Политика обработки персональных данных

1.     ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика обработки персональных данных (далее по тексту - Политика) определяет основные цели, принципы, условия обработки и защиты персональных данных в ПАО «Совкомбанк» (далее по тексту - Банк).

1.2. Настоящая Политика разработана в соответствии с требованиями российского законодательства о персональных данных и учитывает требования нормативных документов Банка России.

1.3. Настоящая Политика распространяется на все подразделения и всех работников Банка, участвующих в процессе обработки персональных данных.

1.4. Срок действия настоящей Политики не ограничен.

  • Настоящая Политика вступает в силу с момента ее утверждения в соответствии с установленным в Банке порядком.
  • Настоящая Политика является общедоступным документом и предусматривает возможность ознакомления с ней любых лиц путем опубликования в сети Интернет на официальном сайте Банка.

1.7. Банк является оператором по обработке персональных данных.

2.     ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

В настоящей Политике в соответствии с законодательством РФ о персональных данных и нормативными документами Банка России используются следующие термины и определения.

Акционер

Физическое лицо, которое владеет одной или несколькими акциями в капитале Банка.

Клиент

Физическое или юридическое лицо, находящееся на обслуживании в Банке, а также лица, являющиеся в соответствии с законодательством Российской Федерации представителями клиента, выгодоприобретателями и бенефициарными владельцами.

Контрагент

Любое российское или иностранное юридическое или физическое лицо, с которым Банк вступает в договорные отношения, за исключением трудовых отношений.

Обработка персональных данных

Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Персональные данные

Любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

Сотрудник

Физическое лицо, которое вступило в трудовые отношения с Банком.

  1. КАТЕГОРИИ СУБЪЕКТОВ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Банк может обрабатывать следующие категории персональных данных субъектов персональных данных:

  • персональные данные клиентов/контрагентов (физических лиц), представителей/работников клиентов/контрагентов (юридических лиц): ФИО; паспортные данные или данные иного документа, удостоверяющего личность; гражданство; данные миграционной карты или иного документа, подтверждающего право иностранца или лица без гражданства на пребывание в РФ; адрес регистрации в стране, подданным которой является; адрес фактического проживания или временной регистрации в стране пребывания; информация о принадлежности к иностранным публичным должностным лицам; номера телефонов; информация о трудовой деятельности; сведения о заработной плате; сведения о семейном положении; сведения о доходах; сведения об имуществе; ценные бумаги и иные сведения, предусмотренные действующим законодательством РФ и внутренними документами Банка;
  • персональные данные сотрудников/бывших сотрудников, кандидатов на замещение вакантных должностей, а также родственников сотрудников: ФИО; паспортные данные; идентификационный номер налогоплательщика; номер страхового свидетельства государственного пенсионного страхования; данные водительского удостоверения; сведения об образовании, в том числе информация об учебном заведении, дата окончания, номер диплома, специальность и квалификация по диплому, сертификаты и удостоверения о повышении квалификации; выполняемая работа с начала трудовой деятельности; данные справки, выданной органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, сведения о близких родственниках; сведения о воинском учете, медицинское заключение по установленной форме об отсутствии  противопоказаний для работы и иные сведения, предусмотренные действующим законодательством РФ и внутренними документами Банка.

3.2. В соответствии с установленными законодательством РФ категориями персональных данных в Банке обрабатываются персональные данные, разрешенные субъектами персональных данных для распространения, и иные категории персональных данных сотрудников, клиентов, контрагентов и акционеров Банка.

4. ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ

4.1. Настоящая Политика разработана с учетом требований следующих законодательных, нормативных, нормативно-правовых и иных документов:

  • Трудовой кодекс РФ;
  • Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»;
  • Федеральный закон от 21.07.1997 № 118-ФЗ «О судебных приставах»;
  • Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • Федеральный закон от 23.12.2003 № 177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации»;
  • Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях»;
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;
  • Положение Центрального банка РФ от 15.10.2015 № 499-П «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма»;
  • Инструкция Банка России от 30.05.2014 № 153-И «Об открытии и закрытии банковских счетов, счетов по вкладам, депозитных счетов»;
  • другими нормативными документами.

  1. ЦЕЛИ И ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Целью обработки персональных данных сотрудников, клиентов, акционеров и контрагентов Банка является выполнение функций, возложенных на Банк законодательством Российской Федерации и нормативными документами Банка России.

5.2. В процессе обработки персональных данных, Банк руководствуется следующими основными принципами:

  • обработка персональных данных осуществляется на законном и справедливом основании;
  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка персональных данных, несовместимая с целями их обработки;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки, содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки;
  • обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
  • неполные или неточные персональные данные уточняются или удаляются;
  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

  1. ПРОЦЕСС ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Персональные данные в Банке получают непосредственно от субъекта персональных данных или его представителя, за исключением случая, указанного в п. 6.2. настоящей Политики, путем:

  • заполнения утвержденных форм документов;
  • заполнения утвержденных форм веб-заявок;
  • копирования оригиналов документов;
  • получения оригиналов документов;
  • внесения полученных персональных данных в учетные формы документов и информационные системы персональных данных.

6.2. В случаях, установленных законодательством РФ, персональные данные могут быть получены Банком от третьих лиц, в том числе и от государственных органов.

6.3. Банк берет согласие на обработку персональных данных субъекта персональных данных, которое содержится в утвержденных формах документов Банка, в установленных формах для систем переводов денежных средств или в качестве отдельного согласия (в любом случае в форме, позволяющей подтвердить факт его получения).

6.4. Согласие на обработку персональных данных субъектов персональных данных Банк не берет в следующих случаях:

  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Банк функций, полномочий и обязанностей;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.5. Банк может поручить обработку персональных данных субъектов персональных данных третьему лицу, с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. В договоре определяется: перечень персональных данных, перечень действий с персональными данными, цели их обработки, требования по обеспечению конфиденциальности персональных данных, требования, предусмотренные частью 5 статьи 18 и частью 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обязанность по запросу Банка в течение срока действия договора, в том числе до обработки персональных данных, представлять документы и иную информацию по обеспечению конфиденциальности персональных данных, требования к защите персональных данных, включая требование об уведомлении Банка о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

6.6. Субъект персональных данных может отозвать согласие на обработку своих персональных данных, написав в Банк соответствующее заявление.

6.7. В случае если цель обработки персональных данных субъектов персональных данных на материальных носителях и в информационных системах Банка достигнута, то персональные данные уничтожаются.

  1. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Защита персональных данных, обрабатываемых в информационных системах персональных данных и на бумажных носителях информации, обеспечивается системой информационной безопасности Банка.

7.2. Система информационной безопасности Банка реализует следующий набор защитных мер:

  • антивирусная защита персональных данных;
  • идентификация, аутентификация и авторизация сотрудников в информационных системах персональных данных;
  • управление логическим и физическим доступом к информационным системам персональных данных;
  • управление средствами криптографической защиты и их ключевыми системами;
  • контроль целостности применяемого программного обеспечения;
  • контроль использования сети Интернет и корпоративной электронной почты;
  • безопасное межсетевое взаимодействие информационных систем персональных данных;
  • регистрация и мониторинг событий информационной безопасности;
  • резервное копирование баз данных, информационных систем персональных данных.

7.3. Система обеспечения информационной безопасности Банка строится с учетом требований законодательства РФ, нормативных документов Банка России и стандартов информационной безопасности.

8. РАССМОТРЕНИЕ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект персональных данных или его законный представитель имеет право на получение в Банке следующей информации об обработке его персональных данных:

  • подтверждение факта обработки персональных данных Банком;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Банком способы обработки персональных данных;
  • наименование и место нахождения Банка, сведения о лицах (за исключением сотрудников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных законодательством РФ о персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • информацию о способах исполнения Банком мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • иные сведения, предусмотренные федеральными законами.

8.2. Банк предоставит субъекту персональных данных информацию, касающуюся обработки его персональных данных, или мотивированный отказ в предоставлении такой информации, а также возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя, либо в течение десяти рабочих дней с даты получения Запроса субъекта персональных данных или его представителя, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных. Указанный срок может быть продлен не более чем на пять рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

          8.3. Запрос должен содержать:

  • фамилию, имя, отчество субъекта персональных данных или его представителя;
  • серию, номер, а также дату и наименование органа, выдавшего основной документ, удостоверяющий личность субъекта персональных данных и его представителя;
  • номер и дату доверенности, выданной субъектом персональных данных его представителю, необходимой для осуществления законных прав и интересов субъекта персональных данных;
  • номер и дату заключения договора/договоров с Банком, либо сведения, иным образом подтверждающие участие субъекта персональных данных в отношениях с Банком;
  • подпись субъекта персональных данных или его представителя;
  • обоснование повторно направленного запроса до истечения тридцати дней с момента отправки первичного запроса.

В случае если запрос оформляется представителем субъекта персональных данных, к запросу должен быть приложен оригинал или надлежащим образом заверенная копия доверенности представителя.

8.4. В случае если сведения, указанные в п. 8.1. настоящей Политики, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных имеет право отправить повторный запрос по истечении тридцати дней с момента первоначального обращения или отправки первоначального запроса, за исключением случая, когда запрашиваемая субъектом персональных данных или его законным представителем информация не была предоставлена ему в полном объеме.

8.5. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральными законами, в том числе:

  • обработка персональных данных субъекта персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

8.6. Субъект персональных данных или его законный представитель может требовать от Банка изменения его персональных данных в случае, если персональные данные являются неактуальными, неполными, неточными, или уничтожения его персональных данных, если персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки.

8.7. В случае выявления неправомерной обработки при обращении субъекта персональных данных или его представителя либо по их запросу, либо по запросу уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу, либо по запросу уполномоченного органа по защите прав субъектов персональных данных Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) в течение семи рабочих дней со дня предоставления таких сведений и снимает блокировку персональных данных.

Банк обязан уничтожить персональные данные субъекта персональных данных в течение семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели.

8.8. По результатам внесенных изменений и/или уничтожения персональных данных субъекта персональных данных Банк уведомляет субъекта персональных данных или его законного представителя о факте уничтожения/внесенных изменений в его персональных данных, в порядке, установленном внутренними документами Банка, а также принимает меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

8.9   Субъект персональных данных или его законный представитель, физическое  лицо, индивидуальный предприниматель или юридическое лицо в праве отказаться от получения сообщений информационного характера, коммерческих, рекламных и иных материалов, направленных на продвижение продуктов и услуг банка  в рамках действующих договоров.

 

  1. КОНТРОЛЬ И ОТВЕТСТВЕННОСТЬ

9.1. В целях гарантии надлежащего исполнения Банком своих обязанностей, установленных законодательством РФ о персональных данных, Банком назначено лицо, ответственное за организацию процесса обработки персональных данных.

9.2. Общее руководство процессом организации обработки и защиты персональных данных осуществляет Председатель Правления Банка.

9.3. Сотрудники Банка, участвующие в процессе обработки персональных данных, несут ответственность за несоблюдение требований настоящей Политики.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1. Настоящая Политика подлежит своевременному пересмотру ее пригодности, приемлемости, эффективности, в том числе в случае и с учетом изменений действующего законодательства Российской Федерации, не реже чем 1 раз в три года.