Обработка персональных данных

Политика публичного акционерного общества «БАНК УРАЛСИБ» в отношении обработки персональных данных (версия 1.0)

УТВЕРЖДЕНО
Приказом Председателя Правления Банка
от 14.06.2012 №969
Рег. №03 122

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. ПАО «БАНК УРАЛСИБ» (далее – банк) при осуществлении своей деятельности уделяет приоритетное внимание вопросам обеспечения информационной безопасности. В банке принят комплекс правовых, организационных и технических мер, направленных на защиту информации о клиентах, работниках и контрагентах и других субъектов персональных данных.

1.2. Настоящая политика банка в отношении обработки персональных данных (далее – политика) предоставляет информацию об основных принципах обработки персональных данных (далее - ПДн) и реализуемых требованиях к защите ПДн. Политика разработана в соответствии с требованиями федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152).

1.3. Настоящая политика является общедоступным документом и подлежит к неограниченному распространению.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Обработка персональных данных в банке осуществляется на основе принципов:

  • законности и справедливости основы обработки ПДн, законности целей и способов обработки ПДн;
  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям банка;
  • соответствия содержания и объема обрабатываемых ПДн, способов обработки ПДн заявленным целям обработки ПДн;
  • обеспечения точности, достаточности и актуальности ПДн по отношению к целям их обработки, недопустимости избыточности обрабатываемых ПДн по отношению к заявленным целям их обработки;
  • недопустимости объединения созданных для несовместимых между собой целей баз данных ПДн.

2.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

2.3. При определении состава обрабатываемых персональных данных субъектов персональных данных банк руководствуется минимально необходимым составом персональных данных для достижения целей получения персональных данных.

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Банк осуществляет обработку ПДн для достижения следующих целей:

  • рассмотрение возможности совершения банковских операций и/или сделок (получение кредита, размещение депозита и.т.д.) в соответствии с лицензией Банка России, выданной банку;
  • предоставление отчетности государственным надзорным органам в соответствии с требованиями действующего законодательства Российской Федерации;
  • предоставление сведений уведомительного или маркетингового характера, в том числе, о новых банковских продуктах, услугах, проводимых акциях, мероприятиях (по которым имеется предварительное согласие клиента на их получение);
  • заключение и исполнение договоров с клиентами и/или реализация совместных проектов;
  • проведение мероприятий по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • формирование данных о кредитной истории;
  • проведение мероприятий по урегулированию заявлений, претензий, сообщений клиентов по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж;
  • обеспечения пропускного режима на объектах банка.
  • рассмотрение возможности заключения трудового соглашения/договора с субъектом персональных данных;
  • регулирование трудовых (гражданско-правовых) отношений субъекта с банком (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества);
  • рассмотрение возможности установления договорных отношений с субъектом персональных данных по его инициативе с целью дальнейшего предоставления финансовых и иных услуг путем заключения договора, одной из сторон которого, либо выгодоприобретателем по которому является субъект персональных данных;
  • передача банком персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством;
  • осуществление функций, полномочий и обязанностей, возложенных на банк действующим законодательством Российской Федерации.

4. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями банка, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами банка.

4.2. Получение и обработка персональных данных в случаях, предусмотренных ФЗ-152, осуществляется банком с письменного согласия субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

4.3. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено ФЗ-152.

4.4. Банк вправе обрабатывать ПДн без согласия субъекта ПДн (или при отзыве субъектом ПДн согласия на обработку ПДн) при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ-152.

4.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, банком не осуществляется.

4.6. Обработка сведений о состоянии здоровья осуществляется в соответствии с трудовым кодексом, ФЗ «Об обязательном медицинском страховании в РФ», а также п.2.3 ч.2 ст.10 ФЗ «О персональных данных»;

4.7. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных.

4.8. Персональные данные субъекта могут быть получены банком от лица, не являющегося субъектом персональных данных, при условии предоставления банку подтверждения наличия оснований, указанных в п.п. 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных» или иных оснований, предусмотренных федеральным законодательством.

4.9. Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют работники банка в соответствии с их должностными обязанностями.

4.10. Передача персональных данных субъектов персональных данных третьим лицам осуществляется банком в соответствии с требованиями действующего законодательства.

4.11. Банк вправе поручить обработку ПДн третьей стороне с согласия субъекта ПДн и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора, (далее – поручение). Третья сторона, осуществляющая обработку ПДн по поручению банка, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, обеспечивая конфиденциальность и безопасность ПДн при их обработке.

5. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Субъект персональных данных вправе требовать от банка уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных банком;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые банком способы обработки персональных данных;
  • наименование и место нахождения банка, сведения о лицах (за исключением работников банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с банком или на основании ФЗ-152;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ-152;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных №152-ФЗ «О персональных данных;
  • информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению банка, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные ФЗ-152 или другими федеральными законами.

6. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Банк при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.2. Меры по обеспечению безопасности персональных данных при их обработке, применяемые банком, планируются и реализуются в целях обеспечения соответствия требованиям, приведенным в статье 19 152-ФЗ «О персональных данных».

6.3. В соответствии со статьей 18 ФЗ-152 банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства. Банк в частности принял следующие меры:

  • назначен ответственный за организацию обработки ПДн;
  • разработаны и внедрены локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке ПДн и устранение последствий таких нарушений;
  • применяются правовые, организационные и технические меры по обеспечению безопасности ПДн в соответствии со статьей 19 ФЗ-152;
  • осуществляется внутренний контроль соответствия обработки ПДн ФЗ-152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Банка в отношении обработки ПДн, локальным актам Банка;
  • работники банка, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику банка в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.

6.4. В дополнение к требованиям 152-ФЗ «О персональных данных», в банке осуществляется комплекс мероприятий, направленных на защиту информации о своих клиентах, сотрудниках и контрагентах. Банк руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, Банка России, других регулирующих организаций, а также лучшими российскими и международными практиками.

Выберите свой регион