1. Термины и определения
1.1. Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
1.2. Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.3. Конфиденциальность персональных данных — обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия субъекта или иного законного основания.
1.4. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
1.5. Использование персональных данных — действия (операции) с персональными данными, совершаемые должностным лицом Организации в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц.
1.6. Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
1.7. Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
1.8. Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту.
1.9. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
1.10. Информация — сведения (сообщения, данные) независимо от формы их представления.
2. Общие положения
2.1. Настоящее Положение об обработке персональных данных (далее — Положение) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации», Федеральным законом 152-ФЗ «О персональных данных», иными федеральными, краевыми законами.
2.2. Цель разработки Положения — определение порядка обработки персональных данных всех субъектов персональных данных, данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
2.3. Порядок ввода в действие и изменения Положения.
2.3.1. Настоящее Положение вступает в силу с момента его утверждения руководством «ВАША ОРГАНИЗАЦИЯ» (далее Организация) и действует бессрочно, до замены его новым Положением.
2.3.2. Изменения в Положение вносятся на основании руководства Организации.
3. Состав персональных данных
3.1. В состав персональных данных субъектов Организации входят:
3.1.1. Фамилия, имя, отчество.
3.1.2. Год рождения.
3.1.3. Месяц рождения.
3.1.4. Дата рождения.
3.1.5. Место рождения.
3.1.6. Адрес.
3.1.7. Семейное положение.
3.1.8. Социальное положение.
3.1.9. Имущественное положение.
3.1.10. Образование.
3.1.11. Профессия.
3.1.12. Доходы.
3.1.13. ИНН.
3.1.14. Место работы.
3.1.15. Стаж.
3.1.16. Занимаемая должность.
3.1.17. Информация по кредитам.
3.1.18. Адрес электронной почты.
3.1.19. Телефон (домашний, сотовый).
3.1.20. Номер пенсионного удостоверения.
3.2. В Организации создаются и хранятся следующие документы, содержащие данные о субъектах персональных данных:
3.2.1. Анкета (клиента - физического лица (открытие банковского счета, счета по вкладу (депозиту),оформление переводов , клиента - юридического лица (с данными об учредителях, директорах)).
3.2.2. Заявка на реструктуризацию кредита заемщика — физического лица.
3.2.3. Договор (вклада, кредитный, об осуществлении расчетно-кассового обслуживания).
3.2.4. Заявление на банковское обслуживание.
3.2.5. Уведомление о предоставлении банковских услуг.
3.2.6. Подтверждение о присоединении к договору.
3.2.7. Договор аренды индивидуального сейфа.
3.2.8. Кассовые документы, содержащие персональные данные клиентов (расходные кассовые ордера, заявления на перевод по системе Western Union, Contact).
3.2.9. Копии документов, удостоверяющих личность, а также иных документов, предоставляемых субъектами персональных данных, и содержащих персональные данные. 3.2.10. Свидетельство о государственной регистрации в качестве индивидуального предпринимателя (оригинал или копия, заверенная надлежащим образом).
3.2.11. Трудовые книжки.
3.2.12. Анкета работника – субъекта персональных данных.
3.2.13. Заявления работника – субъекта персональных данных.
4. Цель обработки персональных данных
4.1. Цель обработки персональных данных субъектов - осуществления комплекса кредитных, финансовых, расчетных, кассовых и других банковских операций и иных сделок, в том числе:
4.1.1. Привлечение денежных средств физических и юридических лиц во вклады (до востребования и на определенный срок).
4.1.2. Открытие и ведения банковских счетов физических и юридических лиц.
4.1.3. Осуществление расчетов по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам.
4.1.4. Инкассация денежных средств, векселей, платежных и расчетных документов.
4.1.5. Кассовое обслуживание физических и юридических лиц.
4.1.6. Купля-продажа иностранной валюты в наличной и безналичной формах.
4.1.7. Выдача поручительств за третьих лиц, предусматривающих исполнение обязательств в денежной форме.
4.1.8. Приобретение права требования от третьих лиц исполнения обязательств в денежной форме.
4.1.9. Доверительное управление денежными средствами и иным имуществом по договору с физическими и юридическими лицами.
4.1.10. Осуществление операций с драгоценными металлами и драгоценными камнями в соответствии с законодательством Российской Федерации.
4.1.11. Предоставление в аренду физическим и юридическим лицам специальных помещений или находящихся в них сейфов для хранения документов и ценностей.
4.1.12. Лизинговые операции.
4.1.13. Оказание консультационных и информационных услуг.
4.1.14. Осуществление переводов денежных средств по поручению физических лиц без открытия банковских счетов (за исключением почтовых переводов).
4.1.15. Иные сделки, не запрещенные законодательством, а также комплекс действий с персональными данными, необходимых для исполнения вышеуказанных сделок.
4.1.16. В целях исполнения требований законодательства.
4.2. Условием прекращения обработки персональных данных является ликвидация Организации.
5. Сбор, обработка и защита персональных данных
5.1. Порядок получения (сбора) персональных данных:
5.1.1. Все персональные данные субъекта следует получать у него лично с его письменного согласия, кроме случаев, определенных в п. 5.1.4 и 5.1.6 настоящего Положения и иных случаях, предусмотренных законами.
5.1.2. Согласие субъекта на использование его персональных данных хранится в бумажном виде в его юридическом деле.
5.1.3. Согласие субъекта на обработку персональных данных действует в течение всего срока действия договора, а также в течение 5 лет с даты прекращения действия договорных отношений субъекта с Организацией. По истечении указанного срока действие согласия считается продленным на каждые следующие пять лет при отсутствии сведений о его отзыве.
5.1.4. Если персональные данные субъекта возможно получить только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Третье лицо, предоставляющее персональные данные субъекта, должно обладать согласием субъекта на передачу персональных данных Организации. Организация обязана получить подтверждение от третьего лица, передающего персональные данные субъекта персональных данных о том, что персональные данные передаются с согласия субъекта. Организация обязана при взаимодействии с третьими лицами заключить с ними соглашение о конфиденциальности информации, касающейся персональных данных субъектов.
5.1.5. Организация обязана сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
5.1.6. Обработка персональных данных субъектов без их согласия осуществляется в следующих случаях:
5.1.6.1. Персональные данные являются общедоступными.
5.1.6.2. По требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.
5.1.6.3. Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
5.1.6.4. Обработка персональных данных осуществляется в целях заключения и исполнения договора, одной из сторон которого является субъект персональных данных.
5.1.6.5. Обработка персональных данных осуществляется для статистических целей при условии обязательного обезличивания персональных данных.
5.1.6.6. В иных случаях, предусмотренных законом.
5.1.7. Организация не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни.
5.2. Порядок обработки персональных данных:
5.2.1. Субъект персональных данных предоставляет сотруднику Организации, ответственному за ведение операционной работы достоверные сведения о себе.
5.2.2. На основании полученной информации сотрудник Организации проверяет наличие данного субъекта, зарегистрированного в информационной системе. Если субъект отсутствует в информационной системе, то операционный сотрудник заносит полную информацию о субъекте, после получения письменного согласия последнего. В случае наличия информации о субъекте в информационной системе – сверяет данные с ранее предоставленными (при необходимости вносит соответствующие изменения).
5.2.3. Обработка персональных данных субъекта может осуществляться исключительно в целях обеспечения осуществления комплекса кредитных, финансовых, расчетных, кассовых и других банковских операций и иных сделок субъекта персональных данных и соблюдения законов и иных нормативных правовых актов
5.2.4. При определении объема и содержания, обрабатываемых персональных данных Банк должен руководствоваться требованиями Центрального Банка, ФСБ, ФСТЭК и иных контролирующих органов, Конституцией Российской Федерации, закона о персональных данных, Трудовым кодексом Российской Федерации и иными федеральными законами;
5.3. Защита персональных данных:
5.3.1. Под защитой персональных данных субъекта понимается комплекс мер (организационно-распорядительных, технических, юридических), направленных на предотвращение неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных субъектов, а также от иных неправомерных действий.
5.3.2. Защита персональных данных субъекта осуществляется за счёт Организации в порядке, установленном федеральным законом.
5.3.3. Организация при защите персональных данных субъектов принимает все необходимые организационно-распорядительные, юридические и технические меры, в том числе:
5.3.3.1. Шифровальные (криптографические) средства.
5.3.3.2. Антивирусная защита.
5.3.3.3. Анализ защищённости.
5.3.3.4. Обнаружение и предотвращение вторжений.
5.3.3.5. Управления доступом.
5.3.3.6. Регистрация и учет.
5.3.3.7. Обеспечение целостности.
5.3.3.8. Организация нормативно-методических локальных актов, регулирующих защиту персональных данных.
6. Блокировка, обезличивание, уничтожение персональных данных
6.1. Порядок блокировки и разблокировки персональных данных:
6.1.1. Блокировка персональных данных субъектов осуществляется с письменного заявления субъекта персональных данных.
6.1.2. Блокировка персональных данных подразумевает:
6.1.2.1. Запрет редактирования персональных данных.
6.1.2.2. Запрет распространения персональных данных любыми средствами (e-mail, сотовая связь, материальные носители).
6.1.2.3. Запрет использования персональных данных в массовых рассылках (sms, e-mail, почта).
6.1.2.4. Запрет открытия банковских счетов.
6.1.2.5. Изъятие бумажных документов, относящихся к субъекту персональных данных и содержащих его персональные данные из внутреннего документооборота Организации и запрет их использования.
6.1.3. Блокировка персональных данных субъекта может быть временно снята, если это требуется для соблюдения законодательства.
6.1.4. Разблокировка персональных данных субъекта осуществляется с его письменного согласия или заявления.
6.1.5. Повторное согласие субъекта персональных данных на обработку его данных влечет разблокирование его персональных данных.
6.2. Порядок обезличивания и уничтожения персональных данных:
6.2.1. Обезличивание персональных данных субъекта происходит по письменному заявлению субъекта персональных данных, при условии, что все договорные отношения завершены и от даты окончания последнего договора прошло не менее 5 лет.
6.2.2. При обезличивании персональные данные в информационных системах заменяются набором символов, по которому невозможно определить принадлежность персональных данных к конкретному субъекту.
6.2.3. Бумажные носители документов при обезличивании персональных данных уничтожаются.
6.2.4. Операция обезличивания персональных данных субъекта необратима.
6.2.5. Организация обязан обеспечить конфиденциальность в отношении персональных данных при необходимости проведения испытаний информационных систем на территории разработчика и произвести обезличивание персональных данных в передаваемых разработчику информационных системах.
6.2.6. Уничтожение персональных данных субъекта подразумевает прекращение какого-либо доступа к персональным данным субъекта.
6.2.7. При уничтожении персональных данных субъекта работники Организации не могут получить доступ к персональным данным субъекта в информационных системах.
6.2.8. Бумажные носители документов при уничтожении персональных данных уничтожаются, персональные данные в информационных системах обезличиваются. Персональные данные восстановлению не подлежат.
6.2.9. Операция уничтожения персональных данных необратима.
6.2.10. Срок, после которого возможна операция уничтожения персональных данных субъекта определяется окончанием срока указанным в пункте 7.3 настоящего Положения.
7. Передача и хранение персональных данных
7.1. Передача персональных данных:
7.1.1. Под передачей персональных данных субъекта понимается распространение информации по каналам связи и на материальных носителях.
7.1.2. При передаче персональных данных работники Организации должны соблюдать следующие требования:
7.1.2.1. Не сообщать персональные данные субъекта в коммерческих целях. Обработка персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи не допускается.
7.1.2.2. Осуществлять передачу персональных данных субъектов в пределах Организации в соответствии с настоящим Положением, нормативно технологической документацией и должностными инструкциями.
7.1.2.3. Разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения должностных обязанностей.
7.1.2.4. Передавать персональные данные субъекта представителям субъекта в порядке, установленном законодательством и нормативно-технологической документацией и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.
7.2. Хранение и использование персональных данных:
7.2.1. Под хранением персональных данных понимается существование записей в информационных системах и на материальных носителях.
7.2.2. Персональные данные субъектов обрабатываются и хранятся в информационных системах, а также на бумажных носителях в Организации.
7.2.3. Хранение персональных данных субъекта может осуществляться не дольше, чем этого требуют цели обработки, если иное не предусмотрено федеральными законами.
7.3. Сроки хранения персональных данных:
7.3.1. Сроки хранения персональных данных субъектов, относящихся к кредитным правоотношениям, составляют 15 лет (основание – ст. 7 ФЗ «О кредитных историях»).
7.3.2. Сроки хранения персональных данных субъектов, относящихся к трудовым правоотношениям, составляют 75 лет. (основание – Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения, утв. Росархивом 06.10.2000 г.).
7.3.3. Сроки хранения личных дел (заявления, автобиографии, копии приказов и выписки из них, копии личных документов, характеристики, листки по учету кадров, анкеты, аттестационные листы и др.) руководства Организации, членов контрольных органов, а также работников, имеющих государственные и иные звания, премии, награды, ученые степени и звания) - постоянно.
7.3.4. Документы (анкеты, автобиографии, листки по учету кадров, заявления, рекомендательные письма, резюме и др.) лиц, не принятых на работу хранятся 1 год.
7.3.5. Сроки хранения персональных данных субъектов, относящихся к доходам субъектов, составляют 4 года (основание – Статья 23 НК РФ).
7.3.6. Сроки хранения гражданско-правовых договоров, содержащих персональные данные субъектов, а также сопутствующих документов - 5 лет с момента окончания действия договоров (основание – Перечень типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения, утв. Росархивом 06.10.2000 г.).
7.3.7. В течение срока хранения персональные данные не могут быть обезличены или уничтожены.
7.3.8. По истечении срока хранения персональные данные могут быть обезличены в информационных системах и уничтожены на бумажном носителе.
8. Доступ к персональным данным
8.1. Право доступа к персональным данным субъектов имеют:
8.1.1. Руководство Организации.
8.1.2. Работники, ответственные за ведение операционной работы.
8.1.3. Работники службы безопасности.
8.1.4. Работники службы внутреннего контроля.
8.1.5. Работники службы финансового мониторинга.
8.1.6. Работники отдела залогов и проблемных ссуд.
8.1.7. Работники отдела учета финансовых операций.
8.1.8. Работники управления кредитования.
8.1.9. Работники юридической службы.
8.1.10. Работники службы по работе с персоналом.
8.1.11. Работники ИТ.
8.1.12. Работники службы документационного обеспечения.
8.1.13. Работники службы управления рисками.
8.2. Работники Организации, получившие доступ к персональным данным субъекта, обязаны использовать их лишь в целях, для которых сообщены персональные данные и обязаны соблюдать режим секретности (конфиденциальности) обработки и использования полученной информации (персональных данных субъектов).
8.3. Субъект может получить доступ к своим персональным данным с письменного заявления, включая право на безвозмездное получение копий любой записи, содержащей персональные данные субъекта.
9. Права оператора персональных данных
Организация вправе:
9.1. Отстаивать свои интересы в суде.
9.2. Предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.).
9.3. Отказать в предоставлении персональных данных в случаях предусмотренных законом.
9.4. Использовать персональные данные субъекта без его согласия, в случаях предусмотренных законом.
10. Права субъекта персональных данных
Субъект персональных данных имеет право:
10.1. Требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
10.2. Требовать перечень обрабатываемых персональных данных, имеющихся в Организации и источник их получения.
10.3. Получать информацию о сроках обработки персональных данных, в том числе о сроках их хранения.
10.4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
10.5. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
11. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
11.1. Работники Организации, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.