ПОЛОЖЕНИЕ
об обработке персональных данных
в ООО КБ «Алтайкапиталбанк»
1. ОБЩИЕ ПОЛОЖЕНИЯ
- 1.1. Настоящее положение принято в целях сохранения личной тайны и защиты персональных данных работников и клиентов Банка.
1.2. Настоящее положение регламентирует порядок получения, учета, обработки, накопления, хранения и любого другого использования документов, содержащих сведения, отнесенные к персональным данным (ПДн) работников Банка (далее – работники) и клиентов Банка, а также защиту персональных данных от несанкционированного доступа и разглашения.
1.3. Настоящее Положение разработано на основе и во исполнение:
– части 1 статьи 23, статьи 24 Конституции Российской Федерации,
– Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» с последующими изменениями и дополнениями,
– положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных работников»,
– Федерального закона от 27.07.2006 №152-ФЗ “О персональных данных” с последующими изменениями и дополнениями,
– постановления Правительства №1119 от 1.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»,
– постановлениями Правительства РФ №687 от 15.09.2008 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”,
– Приказа ФСТЭК №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
1.4. Обработка ПДн осуществляется с 03.12.2008 на основании включения Банка в реестр операторов, осуществляющих обработку персональных данных (регистрационный №08-0029150).
1.5. В настоящем положении используются следующие понятия и определения:
– клиент Банка – физическое лицо (субъект), вступившее с Банком в гражданско-правовые отношения по оказанию банковских услуг; для целей настоящего Положения к клиентам Банка также относятся физические лица, подавшие заявку на вступление в гражданско-правовые отношения с Банком.
– обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.- персональные данные (ПДН)
– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).- работник Банка
– физическое лицо (субъект), вступившее в трудовые отношения с Банком; для целей настоящего Положения к работникам также относятся соискатели на занятие вакантной должности Банка и студенты, проходящие производственную практику в Банке;
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
- 2.1. Понятие персональных данныхПерсональные данные работника Банка – совокупность сведений, необходимых Банку в связи с трудовыми отношениями и касающаяся конкретного работника Банка, позволяющая однозначно идентифицировать его личность.Персональные данные клиентов Банка – совокупность сведений, необходимых Банку в связи с гражданско-правовыми отношениями для выполнения своих функций и касающаяся конкретного клиента, позволяющая однозначно идентифицировать его личность.В Банке обрабатываются персональные данные, принадлежность которым можно идентифицировать следующим образом:
– Персональные данные сотрудников Банка;
– Персональные данные клиентов Банка;
– Персональные данные лиц, состоящих в договорных отношениях с Банком (контрагенты).2.2. Совокупность сведений, относящихся к персональным данным:ФИО;
Номер и серия паспорта или иного документа, удостоверяющего личность;
дата рождения;
адрес регистрации (в том числе по месту пребывания)
Дополнительные сведения п. 2.3.2.3. Дополнительные сведения, которые в совокупности с вышеуказанными группами сведений относятся к персональным данным:- биометрические персональные данные (цифровая фотография для официального документа);
- контактные телефоны и электронные адреса;
- место рождения;
- семейное положение,
- ИНН;
- ОГРН (для индивидуального предпринимателя);
- гражданство;
- образец подписи;
- образование; специальность;
- профессия;
- данные, содержащиеся в трудовой книжке;
- место работы, должность, в том числе предыдущее, сведения о заработной плате; контактные телефоны и адреса;
- доходы;
- сведения об имуществе, принадлежащем Субъекту;
- наличие счетов в банке и выданных кредитов;
- данные миграционной карты, документа подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в РФ;
- сведения о воинском учете;
- сведения о банковских картах и счетах;
- данные, содержащиеся в документах, подтверждающих семейное положение;
- данные о членах семьи;
- данные, содержащиеся в пенсионном страховом свидетельстве;
- данные, содержащиеся в водительском удостоверении;
- сведения о социальных льготах;
- хобби и увлечения, личные качества;
- социальное положение.
2.4. Документы, содержащие персональные данные являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случае обезличивания персональных данных и в отношении общедоступных персональных данных в соответствии с ФЗ «О персональных данных».
2.5. Ксерокопия документа, удостоверяющая личность физического лица с фотографией, не является биометрическим персональными данными, в силу отсутствия надлежащего качества выполнения копии фотографии.
3. ОБЯЗАННОСТИ БАНКА
- В целях обеспечения прав и свобод работников и клиентов, Банк при работе с персональными данными обязан соблюдать следующие общие требования:
3.1. Обрабатывать персональные данные исключительно с согласия субъекта персональных данных за исключением случаев, предусмотренных законодательством Российской Федерации.
3.2. Обрабатывать персональные данные работников и клиентов Банка исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников и клиентов Банка, контроля качества выполняемой работы и обеспечения сохранности имущества.
3.3. Руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, федеральными законами и иными нормами действующего законодательства при определении содержания обрабатываемых персональных данных.
3.4. Получать персональные данные непосредственно у субъекта персональных данных. Получение и дальнейшая обработка персональных данных работников и клиентов Банка у третьих лиц, возможна только при уведомлении работников и клиентов Банка об этом заранее и с их согласия. В уведомлении о получении персональных данных у третьих лиц[1] должна содержаться следующая информация:
– о целях получения персональных данных;
– о предполагаемых источниках и способах получения персональных данных;
– о характере подлежащих получению персональных данных;
– о последствиях отказа работников и клиентов Банка дать письменное согласие на их получение.
3.5. Не допускать обработку специальных категорий персональных данных работников и клиентов Банка, а именно касающихся: расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, за исключением случаев, предусмотренных действующим законодательством Российской Федерации.
3.6. Предоставлять работникам и клиентам Банка информацию, касающуюся обработки его персональных данных, а также уполномоченному органу по защите прав субъектов ПДн при обращении или получении запроса в соответствии со ст. 14 ФЗ «О персональных данных». В случае поступления Запроса субъекта ПДн, его законного представителя или уполномоченного органа по защите прав субъектов персональных данных необходимо зарегистрировать запрос в Журнале регистрации запросов субъектов персональных данных на предоставление доступа к своим персональным данным в ООО КБ «Алтайкапиталбанк».
3.7. Сообщать по письменному запросу работников и клиентов Банка или их законных представителей информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставлять возможность ознакомления с ними при обращении работников и клиентов Банка либо их законных представителей в течение десяти рабочих дней с даты получения запроса.
3.8. Разъяснять работнику и клиентам Банка юридические последствия отказа предоставить свои персональные данные, если обязанность предоставления персональных данных установлена федеральным законом.
3.9. Обеспечивать защиту персональных данных работников и клиентов Банка от неправомерного их использования или утраты за счет собственных средств, в порядке, установленном действующим законодательством.
3.10. Иметь подтверждение всех изменений персональных данных работников и клиентов Банка соответствующими документами.
3.11. Не сообщать персональные данные работников и клиентов Банка третьим лицам без их письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника и клиентов Банка, а также в случаях, установленных действующим законодательством.
3.12. Предупреждать лиц, получающих персональные данные работников и клиентов Банка, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено путем подписания Обязательства о неразглашении сведений конфиденциального характера и персональных данных. - 3.13. Разрешать доступ к персональным данным работников и клиентов Банка только лицам, перечисленным в разделе 7 настоящего положения, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы при выполнении конкретных служебных обязанностей. Работники должны быть ознакомлены под расписку с документами Банка, устанавливающими порядок обработки персональных данных работников и клиентов Банка, а также об их правах, обязанностях и ответственности в этой области.
- 3.14. Передавать персональные данные работников и клиентов Банка их законным представителям в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными законными представителями их функций.
- 3.15. В случае достижения цели обработки персональных данных Банк обязан незамедлительно прекратить обработку персональных данных и уничтожить их в срок, установленный Федеральным законом “О персональных данных”.3.16. Уведомлять уполномоченный орган по защите прав субъектов ПДн об обработке ПДн и своевременно направлять указанное уведомление в соответствии с требованиями Федерального закона “О персональных данных” в случае наличия такой необходимости.3.17. Обрабатывать персональные данные, полученные только законным путем.3.18. Исполнять иные обязанности, предусмотренные действующим законодательством Российской Федерации в области персональных данных.[1] Третьи лица – юридические или физические лица, от которых поступает информация, содержащая персональные данные работников или клиентов Банка, а также лица, направляющие запросы в Банк о предоставлении такой информации в соответствии с законодательством Российской Федерации.
4. ОБЯЗАННОСТИ РАБОТНИКА БАНКА
- Работник Банка обязан:
4.1. По требованию Банка предоставлять ему необходимый перечень достоверных, подтвержденных документально персональных данных, перечень которых предусмотрен п. 2.2 настоящего положения.
4.2. Своевременно, в течение пяти рабочих дней, сообщать Банку об изменении своих персональных данных.
4.3. Предоставлять Банку сведения о своих персональных данных на протяжении всей своей трудовой деятельности.
4.4. Исполнять иные обязанности, предусмотренные законодательством Российской Федерации в области персональных данных.
5. ПРАВА БАНКА, КАК ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
БАНК вправе:
5.1. Запрашивать персональные данные работников и клиентов Банка с целью их последующего обновления в документах.
5.2. Проверять достоверность предоставляемых работником и клиентом Банка персональных данных.
5.3. Контролировать своевременность предоставляемых работником и клиентом Банка персональных данных.
5.4. Использовать иные права, предусмотренные действующим законодательством Российской Федерации в области персональных данных.
6. ПРАВА РАБОТНИКОВ БАНКА И КЛИЕНТОВ БАНКА
- Работники и клиенты Банка имеют право:
6.1. По письменному запросу безвозмездно получать информацию о своих персональных данных и обработке этих данных, включая право на получение копий любой записи, содержащей персональные данные в течение десяти рабочих дней со дня подачи этого запроса Банку.
6.2. Требовать от Банка исправления, исключения и дополнения всех неверных или неполных персональных данных, а также оповещения обо всех изменениях лиц, которым ранее были сообщены неверные персональные данные.
6.3. Обжаловать в суд любые неправомерные действия или бездействие Банка при обработке и защите его персональных данных в порядке, предусмотренном действующим законодательством.
6.4. Использовать иные права, предусмотренные законодательством Российской Федерации в области персональных данных.
7. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
- 7.1. Внутренний доступ (работники Банка).Доступ к персональным данным работников и клиентов Банка осуществляется в соответствии с «Инструкцией по работе пользователей в автоматизированной системе и порядок доступа к информационным ресурсам ООО КБ «АЛТАЙКАПИТАЛБАНК».
7.1.1. Должностные лица имеют право получать только те персональные данные работников или клиентов Банка, которые необходимы им для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц. Все остальные должностные лица имеют право на полную информацию только о своих персональных данных и обработке этих данных.
7.1.2. Персональные данные работника и клиента Банка могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника или клиента Банка.
7.1.3. В случае смерти работника согласие на обработку его персональных данных дают в письменной форме наследники работника, если такое согласие не было дано работником при его жизни.
7.1.4. При обработке персональных данных клиентов Банка (рассматриваемые данные получены не от клиентов), Банк до начала обработки таких персональных данных обязан предоставить клиентам по их просьбе, следующую информацию (ст. 18 ФЗ №152 – ФЗ «О персональных данных»), заключенную в уведомлении:1) реквизиты Банка;2) цель обработки персональных данных и ее правовое основание;3) предполагаемые пользователи персональных данных;4) установленные Федеральным законом «О персональных данных» права субъекта персональных данных.7.2. Внешний доступ (другие организации).Персональные данные вне Банка могут представляться в государственные и негосударственные функциональные структуры в соответствии с требованиями действующего законодательства:- налоговые органы;- правоохранительные органы;-судебные органы;- органы статистики;- военные комиссариаты;- Фонд социального страхования Российской Федерации (его филиалы);- управления Пенсионного Фонда Российской Федерации (его отделы);- Центральный Банк Российской Федерации;- иные органы в соответствии с законодательством РФ.Персональные данные работника (в том числе, уволенного) могут быть предоставлены Банком другим организациям по письменному запросу на бланке организации с приложением нотариально заверенной копии заявления работника о согласии предоставления персональных данных соответствующей организации.7.2.1. Предоставление сведений о персональных данных работников без соответствующего их согласия возможно в следующих случаях:
– в целях предупреждения угрозы жизни и здоровья работника;
– при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
– при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов.
7.2.2. Предоставление другим организациям сведений о персональных данных клиентов Банка без соответствующего их согласия возможно в следующих случаях:
– в целях выполнения функций Банка;
– в целях предупреждения угрозы жизни и здоровья клиентов Банка;
– при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
– при поступлении официальных запросов из налоговых органов, органов Пенсионного Фонда России, органов Федерального социального страхования, судебных органов.
7.2.3. Субъект персональных данных (работник, клиент Банка), о котором запрашиваются сведения в соответствии с п. 7.2.1., 7.2.2., должен быть уведомлён о передаче его персональных данных третьим лицам, за исключением случаев, когда такое уведомление невозможно в силу форс-мажорных обстоятельств, а именно: стихийных бедствий, аварий, катастроф, путем направления такого уведомления по месту жительства Субъекта, сотрудникам Банка, имеющим доступ к персональным данным.
7.2.4. Запрещается передача персональных данных работников и клиентов Банка в коммерческих целях без их согласия.
8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Защита персональных данных работников и клиентов Банка от неправомерного их использования или утраты обеспечивается за счёт средств Банка в порядке, установленном федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных».
9.2. Банк при обработке персональных данных обязан принимать необходимые организационные и технические меры, в том числе использовать шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
9.3. Банком и третьими лицами, получающими доступ к персональным данным, должна обеспечиваться конфиденциальность таких данных.9.4. В случае, если Банк на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
9.5. При передаче персональных данных работников и клиентов Банка третьим лицам, в порядке, установленном Трудовым кодексом Российской Федерации и настоящим Положением, ограничивать передаваемую информацию только теми персональными данными работников и клиентов Банка, которые необходимы для выполнения третьими лицами своих функций.
9.6. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий. Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации. Средства защиты применяемые в Банке для защиты персональных данных должны пройти в установленной форме процедуру оценки соответствия по требованиям безопасности информации.
9.7. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных, возлагается на Банк.
9.8. Личные дела, трудовые книжки, карточки- лицевые счета работников, другие документы, содержащие сведения конфиденциального характера, в том числе персональные данные физических лиц должны храниться в запираемых шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
9. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных как работников, так и клиентов Банка, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии со ст. 13.11 Кодекса РФ об административных правонарушениях.
10. ПРЕКРАЩЕНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. В случае достижения цели обработки персональных данных Банк обязан незамедлительно прекратить обработку персональных данных и уничтожить их в сроки, установленные законодательством.
11.2. Под достижением цели обработки персональных данных на бумажных носителях понимается окончание срока хранения документов в соответствии с номенклатурой дел Банка.
11.3. В связи с тем, что в электронном виде невозможно разграничить информацию с различными сроками хранения, то под достижением цели обработки персональных данных в электронном виде принимаем окончание максимального из сроков хранения документов в соответствии с номенклатурой дел Банка.
11.4. Работники и клиенты Банка имеют право отозвать согласие на обработку персональных данных в соответствии с действующим законодательством после достижения цели обработки персональных данных. Отзыв осуществляется в письменной форме.
11.5. В случае отзыва работником и клиентом Банка персональных данных согласия на обработку своих персональных данных Банк обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Банком и работником или клиентом Банка. Об уничтожении персональных данных Банк обязан уведомить работника или клиента Банка.
11.6. В случае отсутствия возможности уничтожения персональных данных либо обезличивания персональных данных в течение срока, установленного Федеральным законом “О персональных данных”, Банк обязан обеспечить их блокирование с последующим обеспечением уничтожения, которое производится не позднее шести месяцев со дня их блокирования.
11. ВНУТРЕННИЙ КОНТРОЛЬ
12.1. Внутренний контроль за исполнением Федерального закона “О персональных данных” осуществляется в соответствии с Положением ЦБ РФ «Об организации внутреннего контроля в кредитных организациях и банковских группах» от 16.12.2003г. №242-П (с учетом последующих редакций) и внутреннего Положения Банка «Об организации внутреннего контроля в ООО КБ «Алтайкапиталбанк»» (утв. 24.02.2004г.)
12.2. Работники Банка, в должностные обязанности которых входит работа с персональными данными, должны осуществляется текущий контроль:
– за предоставлением согласий Клиентами на обработку персональных данных, в случаях предусмотренных внутренними документами Банка и действующим законодательством;
– за ограничением доступа к документам в электронном виде и на бумажных носителях, содержащим персональные данные: не оставлять документы содержащие персональные данные на рабочем месте, на экране монитора компьютера и т.д. на время своего отсутствия;
– контролировать сохранность документов – незамедлительно сообщать своему непосредственному руководителю о выявленных фактах нарушения хранения документов: поломка замка, сбои в работе компьютера и т.д. Руководитель подразделения обязан довести эту информацию до руководства Банка.
12.3. Руководители структурных подразделений Банка должны осуществлять текущий и последующий контроль:
– за предоставлением согласий Клиентами на обработку персональных данных, в случаях предусмотренных внутренними документами Банка и действующим законодательством;
– за ограничением доступа к документам в электронном виде и на бумажных носителях, содержащим персональные данные: не оставлять документы содержащие персональные данные на рабочем месте, на экране монитора компьютера и т.д. на время своего отсутствия;
– контролировать сохранность документов – незамедлительно доводить информацию до руководства Банка о выявленных фактах нарушения хранения документов: поломка замка, сбои в работе компьютера и т.д.
12.4. Служба внутреннего контроля должна осуществлять последующий контроль за исполнением Федерального закона “О персональных данных” на основании утверждено плана проверок.
12.5. Работник, ответственный за информационную безопасность (в соответствии с Описанием технологического процесса обработки информации на объекте информатизации ООО КБ «Алтайкапиталбанк») один раз в год в соответствии с планом проверок Банка осуществляет контроль за состоянием технологической защиты персональных данных в Банке.