- Общие положения
- Важнейшим условием реализации целей деятельности ПАО АКБ «Приморье» (далее — Банк) является обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым в том числе относятся персональные данные и банковские технологические процессы, в рамках которых они обрабатываются.
- Настоящая Политика в отношении обработки персональных данных (далее — Политика) определяет принципы, порядок, условия обработки персональных данных Банком и способы обеспечения защиты персональных данных, обрабатываемых Банком.
- Субъектами персональных данных, которые обрабатываются Банком, являются: физические лица, состоящие (состоявшие) с Банком в договорных и иных гражданско-правовых отношениях; физические лица, обратившиеся в Банк с целью получения информации или заключения договора; иные физические лица, чьи персональные данные обрабатываются Банком в соответствии с требованиями законодательства РФ; представители вышеперечисленных лиц.
- Основные понятия
-
Для целей настоящей Политики используются следующие понятия:
- Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, должность, профессия, доходы, другая информация.
- Информационная система персональных данных (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
- Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
- Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
- Цели и принципы обработки персональных данных
- Обработка персональных данных в Банке осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов РФ; осуществления банковских операций и иной деятельности, предусмотренной Уставом и лицензиями Банка; заключения и исполнения гражданско-правовых договоров.
- Обработка персональных данных в Банке осуществляется на основе принципов:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
- Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. Персональные данные подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
- Сроки обработки персональных данных определяются в соответствие требованиями законодательства РФ и нормативными документами Банка России
- Порядок обработки персональных данных
- Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
- Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, по собственной воле и в своих интересах. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Банком.
- Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, предусмотренных законодательством РФ.
- Персональные данные относятся к охраняемой информации, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, кроме случаев:
- обезличивания, когда невозможно определить принадлежность персональных данных к конкретному субъекту;
- общедоступности, когда доступ к данным неограниченного круга лиц предоставлен с согласия субъекта.
- Полученные Банком персональные данные хранятся на следующих видах носителей:
- бумажные носители;
- электронные носители (в том числе автоматизированные информационные системы).
- Доступ к бумажным и электронным носителям персональных данных субъектов получают только те работники Банка, которым это необходимо для выполнения их должностных обязанностей.
- Банк за свой счет обеспечивает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
- При передаче персональных данных Банк должен соблюдать следующие требования:
- не передавать персональные данные третьей стороне без согласия субъекта, за исключением случаев, предусмотренных законодательством РФ;
- предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
- Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется только в случаях наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных; исполнения договора, стороной которого является субъект персональных данных, а также в иных предусмотренных законодательством случаях.
- Автоматизированная обработка персональных данных осуществляется в информационных системах персональных данных. Защита персональных данных в информационных системах банка производится согласно действующему законодательству в соответствии с классификацией ИСПДн.
- Обеспечение безопасности персональных данных
- Банк предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
- Безопасность при обработке персональных данных обеспечивается обязательством сотрудников по сохранению перечня сведений ограниченного распространения, должностными инструкциями, внутренними регламентами, разграничением доступа, программными средствами защиты информации: идентификацей и проверкой подлинности субъектов доступа по паролю условно-постоянного действия не менее шести буквенно-цифровых символов; антивирусной защитой; межсетевым экранированием при подключении к Интернету; организацией защищенной виртуальной приватной IP-сети; резервным копированием и восстановлением после сбоев; хранением материальных носителей персональных данных в закрытых шкафах, ящиках, сейфах; ограничением доступа в помещения, где хранятся персональные данные. Информация доступна для строго определённых сотрудников в соответствии с должностными инструкциями и приказом руководителя.
- Заключительные положения
- Настоящая Политика является внутренним документом Банка, доступным для ознакомления клиентам Банка (субъектам ПД).
- Ответственность должностных лиц Банка, имеющих доступ к персональным данным за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством РФ.