Приложение №1 к приказу №162-п от 27.11.2017 г.

«Утверждаю»
Председатель Правления
АО «Газнефтьбанк»
___________А.А. Ведменский
«______» _____________2017 г. 

 



ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
АО «Газнефтьбанк»


Содержание

1.   Общие положения

2.   Понятие и состав персональных данных

3.   Цели обработки персональных данных

4.   Сроки обработки персональных данных

5.   Права и обязанности

5.1. Права и обязанности Банка

5.2. Права и обязанности субъекта персональных данных

6.   Принципы и условия обработки персональных данных

7.   Обеспечение безопасности персональных данных

8.   Основные участники системы управления процессом обработки персональных данных

9.   Заключительные положения


1. Общие положения

1.1. Важнейшим условием реализации целей деятельности АО «Газнефтьбанк» (далее Банк), является обеспечение необходимого и остаточного уровня информационной безопасности активов, к которым в том числе относятся персональные данные и банковские технологические процессы, в рамках которых они обрабатываются.

1.2. Обработка и обеспечение безопасности информации, отнесенной к персональным данным, в Банке осуществляется в соответствии с Комплексом документов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», разработанным с учетом требований Законодательства РФ в данной области.

1.3. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников Банка и иных лиц, чьи персональные данные обрабатываются Банком, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Банка, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.


2. Понятие и состав персональных данных.

2.1. Перечень персональных данных, подлежащих защите в Банке, формируется в соответствии с ФЗ РФ от 27 июля 2006г. № 152-ФЗ «О персональных данных» и Уставом Банка.

2.2. Сведениями, составляющими персональные данные, в Банке является любая информация (совокупность информации), относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) и на основе которой можно однозначно произвести идентификацию Субъекта.

2.3. В зависимости от субъекта персональных данных, Банк обрабатывает персональные данные следующих категорий субъектов персональных данных:

  • персональные данные работника Банка - информация, необходимая Банку в связи с трудовыми отношениями и касающиеся конкретного работника;

  • персональные данные аффилированного лица или персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Банку - информация, необходимая Банку для отражения в отчетных документах о деятельности Банка в соответствии с требованиями федеральных законов, нормативных документов Банка России и иных нормативных правовых актов.

  • персональные данные Клиента (потенциального Клиента, партнера, контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Клиентом (потенциальным Клиентом, партнером, контрагентом) Банка - информация, необходимая Банку для выполнения своих обязательств в рамках договорных отношений с Клиентом и для выполнения требований законодательства Российской Федерации;

  • персональные данные Заемщика (залогодателя, поручителя, принципала)/потенциального Заемщика (залогодателя, поручителя, принципала), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Заемщиком (залогодателем, поручителем, принципалом)/потенциальным Заемщиком (залогодателем, поручителем, принципалом) - информация, необходимая Банку для выполнения своих договорных обязательств и осуществления прав в рамках соответствующего договора, заключенного с Заемщиком (залогодателем, поручителем, принципалом), для минимизации рисков Банка, связанных с нарушением обязательств по кредитному договору (договору залога, договору поручительства, договору о предоставлении банковской гарантии) и для выполнения требований законодательства Российской Федерации.


3. Цели обработки персональных данных.

3.1. Банк осуществляет обработку персональных данных в следующих целях:

  • осуществления банковских операций и иной деятельности, предусмотренной Уставом и лицензиями Банка, нормативными актами Банка России, действующим законодательством РФ, в частности ФЗ: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках РФ», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных»;
  • заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Банка;

  • организации кадрового учета Банка, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и ВД Банка.


4. Сроки обработки персональных данных.

4.1. Сроки обработки персональных данных определяются в соответствии со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», сроком исковой давности, а также иными требованиями законодательства РФ и нормативными документами Банка России.

4.2. В Банке создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Банке данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».


5. Права и обязанности

5.1. Права и обязанности Банка

5.1.1. Банк как оператор персональных данных, вправе:

  • отстаивать свои интересы в суде;

  • предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

  • отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;

  • использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.

5.2. Права и обязанности субъекта персональных данных:

5.2.1. В случаях, если обработка ПДн не является следствием волеизъявления Субъекта, выраженного им Банку в любом виде для осуществления любой из вышеперечисленных целей (в том числе согласно принципу конклюдентности действий), Субъект персональных данных имеет право:

  • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

  • требовать перечень своих персональных данных, обрабатываемых Банком и источник их получения;

  • получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

  • требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

  • обжаловать в уполномоченный орган по защите прав субъектов персональные данные или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

  • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5.2.2.  Субъект персональных данных обязан: своевременно предоставлять сведения об изменении своих персональных данных.

6. Принципы и условия обработки персональных данных

6.1. Обработка персональных данных Банком осуществляется на основе принципов:

  • законности и справедливости целей и способов обработки персональных данных;

  • соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Банка;

  • соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

  • конклюдентности действий Субъекта персональных данных - подразумевает предоставление Субъектом ПДн согласия на обработку своих ПДн (в форме установленной Банком) в виде акцепта предлагаемых Банком услуг.

  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

  • недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;

  • уничтожения по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении, по истечении срока хранения в соответствии с действующим законодательством РФ.

6.2. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.


7. Обеспечение безопасности персональных данных.

7.1. Банк предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

7.2. В целях координации действий по обеспечению безопасности персональных данных в Банке назначен ответственный за обеспечение безопасности персональных данных.


8. Основные участники системы управления процессом обработки персональных данных.

В целях осуществления эффективного управления процессом обработки персональных данных определены основные его участники.

8.1. Председатель Правление Банка:

  • определяет, рассматривает и утверждает политику Банка в отношении обработки персональных данных;

  • назначает ответственного сотрудника за организацию процесса обработке персональных данных.

8.2. Ответственный сотрудник за организацию процесса обработки персональных данных:

  • организует и контролирует разработку процесса обработки персональных данных (совершаемых с использованием средств автоматизации или без использования таких средств, в том числе на бумажных носителях) в соответствии с требованиями Законодательства о персональных данных и настоящей Политики;

  • осуществляет управление процессом обработки персональных данных;

  • разрабатывает и представляет для утверждения соответствующему коллегиальному органу Банка политику и внутренние нормативные документы, касающиеся вопросов обработки персональных данных;

  • осуществляет анализ, оценку и прогноз рисков, связанных с обработкой персональных данных в Банке;

  • делегирует иные функции, предусмотренные Законодательством о персональных данных, сотрудникам подразделений Банка, в целях обеспечения безопасности обрабатываемых персональных данных.

8.3. Департамент экономической безопасности, охраны и инкассации:

  • осуществляет разработку и организацию применения правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;

  • осуществляет определение угроз безопасности персональных данных при их обработке;

  • осуществляет оценку, обеспечение и контроль уровня защищенности информационных систем персональных данных;

  • осуществляет оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;

  • осуществляет взаимодействие с органами государственной власти по вопросам защиты персональных данных;

  • разрабатывает внутренние процедуры, направленные на обеспечение безопасности и защиты персональных данных.

8.4. Служба внутреннего аудита:

  • в рамках проводимых контрольных процедур оценивает эффективность системы внутреннего контроля Банка по обеспечению соблюдения требований настоящей Политики, а также утвержденных нормативных документов Банка в отношении персональных данных.

8.5. Юридический отдел:

  • осуществляет мониторинг законодательства и доведение до сведения заинтересованных подразделений информации об изменении правовых норм;

  • обеспечивает правовую защиту интересов Банка в судах и государственных органах по спорам, связанным с обработкой персональных данных, а также при рассмотрении административных дел, связанных с нарушением законодательства в указанной сфере.   


9. Заключительные положения.

9.1. Настоящая Политика является внутренним документом Банка, общедоступной и подлежит размещению на официальном сайте Банка.

9.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

9.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных Банка.

9.4. Ответственность должностных лиц Банка, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональные данные, определяется в соответствии с законодательством Российской Федерации и внутренними документами Банка.


Задать вопрос
Оставить отзыв
Сообщить об ошибке