8 495 297 71 37

Условия обработки персональных данных

1.Общие положения

Настоящий «Порядок обработки персональных данных» (далее – Порядок) определяет требования к обработке персональных данных (ПДн) как с использованием средств автоматизации, так и без использования таких средств.

Действие настоящего Порядка распространяется на все процессы, связанные с обработкой персональных данных.

 

2. Термины, определения и сокращения

 

персональные данные - любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных);

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.;

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных - действия, направленные на раскрытие персональных данных неопределённому кругу лиц;

предоставление персональных данных - действия, направленные на раскрытие персональных данных определённому лицу или определённому кругу лиц;

блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

 

3.Правовые основания обработки персональных данных

Правовыми основаниями  осуществления обработки персональных данных являются:

  • Конституция Российской Федерации;
  • Федеральный закон от 19 декабря 2005 года № 160-ФЗ "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных";
  • Федеральный закон от 27.07.2004 N 79-ФЗ "О государственной гражданской службе Российской Федерации";
  • Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
  • Федеральный закон от 1 апреля 1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Трудовой кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Постановление Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении Требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

 

4.Цели обработки персональных данных

обработка персональных данных осуществляется в целях:

  • соблюдения требований законодательства Российской Федерации, нормативно-правовых актов и распоряжений и методических указаний  уполномоченных органов исполнительной власти;
  • осуществления прав и законных интересов компании;
  • осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  • подготовки по инициативе субъектов персональных данных, заключения, исполнения и прекращения договоров, сторонами которых либо выгодоприобретателями или поручителями  по которым являются физические лица - субъекты персональных данных, включая реализацию своего права на уступку прав (требований) по таким договорам;
  • подготовки, заключения, исполнения и  прекращения любых других договоров, соглашений с физическими лицами, индивидуальными предпринимателями, юридическими лицами;
  • работы с обращениями клиентов, их уполномоченных представителей, других субъектов персональных данных;
  • контроля качества и объёма выполняемой работы;
  • осуществления административно-хозяйственной деятельности;
  • осуществлении благотворительной деятельности;

 

5. Категории субъектов персональных данных, обработку персональных данных которых осуществляет организация

Обработка осуществляется следующих категорий субъектов персональных данных:

  •  Физических лиц, являющиеся руководителями и/или уполномоченными представителями, работниками юридических лиц, с которыми установлены договорные отношения или намеревающиеся установить такие отношения;
  • Физических лиц, являющихся индивидуальными предпринимателями, с которыми установлены договорные отношения или намеревающиеся установить такие отношения;
  • Физических лиц, не имеющие договорных но требующих идентификации физического лица в соответствии с законодательством РФ;
  • Физических лиц – работников, намеревающихся установить, имеющих или имевших в договорные отношения, установленные в соответствии с Трудовым кодексом;
  • Физических лиц, заключивших договор гражданско-правового характера;
  • Физических лиц – представителей органов государственной власти, регуляторов, аудиторских организаций;
  • Физических лиц -  посетителей офисов и территорий, на которых введен режим ограниченного доступа.

 

6. Перечень персональных данных, обрабатываемых организацией

Осуществляется обработка следующих персональных данных субъектов персональных данных

  • фамилия, имя, отчество (в том числе до их изменения);
  • место рождения;
  • год рождения, месяц рождения, дата рождения;
  • паспортные данные или данные иного документа, удостоверяющего личность;
  • сведения о гражданстве; данные документа миграционного учета;
  • адрес места регистрации, дата регистрации по данному адресу;
  • адрес места жительства, пребывания (фактический) и дата регистрации по месту жительства (пребывания);
  • номера телефонов, в случае их регистрации на имя субъекта персональных данных или по адресу его регистрации, места жительства, пребывания;
  • сведения об образовании, квалификации, повышении квалификации, профессиональной подготовке, переподготовке, сертификации, наличии ученой степени;
  • сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, наименования, адреса и телефона организации, а также реквизитов других организаций, с полным наименованием занимаемых ранее в них должностей и периода работы в этих организациях, а также другие сведения), реквизиты трудовой книжки (вкладыша в нее) и иные записи в ней;
  • сведения о трудовой деятельности по совместительству, форма собственности организации, полное наименование организации, занимаемая должность, объем дохода;
  • содержание и реквизиты трудового договора или гражданско-правового договора с физическим лицом;
  • данные «зарплатных» договоров с клиентами, в том числе номера их счетов для расчетов с использованием банковских карт, данные по начислениям и вычетам, другие сведения, связанные с исполнением условий «зарплатных» договоров;
  • сведения о воинском учете военнообязанных и лиц, подлежащих призыву на военную службу;
  • сведения о номере и серии страхового свидетельства государственного пенсионного страхования (СНИЛС);
  • сведения об идентификационном номере налогоплательщика (ИНН);
  • сведения страховых полисов обязательного, добровольного медицинского страхования;
  • сведения страховых полисов страхования имущества, находящегося в залоге;
  • сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях;

 

7. Принципы обработки персональных данных

Обработка персональных данных осуществляется в соответствии с принципами:

  • законной и справедливой основы;
  • ограничения обработки достижением конкретных, заранее определенных и законных целей, заявленных до начала обработки;
  • недопущения объединения между собой баз данных, содержащих персональные данные, обработка которых осуществляется в различных целях;
  • соответствия содержания и объема персональных данных заявленным целям обработки;
  • обеспечения точности, достаточности, а в необходимых случаях и актуальности по отношению к заявленным целям обработки
  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • уничтожение или обезличивание персональных данных, цель обработки которых достигнута, если иное не предусмотрено Федеральным законом.

 

8. Условия обработки персональных данных

Осуществляется обработка персональных данных, полученных непосредственно от самих субъектов персональных данных, а так же из источников, содержащих персональные данные, сделанные самим субъектом общедоступными.

Персональные данные могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления подтверждения наличия оснований, определенных законодательством РФ.

Обработка и хранение персональных данных осуществляются строго с соблюдением требований конфиденциальности и требования законодательства РФ.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", обеспечение записи, систематизации, накопления, хранения, уточнения (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, установленных федеральным законодательством

Не осуществляется обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

 

9. Права субъекта персональных данных

Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных возникает право продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных законодательством РФ без уведомления субъекта персональных данных.

При получении требования субъекта персональных данных о прекращении обработки его персональных данных в целях продвижения услуг, немедленно прекращает обработку персональных данных или обеспечивает прекращение такой обработки, если она была поручена третьему лицу. Обязанность об уведомлении субъекта персональных данных о прекращении обработки его персональных данных в целях продвижения услуг и продуктов, федеральным законом и требованиями регуляторов не установлена.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения, сведения о лицах (за исключением работников), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  • информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
  • иные сведения, предусмотренные федеральным законодательством.

 

10. Защита персональных данных при обработке с использованием средств автоматизации

Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при  их обработке в информационных системах персональных данных;
  • применением средств защиты информации, в том числе прошедших оценку соответствия, обеспечивающих установленные для каждой информационной системы персональных данных уровни защищённости персональных данных;
  • разграничением прав и полномочий доступа к персональным данным,
  • учётом машинных носителей персональных данных,

 

11. Доступ к обработке персональных данных

Доступ работникам к обработке персональных данных предоставляется в соответствии с принципом минимальной необходимости, т.е. в объеме не более требуемого для выполнения ими должностных обязанностей.

Все работники, а так же физические лица, привлекаемые на основе договоров к обработке персональных данных подписывают обязательство о неразглашении конфиденциальной информации, в том числе персональных данных, доступ к которым им предоставлен с целью выполнении условий договора.

Работники проходят периодическое обучение порядку работы с персональными данными и требованиям к обеспечению их безопасности.

 

12. Сроки хранения персональных данных

Сроки обработка и хранение персональных данных  определяются в соответствии с:

  • сроками достижением целей обработки, если иное не установлено федеральным законом, нормативными актами регуляторов;
  • Трудовым кодексом;
  • Налоговым кодексом;
  • приказом Минкультуры России от 25.08.2010 N 558
    "Об утверждении "Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения";
  • Перечнем типовых архивных документов, образующихся в научно-технической и производственной деятельности организаций, с указанием сроков хранения, утверждённым приказом Министерства культуры и массовых коммуникаций Российской Федерации от 31 июля 2007 г. № 1182,
  • Постановлением ФКЦБ Российской Федерации от 16.07.2003 г. N 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ»;
  • Положением ЦБ РФ от 21.02.2013 № 397-П "О порядке создания, ведения и хранения баз данных на электронных носителях";
  • иными требованиями законодательства Российской Федерации (по срокам исковой давности, по оформлению трудовых отношений и т.д.).

 

13. Обработка персональных данных без использования средств автоматизации

Перечень должностных лиц, уполномоченных на обработку персональных данных без использования средств автоматизации, утверждается руководством.

Должностные лица из числа работников, уполномоченные на обработку персональных допускаются к обработке персональных данных без использования средств автоматизации и работе с материальными носителями персональных данных в объёме, необходимом для выполнения служебных обязанностей и достижения целей работ.

.

Лица, осуществляющие обработку персональных данных без использования средств автоматизации, информируются:

  • о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации;
  • о категориях обрабатываемых персональных данных;
  • о правилах осуществления такой обработки;
  • о требованиях безопасности обработки персональных данных без использования средств автоматизации.

К обработке персональных данных без использования средств автоматизации уполномоченные лица допускаются только после ознакомления с настоящим Порядком и при наличии личной подписи в листе ознакомления, подтверждающей факт ознакомления.

 

14. Требования к условиям обработки персональных данных без использования средств автоматизации

При разработке и использовании типовых форм документов, необходимых для реализации возложенных функций, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), соблюдаются следующие условия:

  • типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, адрес, фамилию, имя, отчество и адрес субъекта персональных данных, чьи персональные данные вносятся в указанную типовую форму, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки;
  • типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своём согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, при необходимости получения согласия на обработку персональных данных;
  • типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, чьи персональные данные содержатся в типовой форме, при ознакомлении со своими персональными данными, не имел возможности доступа к персональным данным иных лиц, содержащимся в указанной типовой форме;
  • типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

Уничтожение или обезличивание персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путём изготовления нового материального носителя с уточнёнными персональными данными.

 

15. Порядок использования и хранения материальных носителей персональных данных при их обработке без использования средств автоматизации

При обработке персональных данных без использования средств автоматизации уполномоченными лицами не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо несовместимы.

Материальные носители персональных данных, цели обработки которых заведомо не совместимы хранятся раздельно.

Места хранения материальных носителей персональных данных  и лиц, ответственных за их хранение определяются и утверждаются приказами уполномоченных руководителей.

Уничтожение материальных носителей персональных данных по окончании срока их хранения, а так же в случае невозможности дальнейшего использования материального носителя,  осуществляется комиссией, назначаемой приказом Председателя Правления, а в филиале - управляющего филиалом. В составе комиссии должно быть не менее 3-х (трех) человек, из числа сотрудников, допущенных к обработке персональных данных без использования средств автоматизации. Уничтожение носителей оформляется актом в соответствии с порядком установленным Банком, в отношении каждого определённого вида носителя.

В срок не позднее 2-х рабочих дней до даты увольнении или даты окончания договорных отношений лицо, допущенное к обработке персональных данных без использования средств автоматизации, обязано передать установленным порядком все имеющееся у него в работе материальные носители персональных данных сотруднику подразделения, ответственному за их хранение или непосредственному руководителю.