Политика в отношении обработки персональных данных

1. Общие положения

1.1.            Назначение документа

1.1.1.      Важнейшим условием реализации целей деятельности ПАО АКБ «Приморье» (далее — Банк) является обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым в том числе относятся персональные данные и банковские технологические процессы, в рамках которых они обрабатываются.

1.1.2.      Политика в отношении обработки персональных данных (далее — Политика) является основополагающим документом, регулирующим вопросы обработки персональных данных в Банке.

1.1.3.      Положения настоящей Политики служат основой для разработки локальных актов, регламентирующих вопросы обработки персональных данных.

1.2.            Основные понятия

1.2.1.      Для целей настоящей Политики используются следующие понятия:

-     персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

-     оператор – Банк, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн;

-     обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

-     автоматизированная обработка персональных данных – обработка ПДн с помощью средств вычислительной техники;

-     распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц;

-     предоставление персональных данных – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

-     блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения персональных данных);

-     уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

-     обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных;

-     информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

-     конфиденциальность персональных данных – Банк, получивший доступ к ПДн, обязан не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом;

-     трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.3.            Нормативные ссылки

1.3.1.      Федеральный закон РФ от 27.07.2006 № 152–ФЗ «О персональных данных».

1.3.2.      Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

1.4.            Субъекты Персональных данных

1.4.1.      Сотрудники – кандидаты (соискатели) на замещение вакантных должностей и их близкие родственники, супруги; работники Банка (в том числе уволенные) и их близкие родственники, супруги.

14.2.      Клиенты – физические лица (заемщики, вкладчики, владельцы счета, выгодоприобретатели и пр.) состоящие или состоявшие в договорных и иных гражданско-правовых отношениях с Банком или находящиеся в преддоговорных отношениях с Банком и их представители, поручители, близкие родственники, супруги; бенефициарные владельцы, работники, руководители и главные бухгалтеры субподрядчиков, поставщиков и других юридических лиц, имеющие договорные отношения с Банком или находящихся в преддоговорных отношениях, посетители Банка.

1.5.            Утверждение и пересмотр

1.5.1.      Настоящая Политика вступает в силу в день утверждения Правлением Банка и действует до вступления в силу новой Политики в отношении обработки персональных данных.

1.5.2.      С момента вступления в действие настоящей Политики утрачивает силу Политика в отношении обработки персональных данных ПАО АКБ «Приморье» № 25-ЛС от 12.10.2018 г.

1.5.3.      Банк проводит пересмотр положений настоящей Политики и ее актуализацию по мере необходимости, но не реже 1 раза в 3 года, а также:

-     при изменении положений законодательства РФ в области ПДн (до момента внесения изменений настоящая Политика действует в части, не противоречащей действующему законодательству РФ);

-     в случае выявления несоответствий, затрагивающих обработку и (или) защиту ПДн;

-     в случае выявления недостатков при внешних проверках регулирующих органов или проводимых аудитах, оценках соответствия;

-     по результатам контроля выполнения требований по обработке и (или) защите ПДн;

-     при изменении бизнес-процессов Банка, затрагивающих обработку ПДн.

1.5.4.      Обеспечение неограниченного доступа к Политике реализуется путем ее публикации на официальном сайте Банка в сети Интернет.

2. Цели и принципы обработки персональных данных

2.1.   Обработка ПДн в Банке осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов РФ; осуществления банковских операций и иной деятельности, предусмотренной Уставом и лицензиями Банка; заключения и исполнения гражданско-правовых договоров.

2.2.   Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен сроками действия приказа Министерства культуры Российской Федерации от 25.08.2010 № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003 № 03 - 33/п «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», или иными требованиями законодательства Российской Федерации, или договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.

2.3.   Условием прекращения обработки ПДн может являться достижение целей обработки ПДн, истечение срока действия согласия или отзыв согласия субъекта ПДн на обработку его ПДн, а также выявление неправомерной обработки ПДн.

2.4.   Обработка ПДн в Банке осуществляется на основе принципов:

-     законности целей и способов обработки ПДн и добросовестности;

-     соответствия объема и характера обрабатываемых ПДн, способов обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям оператора;

-     достоверности ПДн, их достаточности для целей обработки;

-     недопустимости обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;

-     недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем ПДн.

2.5.   Целями обработки ПДн сотрудников являются: подбор кандидатов на вакантные должности, содействие в поиске работы и трудоустройстве, ведение кадрового делопроизводства, бухгалтерского и воинского учетов, обеспечения личной безопасности и качества выполняемой работы, соблюдения налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а так же единого социального налога, пенсионного законодательства, нормативных документов Центрального банка РФ при определении соответствия квалификационным требованиям и требованиям в отношении деловой репутации, прочими нормативными правовыми актами.

2.6.   Целями обработки ПДн клиентов являются: осуществление банковских операций и иной деятельности, предусмотренной Уставом банка, действующим законодательством Российской Федерации, нормативными документами Центрального банка России, а также заключения, исполнения и прекращения договоров с физическими и юридическими лицами, исполнения обязательств по договорам в соответствии с законодательством Российской Федерации.

3. Правовые основания обработки персональных данных

4. Объём и категории обрабатываемых персональных данных

4.1.   Банком обрабатываются следующие ПДн:

Фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы. Пол, данные паспорта (общегражданского, служебного, дипломатического, заграничного, иностранного гражданина) или данные иного документа, удостоверяющего личность (серия, при наличии, номер, дата выдачи, наименование органа, выдавшего документ, код подразделения, при наличии) и гражданство. Данные миграционной карты: (номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации)[1]. Данные документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации (серия, при наличии, номер документа, дата начала срока действия права пребывания (проживания), дата окончания срока действия права пребывания (проживания))[2]. Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания. Номер телефона (мобильного и домашнего), в случае регистрации его на субъект персональных данных или по адресу его места жительства (по паспорту). Адрес электронной почты. Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата). Документ об окончании образовательного учреждения, в том числе наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения. Сведения о предыдущей трудовой деятельности. Сведения о продолжительности общего трудового стажа, трудового стажа. Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения). Сведения о заработной плате (номера счетов для расчета с работниками, данные зарплатных договоров с клиентами, в том числе номера их картсчетов, данные по окладу, надбавкам, налогам и другие сведения). Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на(с) учет(а) и другие сведения). Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и), степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и другие сведения). Сведения об имуществе (имущественном положении): автотранспорт (государственные номера и другие данные из свидетельств о регистрации транспортных средств и из паспортов транспортных средств); недвижимое имущество (вид, тип, способ получения, общие характеристики, стоимость, полные адреса размещения объектов недвижимости и другие сведения); банковские вклады (данные договоров с клиентами, в том числе номера их счетов, картсчетов, вид, срок размещения, сумма, условия вклада и другие сведения); кредиты (займы), банковские счета (в том числе картсчета), денежные средства и ценные бумаги, в том числе в доверительном управлении и на доверительном хранении (данные договоров с клиентами, в том числе номера счетов, картсчетов, номера банковских карт, кодовая информация по банковским картам, коды кредитных историй, адреса приобретаемых объектов недвижимости, сумма и валюта кредита или займа, цель кредитования, условия кредитования, сведения о залоге, сведения о приобретаемом объекте, данные по ценным бумагам, остатки и суммы движения по счетам, тип банковских карт, лимиты и другие сведения). Сведения о номере и серии страхового свидетельства государственного пенсионного страхования. Сведения об идентификационном номере налогоплательщика. Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования). Сведения, указанные в оригиналах и копиях приказов по личному составу Банка и материалах к ним. Сведения о временной нетрудоспособности работников Банка. Сведения о состоянии здоровья и его соответствия выполняемой работе. Табельный номер работника Банка. Факт наличия/отсутствия судимости (обрабатывается только на бумажном носителе). Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса). Изображение лица, полученное с помощью фото- и видео- устройств, голос, полученный с помощью звукозаписывающих устройств. Файлы cookie, сведения о действиях пользователя на сайте, сведения об оборудовании пользователя, дата и время, место сессии.

4.2.   Банк обрабатывает биометрические ПДн с целями:

-     организации контрольно-пропускного режима;

-     регистрации и идентификации субъекта ПДн в «Единой системе идентификации и аутентификации в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме» (далее – ЕСИА)[3].

4.3.   В Банке не осуществляется обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

5. Порядок и условия обработки персональных данных

5.1.   Обработка ПДн осуществляется с письменного согласия субъекта ПДн на обработку его ПДн, если иное не предусмотрено законодательством РФ.

5.2.   Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, по собственной воле и в своих интересах. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн, полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Банком.

5.3.   Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Банк вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, предусмотренных законодательством РФ.

5.4.   Полученные Банком ПДн хранятся в бумажном и электронном виде. В электронном виде ПДн хранятся в ИСПДн Банка.

5.5.   Сотрудники, имеющие доступ к ПДн, получают только ПДн, которые необходимы им для выполнения конкретных трудовых функций.

5.6.   Банк за свой счет обеспечивает необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения ПДн, а также от иных неправомерных действий.

5.7.   Банк обязуется не раскрывать третьим лицам и не распространять ПДн без согласия субъекта, за исключением случаев, предусмотренных законодательством РФ или при поступлении запроса от уполномоченных государственных органов.

5.8.   Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, осуществляется только в случаях наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн, исполнения договора, стороной которого является субъект ПДн, а также в иных предусмотренных законодательством случаях.

5.9.   Автоматизированная обработка ПДн осуществляется в ИСПДн. Защита ПДн в ИСПДн производится согласно действующему законодательству. Все базы данных ИСПДн находятся на территории Российской Федерации.

5.10.        Автоматизированная обработка ПДн для посетителей сайта Банка, размещенного в сети интернет по адресу https://primbank.ru, осуществляется,
в т.ч. с использованием метрических программ («Yandex.Metrics» и «Google.Analytics»).

6. Права субъектов персональных данных и обработка запросов субъекта персональных данных

6.1.            Права субъекта персональных данных на доступ к его персональным данным

6.1.1.      Субъект ПДн имеет право на получение информации, касающейся обработки ПДн соответствующего субъекта ПДн, в том числе содержащей:

-     подтверждение факта обработки ПДн;

-     правовые основания и цели обработки ПДн;

-     цели и применяемые способы обработки ПДн;

-     наименование и место нахождения Банка, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Банком или на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

-     обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

-     сроки обработки ПДн, в том числе сроки их хранения;

-     порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

-     информацию об осуществленной или о предполагаемой трансграничной передаче данных;

-     наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;

-     иные сведения, предусмотренные Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных» или другими федеральными законами.

6.1.2.      Субъект ПДн имеет право на уточнение, блокирование или уничтожение своих ПДн, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законодательством РФ в области ПДн меры по защите своих прав.

6.1.3.      Банк вправе отказать в предоставлении вышеуказанной информации Субъекту в случаях, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или иными Федеральными законами.

6.2.            Права субъектов персональных данных при обработке их персональных данных в целях продвижения услуг на рынке

6.2.1.      Обработка ПДн в целях продвижения услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта ПДн. Указанная обработка ПДн признается осуществляемой без предварительного согласия субъекта ПДн, если оператор не докажет, что такое согласие было получено.

6.2.2.      Банк обязан немедленно прекратить по требованию субъекта ПДн обработку его ПДн, указанную в пункте 6.2.1.

6.3.            Права субъектов персональных данных при принятии решений на основании исключительно автоматизированной обработки их персональных данных

6.3.1.      Запрещается принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 6.3.2.

6.3.2.      Решение, порождающее юридические последствия в отношении субъекта ПДн или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме субъекта ПДн или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.

6.3.3.      Банк обязан разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его ПДн и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.

6.3.4.      Банк обязан рассмотреть возражение, указанное в п. 6.3.3 настоящей статьи, в течение тридцати дней со дня его получения и уведомить субъекта ПДн о результатах рассмотрения такого возражения.

6.4.            Право на обжалование действий или бездействия оператора

6.4.1.      Если субъект ПДн считает, что Банк осуществляет обработку его ПДн с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие Банка в уполномоченный орган по защите прав субъектов ПДн – Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) или в судебном порядке.

6.4.2.      Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Обработка запросов субъекта персональных данных

7.1.   Для обеспечения соблюдения установленных законодательством прав субъектов ПДн в Банке разработаны внутренние нормативные документы, определяющие порядок работы с обращениями и запросами субъектов ПДн.

7.2.   Запрос оформляется в произвольной форме, но должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Банком (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Банком, подпись субъекта ПДн или его представителя. Запрос передается по адресам нахождения Банка. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

8. Обеспечение безопасности персональных данных

8.1.   Банк предпринимает необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

8.2.   Меры по обеспечению безопасности ПДн включают в себя, но не ограничиваются:

-     назначение ответственных за организацию обработки и защиты ПДн;

-     разработка Политики в отношении обработки ПДн, Положения об обработке ПДн, и иных нормативных документов по вопросам обработки ПДн, а также нормативных документов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

-     определение угроз безопасности ПДн при их обработке в информационных системах ПДн;

-     обнаружение фактов несанкционированного доступа к ПДн и принятие мер;

-     восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-     контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;

-     применение организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн;

-     оценка вреда, который может быть причинен субъектам ПДн в случае нарушения настоящего Федерального закона, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящим Федеральным законом;

-     ознакомление работников Банка, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Банка в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных работников;

-     реализация парольной защиты при осуществлении доступа к ресурсам, обрабатываемым в ИСПДн;

-     применение средств межсетевого экранирования;

-     организация защиты ресурсов ПДн от воздействия вредоносного кода;

-     обеспечение пропускного режима.

9. Ответственность за реализацию положений Политики