Положение
об обработке персональных данных


1.            ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1.1         Автоматизированная банковская система (АБС) - комплекс программного и технического обеспечения, направленный на автоматизацию банковской деятельности.

1.2         Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

1.3         Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

1.4         Информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

1.5         Клиенты Банка - физические лица, вступившие в договорные и иные гражданско­правовые отношения с Банком, пользующиеся услугами Банка, иные физические лица, являющиеся потенциальными Клиентами Банка.

1.6         Конфиденциальность - обязанность Банка и иного лица, получившего доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

1.7         Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

1.8         Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.9         Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (для целей настоящего Положения Банк является Оператором).

1.10     Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

1.11     Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

1.12     Ресурс ПДн – совокупность носителей (электронных и бумажных), баз данных, серверов персональных данных, эксплуатируемых Банком с использованием или без использования средств автоматизации и автоматизированных банковских систем, в том числе информационных систем персональных данных, объединенных общими целями обработки.

1.13     Распространение персональных данных - действия, направленные на раскрытиеперсональных данных неопределенному кругу лиц.

1.14     Субъект персональных данных - физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.

1.15     Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

1.16     Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

 

2.            ОБЩИЕ ПОЛОЖЕНИЯ

2.1.        Настоящее Положение разработано в соответствии со следующими нормативно-правовыми актами:

·      Конституцией РФ (ст. 23, 24).
·      Гражданским кодексом РФ (ст. 152.2).
·      Трудовым кодексом Российской Федерации.
·      Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
·      Федеральным законом от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).
·      Федеральным законом от 29.07.2004 года № 98-ФЗ «О коммерческой тайне».
·      Федеральным законом от 02.12.1990 N 395-1 "О банках и банковской деятельности".
·      Федеральным законом от 30.12.2004 года № 218 - ФЗ «О кредитных историях».
·      Федеральным законом от 23.12.2003 года № 177 - ФЗ «О страховании вкладов физических лиц в банках Российской Федерации».
·      Федеральным законом от 07.08.2001 года № 115 - ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
·      Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. Постановлением Правительств Российской Федерации от 15.09.2008 № 687).
·      Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
·      Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
·      Стандартом Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» (утв. распоряжением Банка России от 17. 05.2014 г. № Р-399).

В случае изменения законодательства Российской Федерации, нормативных или распорядительных документов Банка,
затрагивающих действие настоящего Положения, Положение применяется в части, не противоречащей данным изменениям.

2.2.             Настоящее Положение распространяется на ПДн, получаемые в целях осуществления кредитных, финансовых, расчётных, кассовых и иных банковских операций или сделок.

2.3.             Цель принятия настоящего Положения – определение порядка обработки ПДн субъектов персональных данных, данные которых подлежат обработке, на основании полномочий Банка; обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку ПДн.

3.            ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1.        Цель обработки ПДн субъектов - осуществление банковской деятельности, предусмотренной Уставом АО «Заубер Банк» (далее по тексту - Банк) (включая банковские операции; оказание клиентам полного комплекса банковских услуг; обязательное раскрытие информации на рынке ценных бумаг; раскрытие информации для целей соблюдения антимонопольного законодательства; соблюдение требований законодательства при выпуске и обращении ценных бумаг; осуществление прав владельцев ценных бумаг, выпущенных (выданных) Банком и иными лицами; соблюдение требований законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; соблюдение требований налогового законодательства, при осуществлении исполнительного производства; соблюдение банковской тайны; осуществление финансово-хозяйственной деятельности Банка; рекламы услуг Банка; соблюдение иного законодательства (в том числе трудового, законодательства, регулирующего обязательные сборы), заключение, исполнение и прекращение гражданско-правовых договоров с физическими лицами: гражданами и индивидуальными предпринимателями, юридическими лицами, в том числе:

· привлечение денежных средств физических и юридических лиц во вклады (до востребования и на определенный срок);
·  выдача юридическим и физическим лицам денежных средств на обусловленный срок и на обусловленных условиях (предоставление кредитов);
· открытие и ведение банковских счетов физических и юридических лиц;
· осуществление расчетов по поручению физических и юридических лиц, в том числе банков-корреспондентов, по их банковским счетам;
· инкассация денежных средств, векселей, платежных и расчетных документов;
· кассовое обслуживание физических и юридических лиц;
· купля - продажа иностранной валюты в наличной и безналичной формах;
· оказание консультационных и информационных услуг;
· осуществление переводов денежных средств по поручению физических лиц без открытия банковских счетов (за исключением почтовых переводов);
· иные сделки, не запрещенные законодательством, а также комплекс действий с ПДн, необходимыми для исполнения вышеуказанных сделок;
· содействие субъекту ПДн при трудоустройстве в Банк, организации трудовых отношений в Банке;
· опубликование информации о составе органов управления Банком, раскрытие информации о которых является обязательным согласно требованиям действующего законодательства Российской Федерации.

4.            ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.        Состав обрабатываемых ПДн субъектов персональных данных в ИСПДн АО «Заубер Банк» приведен в Приложении №1 настоящему Положению.

4.2.        Категории субъектов ПДн:

В целях реализации настоящего Положения в качестве субъектов персональных данных, ПДн которых могут обрабатываться в Банке с использованием средств автоматизации или без использования таковых, понимаются нижеперечисленные категории физических лиц, условно именуемые далее:

а)  клиентами, в состав которых включаются:

•       физические лица (заемщики, вкладчики и т.п.) и их представители (лица, действующие по доверенности физических лиц и др.), имеющие договорные отношения с Банком о предоставлении банковских услуг, их поручители, выгодоприобретатели и т.п., а также потенциальные клиенты на этапе преддоговорных отношений с ними (действий в целях заключения договора);

•       руководители, представители и работники юридических лиц, имеющих договорные отношения с Банком о предоставлении банковских услуг (в том числе корреспондентов) Банка или находящихся на этапе преддоговорных отношений с Банком;

б)  работниками, в состав которых включаются:
•       персонал Банка (работники, состоящие в трудовых отношениях с Банком), кандидаты на работу в Банк и лица, имевшие ранее трудовые отношения с Банком;
•       лица, имеющие гражданско-правовой характер договорных отношений с Банком или находящиеся на этапе преддоговорных отношений подобного характера;
•       лица, проходящие различного рода практику (стажировку) в Банке;
•       акционеры Банка.

в)  посетителями, в состав которых включаются:
•       представители (должностные лица) государственных органов законодательной, исполнительной и судебной власти и управления;
•       представители общественных организаций, коммерческих и некоммерческих структур и иных объединений (в том числе иностранных);
г)  иными субъектами ПДн, которые не вошли в вышеперечисленные категории и обработка ПДн которых не противоречит законодательству Российской Федерации.

5.            ПЕРЕЧЕНЬ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ, РЕСУРСОВ ПЕРСОНАЛЬНЫХ ДАННЫХ и ИХ ХАРАКТЕРИСТИК

5.1         ИСПДн в Банке вводится в эксплуатацию приказом.
5.2         В Банке устанавливается следующий подход к отнесению АБС к ИСПДн:

5.2.1       Вопрос об отнесении АБС к ИСПДн рассматривается комиссией по определению уровня защищенности ПДн. В состав комиссии в обязательном порядке  входят работники Управления информационной безопасности и автоматизации, и работники Управления службы безопасности, подразделения, отвечающего за эксплуатацию АБС;
5.2.2       Решение об отнесении АБС к ИСПДн принимается с учетом целей создания и использования АБС, вида реализуемого АБС технологического процесса и обрабатываемых в АБС ПДн;
5.2.3       К ИСПДн должны быть отнесены как минимум АБС, целью создания и использования которых является обработка ПДн;
5.2.4       Решение об отнесении АБС к ИСПДн отражается в акте определения уровня защищенности ПДн в ИСПДн.

5.3         В Банке устанавливаются следующие критерии и порядок определения уровня защищенности ПДн в ИСПДн:

5.3.1       Определение уровня защищенности ПДн в ИСПДн Банка производится в соответствии с «Требованиями к защите  персональных данных при их обработке в информационных системах персональных данных», утвержденными постановлением Правительства РФ от 01.11.2012. №1119.
5.3.2       Определение уровня защищенности ПДн в ИСПДн производится на основе типа информационной системы, объема обрабатываемых ПДн, актуальных угроз для ИСПДн и целей создания АБС;
5.3.3       Уровень защищенности ПДн в ИСПДн подлежит определению членами комиссии ИСПДн и утверждается в установленном порядке.

5.4         ИСПДн не взаимодействует с другими АБС.

5.5         Типы ПДн, выделяемые в Банке:
·      ПДн клиентов;
·      ПДн работников Банка; кандидатов на вакантные должности.

5.6         Ресурсы ПДн, выделяемые в Банке:

·      базы данных ПДн;
·      архивы баз данных ПДн;
·      сервера ИСПДн;
·      бумажные носители информации.

5.7         В Банке могут обрабатываться следующие категории ПДн: биометрические ПДн, специальные ПДн, иные категории ПДн. Обработка ПДн, отнесенных к специальным и биометрическим категориям, может осуществляться только с разрешения Председателя Правления в порядке, установленном Федеральным законом. Категория ПДн определена документом «Акт определения уровня защищенности» членами комиссии по определению уровня защищенности ПДн.

5.8         Объем обрабатываемых ПДн – в информационной системе одновременно обрабатываются менее 100 000 субъектов ПДн не являющихся работниками Банка и менее 100 000 субъектов являющихся работниками Банка. Учет количества субъектов ПДн ведется автоматизировано средствами эксплуатируемой АБС.

6.            ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1.        ПДн субъекта персональных данных относятся к категории конфиденциальной информации.

6.2.        В целях обеспечения прав и свобод человека и гражданина Банк и его представители при обработке ПДн субъектов персональных данных соблюдают следующие общие требования:

6.2.1.   Обработка ПДн субъектов персональных данных осуществляется исключительно в целях, указанных в п.3. настоящего Положения при соблюдении следующих условий:
·  с согласия субъекта на обработку его ПДн;
· для достижения целей, предусмотренных законодательством Российской Федерации, для осуществления и выполнения возложенных на Банк как на оператора функций, полномочий и обязанностей;
· для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации;
·  для заключения и\или исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
· для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение согласия субъекта невозможно;
· для осуществления прав и законных интересов Банка как оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта;
· в статистических или иных исследовательских целях, за исключением целей продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации, при условии обязательного обезличивания ПДн;
·  осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом либо по его просьбе;
· осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с Федеральным законом;
6.2.2.    При определении объема и содержания обрабатываемых ПДн субъектов персональных данных Банк руководствуется следующими принципами:
·   обработка ПДн должна осуществляться на законной и справедливой основе;
· обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн;
· не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
· обработке подлежат только ПДн, которые отвечают целям их обработки;
·  содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
· при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
·  хранение ПДн осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки ПДн, если иной срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

6.2.3.    Обработка ПДн Банком осуществляется с согласия субъектов персональных данных, выраженного в письменной форме (Приложение №2 настоящему Положению), или в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью, кроме случаев, предусмотренных законодательством РФ. Получение согласия субъекта персональных данных осуществляется подразделением Банка, непосредственно обслуживающим/ взаимодействующим с субъектом персональных данных.

Согласие на обработку ПДн может быть внесено в текст договора, заключаемого с субъектом ПДн.

6.2.4.       Согласие субъекта персональных данных необходимо в случае, если ПДн получены от третьих лиц. Обработка таких ПДн  возможна только при уведомлении субъекта персональных данных об этом заранее. До начала обработки таких ПДн Банк обязан предоставить субъекту персональных данных Уведомление (Приложение №3 к настоящему Положению), содержащее следующую информацию:

·      наименование и адрес Банка или его представителя;

·      цель обработки ПДн и ее правовое основание;

·      предполагаемые пользователи ПДн;

·      установленные Федеральным законом «О персональных данных» права субъекта персональных данных;

·      источник получения ПДн.

6.2.5.       Допускается обработка ПДн в случае, если обработка ПДн необходима для исполнения договора по которому ранее третьим лицом было получено согласие и должна осуществляться на законной и справедливой основе и ограничиваться достижением конкретных, заранее определенных и законных целей.

6.2.6.    Банк не получает и не обрабатывает ПДн субъекта персональных данных о его политических, религиозных и иных убеждениях и частной жизни.
6.2.7.    ПДн не используются в целях причинения имущественного и морального вреда субъекту персональных данных, затруднения реализации его прав и свобод.
6.2.8.    При принятии решений, затрагивающих интересы субъекта персональных данных, Банк не основывается на ПДн субъекта персональных данных, полученных исключительно в результате их автоматизированной обработки без его письменного согласия на такие действия.
6.3.     При идентификации субъекта персональных данных Банк требует предъявления документов, удостоверяющих личность субъекта персональных данных или подтверждающих полномочия его представителя.
6.4.        При осуществлении финансовой деятельности у Банка может возникнуть необходимость в предоставлении субъектом персональных данных иных документов, содержащих информацию о нем, с момента предоставления которых может быть связано предоставление дополнительных гарантий и компенсаций.
6.5.        Технология обработки ПДн работниками Банка включает в себя следующие процессы:
·      сбор;
·      запись;
·      систематизацию;
·      накопление;
·      хранение;
·      уточнение (обновление, изменение);
·      извлечение, использование;
·      передачу (распространение, предоставление, доступ);
·      обезличивание;
·      блокирование;
·      удаление;
·      уничтожение.

6.6.        При обработке ПДн работники Банка обязаны соблюдать следующие требования:

6.6.1 В процессе сбора и уточнения ПДн:

·      контролировать своевременность актуализации ПДн;

·      контролировать полноту и достоверность полученных сведений;

·      обеспечить безопасное хранение полученных данных.

6.6.2 В процессе систематизации и накопления ПДн обеспечить полноту и достоверность информации.

6.6.3 В процессе фиксирования и использования ПДн работниками Банка обеспечивается точность, полнота, достоверность информации. Руководителями подразделений контролируется актуальность и безопасное хранение обрабатываемых данных по отношению к целям обработки ПДн;

6.6.4 В процессе внесения изменений в ПДн обеспечить точность, достоверность, актуальность изменяемых ПДн по отношению к целям обработки ПДн путем периодического обновления;

6.7.        При обработке ПДн без использования средств автоматизации, работники руководствуются требованиями документа «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6.8.        Обязанности по хранению и соблюдение требований по неавтоматизированной обработке документов, в которых содержатся ПДн субъектов персональных данных, возлагаются на руководителей подразделений, в которых обрабатывается и хранится информация.

6.9.        Для обработки ПДн и процедур работы с ними, применяются типовые формы документов, утвержденные соответствующим уполномоченным органом.

6.10.    При обработке ПДн Банком и/или его доверенными лицами обеспечивается конфиденциальность, т.е. созданы условия, не допускающие их распространения или предоставления третьим лицам без согласия субъекта персональных данных, за исключением случаев, определенных законодательством РФ и/или когда ПДн относятся к обезличенным/общедоступным. Передача ПДн Банком третьему лицу должна осуществляться с согласия субъекта персональных данных, если иное не предусмотрено действующим законодательством РФ.

6.11.    Обработка ПДн третьими лицами осуществляется на основании договора.

6.11.1.        Для правомерной обработки ПДн субъекта третьим лицом (обработчиком), необходимо получить согласие субъекта на данное действие (Приложение №2 настоящему Положению). Согласие субъекта не требуется в случае определения обработчика как доверенного лица Банка в подписанном ранее согласии или ссылки на его наименование на общедоступном ресурсе Банка.

6.12.    Договор с третьим лицом на обработку ПДн субъектов персональных данных долженсодержать обязательства лица соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом «О персональных данных», в том числе:

6.12.1.        Определить перечень действий, осуществляемых обработчиком с ПДн.

6.12.2.        Определить соответствие содержания и объема обрабатываемых ПДн целям обработки, недопустимости их избыточности по отношению к заявленным целям обработки.
6.12.3.        Определить точность, достаточность, в необходимых случаях актуальности ПДн по отношению к целям обработки.

6.12.4.        Обязанность обрабатывать только те ПДн, которые отвечают целям их обработки.

6.12.5.        Обеспечивать безопасность ПДн (в том числе соблюдать конфиденциальность ПДн) при их обработке, не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом, а также должны быть указаны требования по обеспечению безопасности ПДн.

6.13.    Аналогичным образом ответственность определяется в случае, когда Банку поручается сторонним оператором ПДн обработка ПДн субъектов персональных данных, с которыми у Банка отсутствуют непосредственные правовые отношения. Банк в этом случае выступает в роли лица, осуществляющего обработку ПДн по договору.

6.14.    Трансграничная передача ПДн субъектов персональных данных осуществляется на основании полученного от субъекта персональных данных согласия на обработку ПДн (Приложение №2 к настоящему Положению).

6.15.    Хранение ПДн осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки. По окончанию обработки данные уничтожаются комиссией, при этом составляется Акт об уничтожении по форме Приложения №7 к настоящему Положению и запись в журнал уничтожения носителей информации Приложение №8 к настоящему Положению ПДн. Документы, содержащие ПДн клиентов хранятся в юридическом деле клиента. Срок хранения ПДн устанавливается в соответствии со сроком хранения документов, для обработки которых дано согласие на основании утвержденной номенклатуры дел, в соответствии со сроками, установленными приказом Министерства Культуры РФ от 25 августа 2010 г. № 558 об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003г. N 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», а также иными требованиями законодательства РФ (по срокам исковой давности, по оформлению трудовых отношений и т.д.), нормативных документов федеральных органов исполнительной власти и Банка России, документов, фиксирующих договорные отношения Банка с субъектами ПДн, и согласий субъектов на обработку ПДн.

6.16.    Содержание и объем обрабатываемых ПДн соответствует установленным целям обработки ПДн. Для целей обработки определяются необходимый объем ПДн, содержащихся в Согласии на обработку ПДн, договорах и иных документах в соответствии с требованием действующего законодательства.

6.17.    ПДн субъектов персональных данных могут храниться в электронном виде в информационной системе персональных данных.

6.18.    Съемные носители, в том числе содержащие персональные данных учитываются в документе «Журнал учета носителей персональных данных в АО «Заубер Банк» и хранятся в ответственном подразделении Банка в соответствии с требованиями, установленными для хранения соответствующей информации. Выдача съемных носителей производится под роспись работнику в документе «Журнал выдачи съемных носителей». Указанные журналы хранятся в Отделе информационной безопасности.

6.19.    Регистрация и учет мест хранения материальных носителей ПДн осуществляется согласно документам «Правила хранения электронных носителей информации АО «Заубер Банк» и «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

6.20.    Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

6.21.    Не допускается хранение на съемных носителях (флэш-накопители, внешние жесткие диски и т.п.) ПДн, обработка которых осуществляется в целях, несовместимых между собой.

6.22.    Условием прекращения обработки или уничтожения ПДн является:

·         достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством РФ;

·         ликвидация юридического лица, прекращение обслуживания юридического лица в банке, смерть физического лица, прекращение обслуживания физического лица в банке, отсутствие необходимости сохранения ПДн для целей обработки, требование субъекта персональных данных на прекращение обработки его ПДн (отзыв согласия – Приложение №4 к настоящему Положению);

·         выявление неправомерной обработки ПДн без согласия субъекта персональных данных.

7.            ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1          Мероприятия по обеспечению безопасности ПДн являются составной частью деятельности Банка по защите конфиденциальной информации.

7.2          Ответственными за организацию выполнения требований внутренних нормативных документов Банка по вопросам обработки ПДн и их защите в структурных подразделениях Банка являются руководители этих подразделений. На время отсутствия руководителей ответственными являются лица, замещающие их. Руководители подразделений вправе назначить иных должностных лиц ответственными по отдельным вопросам организации обработки и защиты ПДн.

7.3          Администратор информационной безопасности и его заместитель, ответственные за обеспечение безопасности ПДн в АО «Заубер Банк» назначаются приказом АО «Заубер Банк».

Ответственные лица обязаны:

- осуществлять внутренний контроль за соблюдением Банком, как оператором ПДн, и его работниками законодательства РФ о ПДн, в том числе требований к защите ПДн;

- доводить до сведения работников Банка положения законодательства РФ о ПДн, внутренних нормативных документов по вопросам обработки ПДн, требований к защите ПДн;

- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.

На ответственных лиц возлагается задача по организации выполнения законодательных требований при обработке ПДн в Банке.

7.4   Ответственными за выполнение требований внутренних нормативных документов Банка по вопросам обработки ПДн и их защите на своих рабочих местах в рамках определенных соответствующими должностными инструкциями являются лица, уполномоченные в установленном порядке обрабатывать в Банке ПДн.

7.5  Доступ к настройкам средств защиты информации в ИСПДн разрешен только работникам отдела информационной безопасности, в рамках поставленных перед отделом задач. Доступ к настройкам фиксируется в электронных журналах программных и программно-технических компонент ИСПДн.

7.6  Выполнение процедур резервного копирования информации содержащей в том числе ПДн  определяется документом «Регламент резервного копирования информационных ресурсов АО «Заубер Банк».

7.7  Серверные компоненты ИСПДн расположены в периметре охраняемого помещения. Физический доступ к серверам ограничен перечнем лиц имеющих доступ к серверному оборудованию.

7.8 Автоматизированные рабочие места пользователей находятся в помещениях оборудованных видеонаблюдением и системами контроля доступа.

7.9 Технические средства предназначенные для администрирования ИСПДн, серверные компоненты ИСПДн и автоматизированные рабочие места пользователей находятся в разных сегментах локальной вычислительной сети.

7.10 Мониторинг трафика осуществляется средствами межсетевого экранирования. Мониторинг осуществляется отделом информационной безопасности. 
7.11 Все неучтенные съемные носители и накопители информации перед использованием проверяются работниками отдела информационной безопасности или отдела автоматизации, на наличие вредоносных программ и возможных угроз безопасности.

7.12   Коммуникационные порты и устройства ввода вывода на автоматизированных рабочих местах пользователей функционируют, обеспечивая минимальный необходимый набор возможностей для выполнения служебных задач.

7.13      Мониторинг информационного взаимодействия между сегментами локальной вычислительной сети и защита сегментов локальной вычислительной сети осуществляется сертифицированными по требованиям безопасности информации программно-аппаратными техническими средствами защиты, в соответствии с требованиями приказа ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах персональных данных». Администрирование средств защиты информации осуществляет отдел информационной безопасности.

7.14     Доступ к информации, содержащей ПДн на электронных носителях (сервера баз данных и клиентские АРМ) ограничен реализацией следующих мер защиты ИСПДн:

·         идентификация и аутентификация субъектов доступа и объектов доступа;

·         управление доступом субъектов доступа к объектам доступа;

·         защита машинных носителей информации, на которых хранятся и (или) обрабатываются ПДн (далее - машинные носители ПДн);

·         регистрация событий безопасности;

·         антивирусная защита;

·         контроль (анализ) защищенности ПДн;

·         обеспечение целостности информационной системы и ПДн;

·         обеспечение доступности ПДн;

·         защита технических средств;

·         защита информационной системы, ее средств, систем связи и передачи данных;

·         выявление инцидентов, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности ПДн и реагирование на них;

·         управление конфигурацией информационной системы и системы защиты ПДн;

·         защита информации при ее передаче по каналам связи, выходящим за пределы контролируемой зоны;

·         организация физической защиты помещений и технических средств обработки ПДн;

·         разграничение доступа пользователей к программным средствам обработки ПДн и средствам защиты ПДн;

·         резервирование технических средств и массивов ПДн;

·         использование средств межсетевого экранирования при взаимодействии ИСПДн с сетью международного информационного обмена (Интернет).

7.15     Безопасность ПДн, обработка которых осуществляется без использования средств автоматизации, реализуется в соответствии с документом «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

7.16     Хранение ПДн должно исключать их утрату или несанкционированный доступ к ним.

7.17     Документы, содержащие ПДн, хранятся в помещениях подразделений, ответственных за ведение и хранение таких документов. Входные двери помещений оборудуются замками, гарантирующими надежное закрытие помещений во внерабочее время, и оснащаются охранно-пожарной сигнализацией.

7.18     Банк обеспечивает хранение первичных документов, связанных с обработкой документации по учету кадров, учету использования рабочего времени, оплаты труда в Банке. Документы на бумажных носителях, содержащие ПДн работников, с которыми расторгнуты трудовые отношения, сдаются в архив.

8.            ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1      При передаче ПДн субъекта персональных данных Банк соблюдает следующие требования, и выполняются следующие условия:

8.1.2    Осуществляет обработку ПДн субъекта персональных данных в пределах своей организации в соответствии с настоящим Положением.

8.1.3             Разрешает доступ к ПДн субъекта ПДн только уполномоченным лицам, при этом указанные лица вправе получать только те ПДн субъекта персональных данных, которые необходимы для выполнения конкретных функций.

8.1.4             Вправе поручить обработку ПДн третьему лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством, на основании заключаемого с этим лицом договора.

8.1.5             Лицо, осуществляющее обработку ПДн по поручению Банка, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством. В поручении Банкадолжны быть определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн.

8.1.6             Лицо, осуществляющее обработку ПДн по поручению Банка, обязано получать согласие субъекта персональных данных на обработку его ПДн.

8.1.7             В случае если Банк поручает обработку ПДн другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Банк. Лицо, осуществляющее обработку ПДн по поручению Банка, несет ответственность перед Банком.

8.1.8             Передает ПДн субъекта персональных данных его представителям в порядке, установленном законодательством РФ, и ограничивает эту информацию только теми ПДн субъекта персональных данных, которые необходимы для выполнения указанными представителями их функций.

9.            ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

9.1               Доступ к ПДн субъектов персональных данных предоставлен только работникам Банка, и только в интересах и в рамках выполнения должностных обязанностей, а так же работникам, задействованным в работе с субъектами персональных данных, в том числе работникам дополнительных офисов и филиалов.

9.2               Доступ к ПДн предоставляется аналогично доступу к информационным ресурсам Банка согласно «Положению об организации доступа к ресурсам корпоративной вычислительной сети АО «Заубер Банк».

9.3         Работники Банка, получившие доступ к персональным данным субъекта, обязаны использовать их лишь в целях, для которых сообщены ПДн и обязаны соблюдать режим конфиденциальности обработки и использования полученной информации (ПДн субъектов).

9.4         Передача ПДн между подразделениями и работниками Банка осуществляется только в рамках выполнения служебных обязанностей.

9.5         Обработка ПДн, лицами допущенными к обработке, допускается только в помещениях определенных приказом «О перечне помещений, в которых размещается информационная система персональных данных и ведется обработка персональных данных» и приказом «О контролируемой зоне».

10.        ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1          В целях обеспечения защиты ПДн, обрабатываемых Банком, субъекты персональных данных имеют право на:

Получение полной информации о составе своих ПДн и их обработке, в частности субъект персональных данных, имеет право знать, кто и в каких целях использует или использовал информацию о его ПДн (Приложение №5 к настоящему Положению).

Доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн субъекта персональных данных на основании письменного запроса, за исключением случаев, если предоставление ПДн нарушает конституционные права и свободы других лиц.

Запрос должен содержать следующую информацию:

·           документ, удостоверяющего личность субъекта персональных данных (его представителя) (номер, сведения о дате выдачи указанного документа и выдавшем его органе);

·           сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором, либо сведения, иным образом подтверждающие факт обработки ПДн оператором;

·           подпись субъекта персональных данных (его представителя).

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Сведения о субъекте персональных данных должны быть исключены из общедоступных источников ПДн по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

Требование об исключении, уничтожении или исправлении неверных или неполных устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для Банка ПДн предъявляется по форме Приложения №6 к настоящему Положению или иной форме с обязательным указанием фамилии, имени, отчества, адрес места жительства (фактического и по месту регистрации), серии и номера документа, удостоверяющего его личность, даты выдачи и органе, выдавшем его. Субъект персональных данных может отозвать свое Согласие. В этом случае Банк вправе продолжить обработку ПДн без Согласия субъекта при наличии оснований в соответствии с законодательством Российской Федерации).

10.2          В целях информационного обеспечения в Банке могут создаваться общедоступные источники ПДн работников Банка (в том числе справочники, адресные книги). В общедоступные источники ПДн могут включаться его фамилия, имя, отчество, адрес места работы, рабочий номер телефона, рабочий адрес электронной почты, должность и иные ПДн (в случае необходимости), сообщаемые субъектом персональных данных.

10.3          Сведения о субъекте персональных данных исключаются из общедоступных источников ПДн в случае прекращения между субъектом персональных данных и Банком трудовых правоотношений.

11.        ОБЯЗАННОСТЬ И ОТВЕТСТВЕННОСТЬ

11.1     Ответственность за организацию обработки ПДн субъектов персональных данных, возлагается на руководителей подразделений, в которых обрабатываются ПДн. Полномочия, права и обязанности руководителей подразделений определены в должностных инструкциях.

11.2     Банк при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.

11.3     Ознакомление работников, принимаемых на работу в Банк, а так же в случае обучения или повышении осведомленности работников, с внутрибанковскими нормативными документами, а также нормативными актами и законодательством Российской Федерации в области безопасности информации, в том числе защиты ПДн, осуществляет отдел информационной безопасности.

11.4     Реализация запросов, обращений и требований субъектов ПДн осуществляется подразделением Банка непосредственно обслуживающим/взаимодействующим с субъектом персональных данных. Ответственность за полноту, своевременность реализации и учет выполнения мероприятий несет руководитель данного подразделения. После реализации обращений и требований субъектов персональных данных подразделение, ответственное за реализацию данных мероприятий, уведомляет субъекта ПДн о выполненных действиях.

11.5     Уведомление об обработке АО «Заубер Банк» ПДн, подготавливается и направляется в орган по защите прав субъектов персональных данных, отделом информационной безопасности.

11.6     В случае изменения состава обрабатываемых ПДн, и/или иных сведений содержащихся в уведомлении, отделом информационной безопасности в течение десяти рабочих дней, с даты внесения изменений, подготавливается и направляется в уполномоченный орган информационное письмо содержащее информацию о внесении изменений в уведомление об обработке ПДн.

11.7     Реализация запросов, обращений и требований уполномоченного органа по защите прав субъектов ПДн осуществляется отделом информационной безопасности Банка. Ответственность за полноту, своевременность реализации и учет выполнения мероприятий несет начальник отдела информационной безопасности. После реализации обращений и требований уполномоченного органа по защите прав субъектов ПДн подразделение, ответственное за реализацию данных мероприятий, уведомляет уполномоченный орган по защите прав субъектов ПДн о выполненных действиях.

11.8     Работник, имеющий доступ к ПДн, виновный в нарушении порядка обращения с ПДн, несет дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральным законодательством.

11.9     Банком обеспечивается неограниченный доступ путем размещения на сайте Банка, к документу, определяющему политику Банка в отношении обработки ПДн и сведения о реализуемых требованиях по обеспечению безопасности ПДн.

11.10            Банком обеспечивается своевременное внесение изменений в документ, определяющий политику Банка в отношении обработки ПДн и сведения о реализуемых требованиях по обеспечению безопасности ПДн.

11.11           Банком обеспечивается в соответствии с Положением Банка России от 27 октября 2009 года № 345-П «О порядке раскрытия на официальном сайте Банка России в информационно-телекоммуникационной сети Интернет информации о лицах, оказывающих существенное (прямое или косвенное) влияние на решения, принимаемые органами управления банков - участников системы обязательного страхования вкладов физических лиц в банках Российской Федерации», руководствуясь документом «Положение об информационном интернет-сайте», формирует и передает информацию о лицах, оказывающих существенное (прямое или косвенное) влияние на решения, принимаемые органами управления Банка, отделу маркетинга и рекламы.

11.12           Отдел маркетинга и рекламы, должен обеспечить внесение изменений, руководствуясь документом «Положение об информационном интернет-сайте», на сайте Банка в раздел «Информация о лицах, оказывающих существенное (прямое или косвенное) влияние на решения, принимаемые органами управления Банка».

11.13           Служба внутреннего контроля осуществляет мониторинг системы внутреннего контроля Банка, проводит текущие и плановые проверки в части соблюдения требований регуляторного риска.

11.14           Служба внутреннего аудита Банка осуществляет контроль за исполнением требований законодательства в части защиты персональных данных при проведении плановых и внеплановых проверок, а также проверку эффективности организации работы по данному направлению деятельности.

12.        ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1     Настоящее Положение вступает в силу со дня его утверждения Правлением Банка.

12.2     Требования, изложенные в Положении, являются обязательными для выполнения всеми работниками Банка и иными лицами, имеющими договорные отношения с Банком, при этом срочность и важность выполняемых ими работ не должны являться основанием для нарушения требований настоящего Положения.

12.3     Работники, непосредственно осуществляющие обработку ПДн, должны быть ознакомлены с положениями законодательства РФ о ПДн, в том числе с требованиями к защите ПДн, документами Банка, определяющими политику в отношении обработки ПДн, внутренними нормативными документами Банка по вопросам обработки ПДн. С работниками, непосредственно осуществляющими обработку ПДн, должны быть в установленном порядке оформлены обязательства о выполнении требований внутренних нормативных актов Банка по обработке, защите и неразглашении конфиденциальной информации (в т ч. ПДн) (Приложение №2 к Положению о конфиденциальной информации). Эти лица должны быть предупреждены о том, что обрабатываемые ими ПДн могут быть использованы лишь в целях, установленных законодательством РФ и внутренними нормативными актами Банка, и они имеют право доступа только к тем ПДн, обработка которых предусмотрена должностными обязанностями.

13.        ПЕРЕЧЕНЬ ПРИЛОЖЕНИЙ

·           Приложение №1. Состав обрабатываемых ПДн субъектов персональных данных в ИСПДн АО «Заубер Банк».

·           Приложение №2. Согласие на обработку персональных данных.

·           Приложение №3. Уведомление об обработке персональных данных.

·           Приложение №4. Отзыв согласия на обработку персональных данных.

·           Приложение №5. Заявление на получение полной информации о составе персональных данных и их обработке.

·           Приложение №6. Заявление на исключение или исправление неверных или неполных устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для банка персональных данных.

·      Приложение №7. Акт об уничтожении / обезличивании / блокировании носителей, содержащих персональные данные.

·      Приложение №8. Журнал уничтожения носителей персональных данных.