"Банк Заречье" (АО) - Политика конфиденциальности

"Все преимущество иметь деньги заключается в возможности ими пользоваться." (Бенджамин Франклин)

ПОЛИТИКА в отношении обработки персональных данных «Банк Заречье» (АО)


1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. «Банк Заречье» (Акционерное общество), ОГРН 1021600000586 (далее • Банк, Оператор), при осуществлении своей деятельности уделяет приоритетное внимание вопросам обеспечения информационной безопасности. Банком принят комплекс правовых, организационных и технических мер, направленных на защиту информации о клиентах, работниках, контрагентах и других субъектах персональных данных.
1.2. Политика в отношении обработки персональных данных Банка (далее • Политика) содержит информацию об основных принципах обработки персональных данных (далее • персональные данные, ПДн) и реализуемых требованиях к защите ПДн. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152•ФЗ «О персональных данных» (далее • ФЗ «О персональных данных»).
1.3. Настоящая политика является общедоступным документом и подлежит размещению на официальном сайте Банка.
1.4. Основные понятия:
• персональные данные
• любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• субъект ПДн • физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
• оператор персональных данных (оператор) • государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• обработка персональных данных • любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе:
• сбор;
• запись;
• систематизацию;
• накопление;
• хранение;
• уточнение (обновление, изменение);
• извлечение;
• использование;
• передачу (распространение, предоставление, доступ);
• обезличивание;
• блокирование;
• удаление;
• уничтожение.
• автоматизированная обработка персональных данных • обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных • действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных • действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных • временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных • действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных • действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных • совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных • передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
• конфиденциальность информации • обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
1.5. Банк соблюдает конфиденциальность персональных данных, не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, а также принимать меры по защите этой информации.
1.6. Банк вправе использовать и предоставлять персональные данные субъекта третьим лицам без его согласия, в случаях, предусмотренных законодательством Российской Федерации.
1.7. Субъекты, предоставляющие Оператору персональные данные для обработки, обязаны сообщать достоверную информацию о себе и предоставлять документы, содержащие персональные данные, в объеме, необходимом для цели обработки.
1.8. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, а также требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

2. СУБЪЕКТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Банк обрабатывает персональные данные следующих физических лиц:
• состоящих (состоявших) в трудовых отношениях с Банком;
• состоящих (состоявших) в договорных и иных гражданско•правовых отношениях с Банком;
• обратившихся в Банк с целью заключения договора, либо вступления в иные гражданско•правовые отношения с Банком (в том числе индивидуальных предпринимателей, физических лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой);
• акционеров Банка;
• членов органов управления Банка;
• являющихся аффилированными лицами Банка;
• иных физических лиц, чьи персональные данные обрабатываются Банком в соответствии с требованиями законодательства Российской Федерации;
• представителей вышеперечисленных физических лиц.

3. ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Правовым основанием обработки Банком персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Банк осуществляет обработку персональных, в том числе:
• Конституция Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Гражданский Кодекс Российской Федерации;
• Ст. 86 • 90 Трудового кодекса Российской Федерации;
• Федеральный закон от 02.12.1990 №395•1 «О банках и банковской деятельности»;
• Федеральный закон от 30.12.2004 №218•ФЗ «О кредитных историях»;
• Федеральный закон от 07.08.2001 №115•ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
• Федеральный закон от 26.12.1995 №208•ФЗ «Об акционерных обществах»;
• Федеральный закон от 06.12.2011 № 402•ФЗ «О бухгалтерском учете»;
• Федеральный закон от 27.06.2011 № 161•ФЗ «О национальной платежной системе»;
• Иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти;
• Устав Банка;
• Генеральная лицензия на осуществление банковских операций №817.
• Договоры, заключаемые между Банком и Субъектом Персональных данных, между Банком и иным лицом, поручившим Банку обработку Персональных данных, а также для заключения договоров, стороной которых являются Субъекты Персональных данных;
• Согласие на обработку персональных данных;
• Осуществление прав и законных интересов Банка.

4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных в Банке осуществляется на основе следующих принципов:
1. Обработка персональных данных осуществляется на законной и справедливой основе.
2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных к заявленным целям их обработки.
6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Банк принимает необходимые меры, либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных.
7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодалельством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
4.2. Перечень персональных данных, обрабатываемых в Банке, определяется в соответствии с законодательством Российской Федерации и локальными актами Банка с учетом целей обработки персональных данных и в соответствии с Уведомлением об обработке персональных данных, направленным Банком в Роскомнадзор. При определении состава обрабатываемых персональных данных субъектов персональных данных банк руководствуется минимально необходимым составом персональных данных для достижения целей получения персональных данных.

5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных осуществляется Банком в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Банка, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами Банка. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.2. Банк осуществляет обработку ПДн в целях выполнения требований законодательства Российской Федерации, достижения уставных целей и задач Банка, исполнения обязательств Банка, осуществления прав и законных интересов Банка, в том числе для:
• привлечения денежных средств юридических и физических лиц во вклады (до востребования и на определенный срок);
• размещения привлеченных во вклады (до востребования и на определенный срок) денежных средств юридических и физических лиц от своего имени и за счет банка;
• открытия и ведения банковских счетов юридических и физических лиц;
• осуществления переводов денежных средств по поручению физических лиц, и юридических лиц, в том числе банков•корреспондентов, по их банковским счетам;
• осуществления переводов денежных средств без открытия банковских счетов, в том числе электронных денежных средств (за исключением почтовых переводов);
• купли•продажи иностранной валюты в наличной и безналичной формах;
• осуществления других банковских операций и сделок, предусмотренных лицензиями и уставом Банка;
• учет персональных данных работников Банка в кадровом делопроизводстве в соответствии с требованиями Трудового кодекса Российской Федерации (далее • ТК РФ), Налогового кодекса Российской Федерации (далее • НК РФ) и других нормативных актов Российской Федерации;
• обеспечение правильного и своевременного расчета и начисления заработной платы и других выплат работникам Банка;
• содействие в обучении и продвижении работника по службе;
• противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
• обеспечения пропускного режима в здания Банка, обеспечения личной безопасности работников и посетителей Банка, обеспечения сохранности имущества Банка.

6. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Банк осуществляет как автоматизированную, так и неавтоматизированную обработку ПДн. К обработке ПДн допускаются работники, в соответствии с утверждёнными перечнями.
6.2. Получение и обработка персональных данных в случаях, предусмотренных ФЗ «О персональных данных», осуществляется Банком с письменного согласия субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
6.3. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено ФЗ «О персональных данных». 6.4. Банк вправе обрабатывать ПДн без согласия субъекта ПДн (или при отзыве субъектом ПДн согласия на обработку ПДн) при наличии законных оснований.
6.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Банком не осуществляется.
6.6. Обработка сведений о состоянии здоровья, а также биометрических персональных данных осуществляется в соответствии с законодательством Российской Федерации;
6.7. ПДн субъекта могут быть получены Банком от лица, не являющегося субъектом персональных данных, при условии предоставления банку подтверждения наличия оснований, указанных в ФЗ «О персональных данных» или иных оснований, предусмотренных законодательством Российской Федерации.
6.8. При осуществлении хранения персональных данных Банк использует базы данных, находящиеся на территории Российской Федерации.
6.9. Передача ПДн субъектов персональных данных третьим лицам осуществляется Банком в соответствии с требованиями действующего законодательства Российской Федерации. В том числе, Банк вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
6.10. Банк вправе поручить обработку ПДн третьей стороне с согласия субъекта персональных данных и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора, (далее • поручение). Третья сторона, осуществляющая обработку ПДн по поручению Банка, обязана соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ «О персональных данных», обеспечивая конфиденциальность и безопасность ПДн при их обработке.
6.11. Банк не принимает решения, порождающие юридические последствия в отношении субъекта ПДн или иным образом затрагивающие его права и законные интересы, на основании исключительно автоматизированной обработки их ПДн. 6.12. Банк создает общедоступные источники ПДн. ПДн, сообщаемые субъектом, включаются в такие источники только с письменного согласия субъекта ПДн.
6.13. При обработке персональных данных, Банк соблюдает требования к конфиденциальности персональных данных, установленных ФЗ «О персональных данных»;
6.14. Банк не осуществляет трансграничную передачу персональных данных при их обработке.

7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект ПДн вправе требовать от банка уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.2. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Банком;
• правовые основания и цели обработки персональных данных;
• цели и применяемые Банком способы обработки персональных данных;
• наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании законодательства Российской Федерации;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством Российской Федерации; • сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные ФЗ «О персональных данных» или другими законами Российской Федерации.
7.3. Субъект ПДн вправе установить запреты и условия на обработку неограниченным кругом лиц персональных данных, разрешенных субъектом ПДн для распространения

8. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Банк при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Банком, планируются и реализуются в целях обеспечения соответствия требованиям, приведенным в ФЗ «О персональных данных».
8.3. В соответствии с ФЗ «О персональных данных» Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства Российской Федерации.
Банком в частности приняты следующие меры:
• разработаны и внедрены локальные акты по вопросам обработки ПДн, в том числе Регламент обработки запросов субъекта персональных данных или его представителя, запросов уполномоченного органа по защите прав субъектов персональных данных;
• применяются правовые, организационные и технические меры по обеспечению безопасности ПДн в соответствии с ФЗ «О персональных данных»;
• назначен ответственный за организацию обработки ПДн;
• осуществляется внутренний контроль соответствия обработки ПДн ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Банка в отношении обработки ПДн, локальным актам Банка;
• работники Банка, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Банка в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.
8.4. В дополнение к требованиям ФЗ «О персональных данных», в Банке осуществляется комплекс мероприятий, направленных на защиту информации о своих клиентах, работниках и контрагентах. Банк руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, а также лучшими российскими и международными практиками.