Настоящая «Политика в области обработки персональных данных в ОАО «РосДорБанк»» (далее – Политика и Банк соответственно) является документом, определяющим основные цели, принципы, правила и процедуры обработки персональных данных в Банке.
Целью Политики является обеспечение выполнения требований законодательства Российской Федерации и нормативных актов в области обработки персональных данных, соблюдения прав и свобод человека и гражданина при обработке персональных данных, достижение высокого уровня безопасности обработки персональных данных.
Положения, содержащиеся в настоящей Политике, выработаны на основе следующих документов:
Трудового кодекса Российской Федерации;
Гражданского кодекса Российской Федерации;
Федерального закона «О персональных данных»;
Федерального закона «Об акционерных обществах»;
Федерального закона «О банках и банковской деятельности»;
Федерального закона «О кредитных историях»;
Федерального закона «О валютном регулировании и валютном контроле»;
Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
иных нормативно-правовых актов Российской Федерации.
Текст настоящей Политики публикуется на корпоративном сайте Банка в сети Интернет.
2.1 Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее – субъект персональных данных).
Банк обрабатывает персональные данные в процессе осуществления своей деятельности в соответствии с законодательством Российской Федерации и Уставом Банка.
Под обработкой персональных данных подразумевается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В Банке осуществляется обработка данных следующих категорий субъектов персональных данных:
клиентов и прочих контрагентов Банка, в том числе потенциальных, а также связанных с ними лиц;
потенциальных, действующих и бывших работников Банка;
учредителей, участников, акционеров, руководителей, представителей, распорядителей счета, должностных лиц и прочих работников клиентов и прочих контрагентов Банка, а также взаимосвязанных с ними лиц;
близких родственников клиентов и работников Банка;
акционеров Банка, аффилированных лиц Банка, руководителей юридических лиц, являющихся аффилированными лицами по отношению к Банку;
посетителей Банка.
Банк осуществляет смешанную обработку персональных данных с использованием средств автоматизации а так же без использования средств автоматизации.
Перечень обрабатываемых Банком персональных данных, их объем и содержание, формируется в соответствии с Федеральным законом «О персональных данных», иными федеральными законами, нормативно-правовыми актами Российской Федерации, нормативными актами Банка России, Уставом и внутренними документами Банка.
Обработка персональных данных осуществляется в Банке на основе следующих принципов:
обработка персональных данных должна осуществляться на законной и справедливой основе;
обработка персональных данных должна быть ограничена достижением конкретных, заранее определенных и законных целей;
не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только те персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
неполные или неточные данные должны быть удалены или уточнены;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
по достижении целей обработки или в случае утраты необходимости в достижении этих целей, персональные данные должны быть уничтожены или обезличены, если иное не предусмотрено действующим законодательством Российской Федерации.
Вышеуказанные принципы применяются ко всем видам обработки персональных данных как к автоматизированной обработке, так и к обработке без использования средств автоматизации.
К обработке персональных данных допускаются сотрудники Банка, ознакомленные с положениями законодательства Российской Федерации о персональных данных, а также внутренними документами Банка, регламентирующими вопросы обработки и защиты персональных данных.
Банк осуществляет обработку персональных данных в следующих целях:
рассмотрение возможности совершения банковских операций и/или сделок (получение кредита, открытие счета и.т.д.) в соответствии с лицензией Банка России, выданной Банку;
предоставление отчетности государственным надзорным органам в соответствии с требованиями действующего законодательства Российской Федерации;
предоставление сведений уведомительного или маркетингового характера, в том числе, о новых банковских продуктах, услугах, проводимых акциях, мероприятиях (по которым имеется предварительное согласие клиента на их получение);
заключение и исполнение договоров с клиентами и/или реализация совместных проектов;
проведение мероприятий по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
формирование данных о кредитной истории;
проведение мероприятий по урегулированию заявлений, претензий, сообщений клиентов по вопросам качества обслуживания, предоставления продуктов;
обеспечения пропускного режима на объектах Банка.
рассмотрение возможности заключения трудового соглашения/договора с субъектом персональных данных;
регулирование трудовых (гражданско-правовых) отношений субъекта с Банком (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, контроля количества и качества выполняемой работы и обеспечения сохранности имущества);
рассмотрение возможности установления договорных отношений с субъектом персональных данных по его инициативе с целью дальнейшего предоставления финансовых и иных услуг путем заключения договора, одной из сторон которого, либо выгодоприобретателем по которому является субъект персональных данных;
передача Банком персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством Российской Федерации;
осуществление функций, полномочий и обязанностей, возложенных на Банк действующим законодательством Российской Федерации;
иных законных целях.
Обработка Банком персональных данных осуществляется с соблюдением принципов и правил, установленных федеральными законами, нормативно-правовыми актами Российской Федерации, а также внутренними документами Банка.
Перечень случаев, в которых допускается обработка персональных данных, установлен Федеральным законом «О персональных данных».
Обработка персональных данных осуществляется с согласия субъекта, кроме случаев, предусмотренных Федеральным законом «О персональных данных». Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Персональные данные субъекта могут быть получены Банком от лица, не являющегося субъектом персональных данных, при условии предоставления Банку подтверждения наличия оснований, предусмотренных действующим законодательством Российской Федерации.
Банк вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные действующим законодательством Российской Федерации, соблюдать конфиденциальность и обеспечивать безопасность персональных данных при их обработке. В случае если Банк поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Банк.
Передача персональных данных субъектов персональных данных третьим лицам осуществляется Банком в соответствии с требованиями действующего законодательства Российской Федерации.
Обработка персональных данных в форме хранения осуществляется до истечения срока обязательного хранения персональных данных, установленного в соответствии с действующим законодательством Российской Федерации.
Персональные данные являются закрытой (защищаемой) информацией, охрана и обеспечение безопасности которой осуществляется в соответствии с требованиями
законодательства Российской Федерации и внутренних документов Банка. Обеспечение безопасности персональных данных является частью политики Банка, направленной на обеспечение информационной безопасности Банка в целом.
Банк предпринимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий.
Банк и иные лица, обрабатывающие персональные данные по поручению Банка, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством Российской Федерации.
Банк во внутренних документах предусматривает меры по защите персональных данных, в том числе определяет круг лиц, получающих доступ к персональным данным, и устанавливает ответственность за ненадлежащее использование полученных ими персональных данных.
Субъект персональных данных вправе требовать от банка уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных действующим законодательством Российской Федерации.
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных банком;
правовые основания и цели обработки персональных данных;
цели и применяемые банком способы обработки персональных данных;
наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона «О персональных данных»;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом «О персональных данных»;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом «О персональных данных»;
информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные федеральным законом «О персональных данных» или другими федеральными законами.
Настоящая Политика, а также изменения и дополнения к ней, утверждаются и вводятся в действие решением Правления Банка.
Внесение изменений и дополнений в настоящую Политику осуществляется по инициативе Правления, Службы безопасности, Службы внутреннего контроля, Юридического управления Банка.
В случае изменения законодательных и иных нормативных актов Российской Федерации, а также Устава Банка, настоящая Политика, а также изменения и дополнения к ней, применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам, а также Уставу Банка. В этом случае подразделения и работники Банка, применяющие в работе настоящую Политику, обязаны незамедлительно инициировать внесение соответствующих изменений.