   3. Политика разработана в соответствии с требованиями подпункта 2 пункта 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

   4. Целью настоящей Политики является установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных в Банке.

   5. Положения настоящей Политики детализируются во внутренних документах Банка.

   6. Действие Политики распространяется на все процессы Банка, связанные с обработкой персональных данных.

   7. Положения настоящей Политики являются обязательными для исполнения всеми работниками Банка, имеющими доступ к персональным данным.

   8. Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства РФ в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам других контрольных мероприятий.

   9. Настоящий документ является общедоступным и подлежит размещению на web-ресурсах Банка в информационно-телекоммуникационной сети Интернет.

      
      

2. Нормативные ссылки

   1. Трудовой кодекс РФ.

   2. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных«.

   3. Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера».

   4. Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения

      об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

   5. Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований

      к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

   6. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

   7. Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

   8. Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных

      для каждого из уровней защищенности».

   9. Приказ Роскомнадзора от 05.09.2013 № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

   10. Указание Банка России от 15.07.2021 № 5861-У «О порядке представления кредитными организациями в уполномоченный орган сведений и информации в соответствии

       со статьями 7 и 7.5 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

   11. Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения».

   12. Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования».

   13. Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности».

   14. Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

   15. Федеральный закон от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле».

   16. Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг».

   17. Федеральный закон от 23.12.2003 № 177-ФЗ «О страховании вкладов физических лиц в банках РФ».

   18. Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях».

       
       

3. Термины, определения и сокращения

   1. Термины и определения

      Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

      Банк — общество с ограниченной ответственностью «Бланк банк», являющийся в рамках Федерального закона «О персональных данных» оператором по обработке персональных данных, а именно: организующий и (или) осуществляющий самостоятельно или совместно с другими лицами обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

      Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

      Доменное имя — обозначение символами, предназначенное для адресации сайтов

      в информационно-телекоммуникационной сети Интернет в целях обеспечения доступа к информации, размещенной в информационно-телекоммуникационной сети Интернет

      Заявитель — физические лицо, направившие обращение в Банк.

      Информация — сведения (сообщения, данные) независимо от формы их представления.

      Информационная система персональных данных — совокупность содержащихся

      в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

      Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Банка в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов персональных данных либо иным образом затрагивающих их права и свободы или права и свободы других лиц.

      Кандидат — физическое лицо, претендующее на вакантную должность в Банке, персональные данные которого приняты Банком.

      Конфиденциальность персональных данных — обязательное для соблюдения Банком или иным получившим лицом, получившим доступ к персональным данным, требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иных законных оснований, предусмотренных действующим законодательством РФ в области персональных данных.

      Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

      Обработка персональных данных / Обработка — любое действие (операция) или совокупность действий (операций) совершаемых с использованием средств

      автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

      Оператор персональных данных (Оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

      Ответственный за организацию обработки персональных данных — должностное лицо, которое назначается Приказом Председателя Правления, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации обработки персональных данных в Банке

      в соответствии с положениями законодательства РФ в области персональных данных.

      Персональные данные — любая информация, относящаяся прямо или косвенно

      к определенному или определяемому физическому лицу (субъекту персональных данных).

      Пользовательские данные — данные о пользователях web-ресурсов (сайтов) Банка, расположенных в информационно-телекоммуникационной сети Интернет, доступные

      и собираемые Банком с помощью метрических программ Google Analytics, Яндекс Метрика, Roistat, иных программ.

      Посетители web-ресурсов (Пользователи) — физические лица, получающие доступ

      к web-pecypcам Банка с использованием web-браузера и (или) мобильного приложения.

      Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

      Работник Банка — физическое лицо, заключившее с Банком трудовой договор.

      Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

      Субъект персональных данных — физическое лицо, которое прямо или косвенно определенно или определяемо на основании относящихся к нему персональных данных.

      Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

      Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

      Файлы «cookies» — набор данных, хранимых в настройках web-браузера субъекта персональных данных и обрабатываемых web-ресурсом Банка при использовании субъектом персональных данных такого web-ресурса.

      Web-браузер — программное обеспечение, используемое субъектом персональных данных, для просмотра информации, в том числе web-ресурсов.

      Web-ресурс — информационная система Банк, использующая технологии представления и передачи данных для оказания информационных услуг в информационно-телекоммуникационной сети Интернет.

   2. Принятые сокращения

      Федеральный закон «О персональных данных» — Федеральный закон РФ от 27.07.2006

      № 152-ФЗ «О персональных данных»

      РФ — Российская Федерация

      
      

4. Правовые основания обработки персональных данных

   1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Банк осуществляет обработку персональных данных:

      1. Федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Банка:

         • Налоговый кодекс РФ;

         • Гражданский Кодекс РФ;

         • ст. 86–90 Трудового кодекса РФ;

         • Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»;

         • Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях»;

         • Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

         • Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;

         • Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;

         • Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

         • Федеральный закон от 23.12.2003 № 177-ФЗ «О страховании вкладов в банках Российской Федерации»;

         • Федеральный закон от 01.04.1996 № 27-ФЗ 01.04.1996 № 27-ФЗ

           «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

         • Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

         • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

         • Положение Банка России от 20.07.2007 № 307-П «О порядке ведения учета

           и представления информации об аффилированных лицах кредитных организаций»;

         • Положение Банка России от 15.10.2015 № 499-П «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей

           и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

         • Положение Банка России от 28.06.2017 № 590-П «О порядке формирования кредитными организациями резервов на возможные потери по ссудам, ссудной и приравненной к ней задолженности»;

         • Положение Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»;

         • Положение Банка России от 23.10.2017 № 611-П «О порядке формирования кредитными организациями резервов на возможные потери»;

         • Положение Банка России от 04.06.2020 № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;

         • Указание Банка России от 15.07.2021 № 5861-У «О порядке представления кредитными организациями в уполномоченный орган сведений и информации в соответствии со статьями 7 и 7.5 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем,

           и финансированию терроризма»;

         • Указание Банка России от 16.08.2017 № 4498-У «О порядке передачи уполномоченными банками, государственной корпорацией «Банк развития

           и внешнеэкономической деятельности (Внешэкономбанк)» органам валютного контроля информации о нарушениях лицами, осуществляющими валютные операции, актов валютного законодательства РФ и актов органов валютного регулирования»;

         • Инструкция Банка России от 30.06.2021 № 204-И «Об открытии, ведении и закрытии банковских счетов и счетов по вкладам (депозитам);

         • Инструкция Банка России от 16.08.2017 № 181-И «О порядке представления резидентами и нерезидентами уполномоченным банкам подтверждающих документов и информации при осуществлении валютных операций, о единых формах учета и отчетности по валютным операциям, порядке и сроках

           их представления»;

         • Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

         • Приказ Федеральной службы безопасности (ФСБ России) от 10.07.2014 № 378

           «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке

           в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности»;

         • Национальный стандарт РФ ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер» (утвержден и введен в действие

           приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 г. № 822-ст);

         • иные нормативные правовые акты РФ и нормативные документы исполнительных органов государственной власти.

      2. Устав Банка.

      3. Договоры, заключаемые между Банком и субъектом персональных данных, между Банком и иным лицом, поручившим Банку обработку персональных данных.

      4. Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям Банка).

         
         

5. Категории субъектов персональных данных

   1. Банком осуществляется обработка полученных в установленном законом порядке персональных данных, принадлежащих следующим субъектам персональных данных:

      • кандидатам на трудоустройство;

      • практикантам;

      • работникам Банка, в том числе бывшим;

      • родственникам работников Банка и практикантов;

      • клиентам — физическим лицам, уполномоченным представлять клиентов — физических лиц (владелец счета, открытого в Банке, заемщик, вкладчик, выгодоприобретатель

        и иные лица, пользующиеся банковскими, финансовыми, иными услугами Банка);

      • контрагентам клиентов — физическим лицам;

      • руководителям, главным бухгалтерам юридических лиц, уполномоченных представителей юридических лиц, являющихся клиентами Банка (владелец счета, открытого в Банке, заемщик, клиент, находящийся на брокерском, депозитарном обслуживании), сторонами в операциях факторинга, выдачи банковских гарантий, договора дооверительного управления, иных договорах об оказании Банком услуг и предоставлении банковских продуктов;

      • поручителям;

      • залогодателям;

      • потенциальным клиентам — физическим лицам;

      • посетителям web-ресурсов Банка;

      • заявителям;

      • уполномоченным представителям потенциальных клиентов — юридических лиц;

      • физическим лицам, осуществляющим выполнение работ по оказанию услуг и заключившим с Банком договора гражданско-правового характера;

      • физическим лицам, входящим в органы управления Банка, и их родственникам;

      • физическим лицам, приобретшим или намеревающимся приобрести услуги Банка, услуги третьих лиц при посредничестве Банка или не имеющим с Банком договорных отношений при условии, что их персональные данные включены в автоматизированные системы Банка и обрабатываются в соответствии с Законодательством о персональных данных;

      • работникам партнеров Банка, субподрядчиков, поставщиков и других юридических лиц, обработка персональных данных для которых осуществляется по поручению указанных юридических лиц в соответствии с законодательством РФ;

      • физическим лицам, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных;

      • физическим лицам, не состоящим в трудовых или гражданско-правовых отношениях, или иных договорных отношениях с Банком, проходящим на территорию (в помещения) на которой находится Банк;

      • представителям, выгодоприобретателям, бенефициарным владельцам действующих и потенциальных клиентов Банка;

      • физическим лицам — участника Банка, бенефициарным владельцам Банка, физическим лицам (представителями юридичских лиц), устанавливающих контроль в отношении Банка;

      • аффилированным лицам Банка;

      • иным физическим лицам, выразившим согласие на обработку Банком их персональных данных или физическим лицам, обработка персональных данных которых необходима Банку для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Банк функций, полномочий и обязанностей.

      
      

6. Перечень персональных данных, обрабатываемых в Банке

   1. Перечень персональных данных, обрабатываемых в Банке, определяется в соответствии с законодательством РФ и локальными актами Банка с учетом целей обработки персональных данных, указанных в разделе 7 Политики.

      
      

7. Цели и основные принципы обработки персональных данных

   1. Банк, являясь оператором персональных данных, осуществляет обработку персональных данных в целях:

      • осуществления банковских операций и иных сделок в соответствии с Уставом Банка, Федеральным законом от 27.06.2011 № 161-ФЗ «О национальной платежной системе», выданными Банку лицензиями на совершение банковских и иных операций;

      • заключения с субъектом персональных данных любых договоров и их дальнейшего исполнения;

      • предоставления субъекту персональных данных информации об оказываемых Банком услугах, о разработке Банком новых продуктов и услуг;

      • проведения Банком акций, опросов, исследований;

      • привлечения и отбора кандидатов на трудоустройство в Банк;

      • содействия кандидатам в трудоустройстве, работникам в получении образования и продвижения по службе;

      • обеспечения личной безопасности работников Банка, кандидатов на трудоустройство, практикантов;

      • контроля количества и качества выполняемой работы работниками Банка и обеспечения сохранности имущества;

      • регулирования трудовых отношений с работниками Банка, включая заключение, сопровождение, изменение, расторжение трудовых договоров, исполнение соответствующих требований законодательства РФ в области кадрового делопроизводства, бухгалтерского, налогового и иного учета, оформление медицинского страхования и банковских (зарплатных) карт, обучение работников, оформление отпусков и направления в командировки, социальные выплаты, учет налоговых льгот и вычетов для работников;

      • реализации условий раскрытия обязательной и дополнительной информации Банка, внутренние и внешние коммуникации, в том числе взаимодействие со средствами массовой информации, используемые для формирования достоверного представления о деятельности Банка, обработку персональных данных аффилированных лиц в целях исполнения законодательства РФ;

      • формирования справочных материалов для внутреннего информационного обеспечения деятельности Банка;

      • обеспечения внутриобъектового и пропускного режимов Банка;

      • обеспечения соблюдения законов и иных нормативных актов.

   2. Обработка персональных данных Банком осуществляется на основе принципов, предусмотренных Федеральным законом «О персональных данных»:

      • законности целей и способов обработки персональных данных;

      • добросовестности Банка, как оператора персональных данных, что достигается путем выполнения требований законодательства РФ в отношении обработки персональных данных;

      • недопущения обработки персональных данных субъектов персональных данных, которые не отвечают целям обработки.

      • соответствия содержания, состава и объема обрабатываемых персональных данных заявленным целям обработки;

      • точности и достаточности, а в необходимых случаях и актуальности персональных данных по отношению к заявленным целям их обработки;

      • уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления (если иное не предусмотрено законодательством РФ);

      • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

      • предотвращения несанкционированного доступа к персональным данным субъектов и (или) передачи их лицам, не имеющим права на доступ к персональным данным;

      • своевременного обнаружения фактов несанкционированного доступа к персональным данным;

      • предупреждения возможности неблагоприятных последствий нарушения порядка доступа к персональным данным;

      • недопущения воздействия на технические средства обработки персональных данных, в результате которого нарушается их функционирование;

      • нахождения на территории РФ баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ;

      • хранения персональных данных субъектов персональных данных не дольше, чем этого требуют цели обработки персональных данных, а также федеральные законы и договоры, стороной которых, выгодоприобретателем или поручителем по которым является субъект персональных данных;

      • постоянного контроля за обеспечением уровня защищенности персональных данных.

   3. Банк не осуществляет обработку биометрических персональных данных и специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством РФ.

   4. Работники Банка, допущенные к обработке персональных данных, обязаны:

      • знать и неукоснительно выполнять положения законодательства РФ в области персональных данных, настоящей Политики, локальных актов Банка по вопросам обработки и обеспечения безопасности персональных данных;

      • обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

      • не разглашать персональные данные, доступ к которым они получили или о которых им стало известно в ходе исполнения своих должностных обязанностей;

      • сообщать о действиях лиц, которые могут привести к нарушению положений настоящей Политики;

      • сообщать об известных фактах нарушения требований настоящей Политики ответственному за организацию обработки персональных данных в Банке.

   5. Безопасность персональных данных при их обработке в Банке обеспечивается выполнением согласованных мероприятий, входящих в состав системы защиты персональных данных Банка, направленных на предотвращение (нейтрализацию) актуальных угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.

   6. Система защиты персональных данных включает в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности персональных данных

      и информационных технологий, используемых в информационных системах Банка.

      
      

8. Порядок и условия обработки персональных данных

   1. Обработка персональных данных в Банке осуществляется с согласия субъекта персональных данных кроме случаев, установленных законодательством РФ

      с соблюдением требований конфиденциальности персональных данных, установленных статьей 7 Федерального закона «О персональных данных», а также принятием мер, направленных на обеспечение выполнения обязанностей по обработке и защите персональных данных, установленных законодательством РФ.

   2. Обработка персональных данных может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

   3. Обработка персональных данных осуществляется путем:

      • получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;

      • предоставления субъектами персональных данных оригиналов необходимых документов;

      • получения заверенных в установленном порядке копий документов, содержащих персональные данные или копирования оригиналов документов;

      • получения персональных данных при направлении запросов в органы государственной власти, государственные внебюджетные фонды, иные государственные органы, органы местного самоуправления, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством РФ;

      • получения персональных данных из общедоступных источников;

      • фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;

      • внесения персональных данных в информационные системы Банка;

      • использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Банком деятельности.

   4. В Банке запрещается принятие решений на основании исключительно автоматизированной обработки персональных данных, которые порождают юридические последствия

      в отношении субъекта персональных данных, или иным образом затрагивают его права

      и законные интересы, кроме случаев и условий, предусмотренных законодательством РФ в области персональных данных.

   5. Банк вправе поручить обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю с согласия субъектов персональных данных на основании заключаемого договора.

   6. В случае, когда Банк на основании договора передает или поручает обработку персональных данных другому юридическому лицу или индивидуальному предпринимателю, существенным условием договора должна быть обязанность обеспечения указанным лицом условий конфиденциальности и обеспечения безопасности персональных данных при их передаче или обработке. Такой договор в обязательном порядке должен содержать:

      • перечень действий (операций) с персональными данными, которые будут совершаться третьим лицом, осуществляющим обработку персональных данных;

      • цели обработки персональных данных;

      • обязанности третьего лица соблюдать конфиденциальность персональных данных и обеспечивать их безопасность при обработке, а также требования к защите обрабатываемых персональных данных.

   7. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку

      его персональных данных.

   8. В случае, когда Банк поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Банк. Лицо, осуществляющее обработку персональных данных по поручению Банка, несет ответственность перед Банком.

   9. Персональные данные не раскрываются Банком третьим лицам и не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ. При раскрытии (предоставлении) персональных данных третьим лицам соблюдаются требования к защите обрабатываемых персональных данных.

   10. В целях внутреннего информационного обеспечения Банк может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ, могут включаться его фамилия, имя, отчество, фотография, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.

   11. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных, дознания и следствия и иных уполномоченных органов по основаниям, предусмотренным действующим законодательством РФ) получают доступ к персональным данным, обрабатываемым в Банке, в объеме и порядке, установленном законодательством РФ.

   12. В ходе своей деятельности Банк может осуществлять трансграничную передачу персональных данных на территорию иностранных государств, являющихся сторонами Конвенции о защите физических лиц при автоматизированной обработке персональных данных, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, в соответствии с требованиями Федерального закона

       «О персональных данных».

       Трансграничная передача персональных данных на территорию иностранного государства, не являющегося стороной указанной Конвенции, осуществляется в соответствии

       с законодательными актами РФ при условии соответствия действующих в этом государстве норм права и применяемых мер безопасности персональных данных положениям Конвенции.

   13. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия согласия субъекта персональных данных на обработку его персональных данных или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных.

   14. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных и нормативными актами Банка в области документооборота.

   15. В случае выявления факта неправомерности обработки персональных данных

       при обращении субъекта персональных данных или его представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокирование

       неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента обращения или получения запроса на период проверки.

   16. В случае выявления факта неточности персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокировку персональных данных, относящихся к этому субъекту персональных данных,

       или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения запроса на период проверки, если блокирование персональных данных

       не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

   17. В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных субъектом персональных данных или его представителем

       либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим

       по поручению Банка) в течение семи рабочих дней со дня представления таких сведений и снятие блокировки персональных данных.

   18. В случае выявления неправомерной обработки персональных данных Банком или лицом, действующим по поручению Банка, Банк в срок, не превышающий трех рабочих дней

       с даты выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Банка. В случае, если обеспечить правомерность обработки персональных данных невозможно, Банк в срок, не превышающий десяти рабочих дней с даты выявления, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных

       данных Банк уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

   19. При достижении целей обработки персональных данных или в случае отзыва субъектом персональных данных согласия на обработку его персональных данных Банк прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) и уничтожает персональные данные или обеспечивает уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных или с даты поступления указанного отзыва согласия на обработку персональных данных, если:

       • Банк не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами;

       • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; иное не

       предусмотрено иным соглашением между Банком и субъектом персональных данных.

   20. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 8.18–8.19 настоящего раздела, Банк осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок

       не установлен федеральными законами.

   21. Реагирование на запросы / обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности

       их обработки, отзыва согласия и доступа субъекта персональных данных осуществляется в соответствии с разделом 15 настоящей Политики.

       
       

9. Использование web-ресурсов Банком

   1. Настоящая Политика является публичной офертой и определяет условия использования web-ресурсов Банка (существующих и создаваемых в будущем), любыми пользователями информационно-телекоммуникационной сети Интернет, просматривающих web-ресурс.

   2. Принимая настоящую Политику, посетитель web-ресурса Банка выражает полное

      и безоговорочное согласие со всеми его условиями, в том числе, в части предоставления согласия на обработку персональных данных посетителя на условиях, предусмотренных настоящей Политикой, в том числе с тем, что Банк может обрабатывать пользовательские данные с помощью метрических программ Google Analytics, Яндекс Метрика, Roistat, иных программ в объеме и целях, указанных выше.

   3. Банк использует файлы «cookies», в том числе обрабатывает сведения о посетителях

      web-ресурсов необходимые для правильной работы web-ресурсов Банка, а также в целях улучшения работы, персонализации сервисов и удобства посетителей web-ресурсов.

   4. Часть функционала web-ресурсов может быть использована без предоставления персональных данных, однако, для использования специальных возможностей web-ресурсов Банка необходимо предоставить пользовательские данные, включая

      персональные данные. При удалении или ограничении использования файлов «cookies» некоторые функции web-ресурсов могут оказаться недоступны.

   5. При предоставлении персональных данных на web-ресурах пользователь подтверждает свое ознакомление и согласие с настоящей Политикой в полном объеме и согласие

      на использование файлов «cookies».

   6. В случае если отдельные web-ресурсы Банка предусматривают ввод персональных данных, такие персональные данные хранятся и обрабатываются в соответствии с принципами

      и правилами обработки персональных данных, предусмотренными Федеральным законом

      «О персональных данных».

   7. В отношении персональных данных сохраняется их конфиденциальность, кроме случаев добровольного предоставления пользователем информации о себе для общего доступа неограниченному кругу лиц.

   8. Выбор состава пользовательских данных для обработки зависит от используемого

      web-браузера и устройства. Чтобы узнать, как управлять файлами «cookies» с помощью используемых web-браузера или устройства посетителю web-ресурсов следует воспользоваться инструкцией, предоставляемой разработчиком web-браузера или производителем используемого устройства.

   9. Пользовательские данные Банком могут использоваться для:

      • предоставления информации о Банке, его продуктах и услугах;

      • усовершенствования продуктов и (или) услуг Банка и для разработки новых продуктов и (или) услуг Банка;

      • ведения статистики о пользователях;

      • хранения персональных предпочтений и настроек пользователей;

      • отслеживания состояния сессии доступа пользователей;

      • обеспечения функционирования и улучшения качества web-ресурсов Банка;

      • обеспечение безопасности, снижения рисков возможного мошенничества при работе с web-ресурсами Банка;

      • использования интернет-форм на сайте Банка;

      • предоставления дистанционного обслуживания;

      • формирования списка интересов;

      • демонстрации пользователю интернет-контента.

   10. Субъект персональных данных не использует web-ресурсы Банка и не представляет Банку свои персональные данные, если он не согласен с положениями данного раздела настоящей Политики.

   11. Пользовательские данные уничтожаются, либо обезличиваются по достижении указанных выше целей обработки или в случае утраты необходимости в достижении этих целей.

       
       

10. Перечень действий с персональными данными и способы их обработки

    1. Банк осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

    2. В качестве способов обработки персональных данных в Банке применяются:

       • неавтоматизированная обработка персональных данных;

       • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

       • смешанная обработка персональных данных.

       
       

11. Сроки обработки персональных данных

    1. Сроки обработки обрабатываемых Банком персональных данных субъектов персональных данных определяются во внутренних документах Банка с учетом:

       • установленных целей обработки персональных данных;

       • сроков действия договоров, стороной в которых либо выгодоприобретателем или поручителем по которым выступает субъект персональных данных, и договоров, заключенных по инициативе субъекта персональных данных;

       • Приказ Росархива от 20.12.2019 № 237 «Об утверждении Инструкции по применению Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления

         и организаций, с указанием сроков их хранения»;

       • сроков исковой давности;

       • иных нормативных документов РФ, внутренних нормативных документов.

       
       

12. Права и обязанности субъекта персональных данных

    1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе:

       • подтверждение факта обработки персональных данных Банком;

       • правовые основания и цели обработки персональных данных;

       • цели и применяемые Банком способы обработки персональных данных;

       • наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона;

       • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

       • сроки обработки персональных данных, в том числе сроки их хранения;

       • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

       • информацию об осуществленной или о предполагаемой Трансграничной передаче персональных данных;

       • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу;

    2. Иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами. Право субъекта персональных данных на получение информации, касающейся обработки его Персональных данных, может быть ограничено в случаях, установленных Федеральным законом «О персональных данных».

    3. В случае, если сведения, указанные в пункте 12.1 настоящего раздела, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Банк или направить повторный запрос в целях получения сведений, указанных в пункте 12.1 настоящего раздела, и ознакомления с такими персональными данными

       не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

    4. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 12.1 настоящего раздела, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 12.3 настоящего раздела, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления

       в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 12.3 настоящего раздела, должен содержать обоснование направления повторного запроса.

    5. Субъект персональных данных имеет право принимать предусмотренные законом меры по защите своих прав, требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными, не являются необходимыми для заявленной цели обработки или используются в целях, не заявленных ранее при предоставлении субъектом персональных данных согласия на обработку персональных данных.

    6. Субъект персональных данных имеет право отозвать данное согласие на обработку своих персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».

    7. Если субъект персональных данных считает, что Банк осуществляет обработку

       его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Банка в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

    8. Субъект персональных данных имеет также иные права, установленные Федеральным законом «О персональных данных».

    9. Субъект персональных данных несет ответственность за предоставление Банку достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

       
       

13. Права и обязанности Банка, как оператора персональных данных

    1. Банк, как оператор персональных данных, вправе:

       1. Обрабатывать персональные данные субъекта персональных данных в соответствии с заявленной целью.

       2. Требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Законодательством о персональных данных.

       3. Ограничить доступ субъекта персональных данных к его персональным данным в случаях:

          • если обработка персональных данных осуществляется в соответствии

            с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, финансированию терроризма и финансированию распространения оружия массового уничтожения;

          • доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

          • в иных случаях, предусмотренных законодательством РФ.

       4. Обрабатывать общедоступные персональные данные физических лиц.

       5. Осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ.

       6. Использовать персональные данные субъектов персональных данных без их согласия в случаях, предусмотренных законодательством РФ.

       7. Поручить обработку персональных данных другому лицу с согласия субъекта персональных данных.

       8. Предоставлять персональные данные субъектов персональных данных третьим лицам в случаях, предусмотренных законодательством РФ (правоохранительные, налоговые органы и др.).

       9. Отстаивать свои интересы в суде.

    2. В случаях, установленных законодательством РФ в области персональных данных, Банк обязан предоставить субъекту персональных данных или его представителю при обращении либо при получении запроса от субъекта персональных данных или его представителя информацию, предусмотренную пунктом 12.1 раздела 12 настоящей Политики.

    3. Если предоставление персональных данных является обязательным в соответствии

       с Федеральным законом «О персональных данных», Банк обязан разъяснить субъекту персональных данных юридические последствия его отказа предоставить персональные данные субъекта.

    4. В случае получения персональных данных не от субъекта персональных данных Банк

       до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:

       • наименование либо фамилию, имя, отчество и адрес оператора или его представителя;

       • цель обработки персональных данных и ее правовое основание;

       • предполагаемые пользователи персональных данных;

       • установленные Федеральным законом «О персональных данных» права субъекта персональных данных;

       • источник получения персональных данных.

    5. Банк освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные пунктом 13.4 настоящего раздела Политики, в случаях, если:

       • субъект персональных данных уведомлен Банком об осуществлении обработки его персональных данных;

       • персональные данные получены Банком на основании федерального закона

         или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

       • персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

       • предоставление субъекту персональных данных сведений, предусмотренных пунктом 13.4 настоящего раздела Политики, нарушает права и законные интересы третьих лиц.

    6. Банк при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных Федеральным законом «О персональных данных».

    7. Банк несет иные обязанности, установленные Федеральным законом «О персональных данных.

       
       

14. Меры Банка, направленные на обеспечение выполнения обязанностей по обработке и защите персональных данных

    1. Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом

       «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом «О персональных данных» или другими нормативными актами.

    2. В Банке принимаются следующие меры по обеспечению выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» в области обработки персональных данных:

       • назначается ответственный за организацию обработки персональных данных;

       • издаются документы: Политика в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;

       • применяются правовые, организационные и технические меры по обеспечению обработки персональных данных в соответствии с требованиями Федерального закона «О персональных данных», Постановления Правительства РФ от 15.09.2008

         № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Положения Банка России от 20.07.2007 № 307-П «О порядке ведения учета и представления информации об аффилированных лицах кредитных организаций», Положения Банка

         России от 15.10.2015 № 499-П «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем,

         и финансированию терроризма», Инструкции Банка России от 30.06.2021 № 204-И

         «Об открытии, ведении и закрытии банковских счетов, счетов по вкладам (депозитам)», Инструкция Банка России от 16.08.2017 № 181-И «О порядке представления резидентами и нерезидентами уполномоченным банкам подтверждающих документов и информации

         при осуществлении валютных операций, о единых формах учета и отчетности по валютным операциям, порядке и сроках их представления»;

       • обеспечивается конфиденциальность персональных данных субъекта персональных данных со стороны Банка, со стороны аффилированных лиц, со стороны работников Банка, имеющих доступ к персональным данным субъектов, а также обеспечивается использование персональных данных вышеуказанными лицами исключительно в целях, соответствующих закону, договору или иному соглашению, заключенному с субъектом персональных данных;

       • осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных в Банке требованиями Федерального закона «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике, локальным актам в области обработки

         и обеспечения безопасности персональных данных;

       • проводится оценка вреда, который может быть причинен субъектам персональных данных

         в случае нарушения законодательства РФ о персональных данных, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;

       • осуществляется ознакомление работников Банка, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, настоящей Политикой, иными локальными актами Банка по вопросам обработки персональных данных;

       • проводится обучение работников Банка, непосредственно осуществляющих обработку персональных данных, по вопросам обработки и защиты персональных данных.

    3. С целью обеспечения безопасности персональных данных при их обработке Банк принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности:

       • определяются актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

       • определяются уровни защищенности персональных данных при их обработке в информационных системах персональных данных;

       • применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, направленные на нейтрализацию актуальных угроз безопасности персональных данных в соответствии с требованиями Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Приказа ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных

         и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», Приказа ФСБ России от 10.07.2014

         № 378 «Об утверждении состава и содержания организационных и технических мер

         по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите персональных данных для каждого из уровней защищенности», Положения

         Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», Положение Банка России от 04.06.2020 № 719-П

         «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», Национального стандарта РФ ГОСТ Р 57580.1-2017 «Безопасность финансовых

         (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер»;

       • осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

       • осуществляется учет машинных носителей персональных данных;

       • проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данными принятию соответствующих мер;

       • обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

       • устанавливаются правила доступа к персональным данным, обрабатываемым

       в информационной системе персональных данных, а также обеспечивается регистрация и учет действий, совершаемых с персональными данными в информационной системе персональных данных.

    4. Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности персональных данных.

       
       

15. Ответы на запросы (обращения) субъектов персональных данных

    1. Подтверждение факта обработки персональных данных Банком, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14

       Федерального закона № 152-ФЗ, предоставляются Банком субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

    2. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

    3. При реализации прав, указанных в пунктах 12.1., 12.5., 12.6. настоящей Политики, субъекту персональных данных рекомендуется использовать формы запросов (обращений) субъектов персональных данных в Банк, установленных в Приложениях № 1–3 к настоящей Политике.

    4. Запрос (обращение) должен содержать:

       • номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

       • сведения, подтверждающие участие субъекта персональных данных в отношениях

         с Банком (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Банком;

       • подпись субъекта персональных данных или его представителя.

    5. Запрос (обращение) может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

    6. Все поступившие запросы (обращения) субъектов персональных данных регистрируются в Журнале регистрации запросов и обращений субъектов персональных данных.

    7. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона № 152-ФЗ все необходимые сведения или субъект

       не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

    8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона № 152-ФЗ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права

       и законные интересы третьих лиц.

    9. Контакты Банка для направления обращений (запросов) субъектов персональных данных указаны на сайте Банка в разделе Контактная информация.

       
       

16. Ответственность

    1. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных в Банке.

    2. Банк, а также его должностные лица и работники несут гражданско-правовую, административную и иную предусмотренную законодательством РФ ответственность

       за несоблюдение принципов и условий обработки персональных данных субъектов, а также за разглашение или незаконное использование персональных данных.

       
       

17. Заключительные положения

    1. Политика вступает в силу с даты её утверждения Председателем Правления Банка

       и действует до ее отмены Председателем Правления Банка или утверждения Политики в новой редакции.

    2. Политика является общедоступной и подлежит размещению (опубликованию) в офисах Банка, на web-ресурсах Банка в информационно-телекоммуникационной сети Интернет.

    3. Изменения и дополнения в Политику вносятся решением Председателя Правления. Изменения, вносимые в настоящую Политику, вступают в силу со дня их утверждения, если иное не установлено самими изменениями.

    4. Банк рекомендует субъектам персональных данных регулярно обращаться к настоящей Политике с целью ознакомления с наиболее актуальной редакцией.

Приложение №1 к GBR.185 Политике в отношении обработки персональных данных в ООО «Бланк банк»

В ООО «Бланк банк»

(адрес организации)

от

(ФИО)

(номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем органе)

(адрес, контактные данные)

(номер договора, дата заключения договора, условное обозначение и (или) иные сведения)

Запрос субъекта персональных данных (его представителя) на получение информации, касающейся обработки персональных данных

В соответствии с положениями ч.7 ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» прошу предоставить мне для ознакомления следующую информацию, касающуюся обработки моих персональных данных:

наименование и место нахождения ООО «Бланк банк»; правовые основания и цели обработки персональных данных;

подтверждение факта обработки моих персональных данных ООО «Бланк банк»; цели и применяемые ООО «Бланк банк» способы обработки персональных данных;

сведения о лицах, за исключением работников ООО «Бланк банк», которые имеют доступ к моим персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «Бланк банк» или на основании законодательства Российской Федерации;

перечень обрабатываемых персональных данных и источник их получения; сроки обработки персональных данных, в том числе сроки их хранения;

информацию об осуществленной или о предполагаемой трансграничной передаче данных;

порядок осуществления моих прав, предусмотренных Федеральным законом от 27.07.2006

№ 152-ФЗ «О персональных данных»;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ООО «Бланк банк», если обработка поручена или будет поручена такому лицу;

документы, содержащие мои персональные данные.

Приложение №2 к GBR.185 Политике в отношении обработки персональных данных в ООО «Бланк банк»

В ООО «Бланк банк»

(адрес организации)

от

(ФИО)

(номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем органе)

(адрес, контактные данные)

(номер договора, дата заключения договора, условное обозначение и (или) иные сведения)

Обращение субъекта персональных данных (его представителя) на уточнение/блокирование/уничтожение персональных данных

В связи с выявлением недостоверных персональных данных,

В связи с выявлением неправомерной обработки персональных данных,

прошу уточнить / заблокировать / уничтожить мои персональные данные, обрабатываемые в ООО «Бланк банк», в связи с выявлением следующих неточных сведений:

(перечислить)

Приложение №3 к GBR.185 Политике в отношении обработки персональных данных в ООО «Бланк банк»

В ООО «Бланк банк»

(адрес организации)

от

(ФИО)

(номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем органе)

(адрес, контактные данные)

(номер договора, дата заключения договора, условное обозначение и (или) иные сведения)

Запрос (обращение) субъекта персональных данных

(его представителя) по вопросу отзыва согласия на обработку персональных данных

В соответствии с ч.2 ст.9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» отзываю свое согласие на обработку персональных данных и прошу прекратить обработку моих персональных данных, осуществляемую в целях:

по причине:

(указать причину отзыва согласия)

ООО «Бланк банк» вправе продолжить обработку моих персональных данных при наличии следующих оснований:

• обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на ООО «Бланк банк» функций, полномочий и обязанностей;

• обработка персональных данных осуществляется в связи с участием с судопроизводстве или необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

• обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора

  по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

• осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (общедоступные персональные данные);

• осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с действующим законодательством Российской Федерации.