Перейти к основному содержанию



1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящая Политика в отношении обработки персональных данных ПАО «О.К. Банк» (далее – «Политика») разработана в соответствии с требованиями Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) и обязательна для исполнения всеми работниками и должностными лицами ПАО «О.К. Банк» (далее – «Банк»), осуществляющими обработку или имеющими доступ к персональным данным, и по отношению ко всем персональным данным, обрабатываемым в Банке.
1.2. Важнейшими условиями достижения целей деятельности Банка являются обеспечение законности обработки персональных данных в технологических процессах Банка, а также обеспечение необходимого уровня безопасности информационных активов, к которым, в том числе, относятся персональные данные.
1.3. Целью настоящей Политики является установление основных принципов и подходов к обработке и обеспечению безопасности персональных данных в Банке в рамках обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.4. Настоящая Политика является общедоступным документом, декларирующим основные принципы деятельности Банка при обработке и защите персональных данных, а также определяет условия обработки персональных данных в Банке и подлежит размещению на информационном стенде Банка, обеспечивающем неограниченный доступ для ознакомления клиентами Банка, а также публикации на официальном информационном сайте Банка в сети Интернет – https://oaookb.ru.
1.5. Во всех случаях, не охваченных положениями настоящей Политики, работники Банка руководствуются требованиями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, и другими внутренними нормативными документами Банка, регулирующими отношения, связанные с обработкой персональных данных, в том числе с использованием средств автоматизации и без использования таких средств.

2. НОРМАТИВНОЕ РЕГУЛИРОВАНИЕ

2.1.Настоящая Политика разработана на основе действующего законодательства Российской Федерации, регламентирующего защиту персональных данных, а также нормативных документов Банка России в области информационной безопасности с учетом Рекомендаций Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзора) по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных».

3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

•  Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); 
•  Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными; 
• Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных; 
•  Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; 
•  Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; 
•Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; 
• Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; 
•Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• Биометрические персональные данные - данные, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных; 
• Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• Конфиденциальность персональных данных – обязанность оператора, а также иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4. СПИСОК ИСПОЛЬЗУЕМЫХ ОБОЗНАЧЕНИЙ И СОКРАЩЕНИЙ

        •  Банк – ПАО «О.К. Банк», являющийся в рамках Федерального закона «О персональных данных» оператором по обработке персональных данных;
        •  РФ – Российская Федерация;
        •  Субъект – субъект персональных данных.

5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных в Банке ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.2. Цели обработки персональных данных в Банке происходят, в том числе, из анализа правовых актов, регламентирующих деятельность Банка, целей фактически осуществляемой Банком деятельности, а также деятельности, которая предусмотрена учредительными документами Банка, и конкретных бизнес-процессов Банка в конкретных информационных системах персональных данных (по структурным подразделениям Банка и их процедурам в отношении определенных категорий субъектов персональных данных).
5.3.  Банк осуществляет обработку персональных данных в следующих целях:
5.3.1. осуществления банковской деятельности в соответствии с Уставом и Лицензиями Банка;
5.3.2. рассмотрение резюме соискателей на должность и принятие решения о возможности заключения трудового договора с ними;
5.3.3. заключение и исполнение трудовых договоров;
5.3.4. обеспечение соблюдения законов и иных нормативных правовых актов, в том числе исполнение требований трудового, пенсионного, страхового и социального законодательства РФ;
5.3.5. противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; 
5.3.6. предоставление информации по запросам органов, указанных в ст. 26 Федерального закона № 395-1 «О банках и банковской деятельности»;
5.3.7. участие в создании кредитных историй;
5.3.8. осуществление мероприятий по возврату просроченной задолженности;
5.3.9. ведение кадрового делопроизводства и организация учета работников;
5.3.10. содействие работникам в трудоустройстве, получении образования и продвижении по службе;
5.3.11. контроль количества и качества выполняемой работы;
5.3.12. обеспечение личной безопасности работников;
5.3.13. обеспечение сохранности имущества Банка;
5.3.14. принятие решения о заключении договора с потенциальным клиентом/контрагентом Банка;
5.3.15. заключение, исполнение и прекращение гражданско-правовых договоров с физическими лицами: гражданами и индивидуальными предпринимателями, юридическими лицами;
5.3.16. продвижение услуг Банка на рынке;
5.3.17. защита законных прав и интересов Банка, в том числе в судах судебной системы РФ;
5.3.18. ведение Банком административно-хозяйственной деятельности;
5.3.19. ведение архива Банка;
5.3.20. осуществление иных функций, возложенных на Банк законодательством Российской Федерации, нормативными актами Банка России.

6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Правовыми основаниями обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Банк осуществляет обработку персональных данных.
6.2. В зависимости от цели обработки персональных данных, правовыми основаниями для такой обработки в Банке являются:
6.2.1. Устав Банка;
6.2.2. Лицензии Банка;
6.2.3.  договор, заключенный между Банком и Субъектом;
6.2.4.  согласие Субъекта на обработку персональных данных;
6.2.5.  общедоступность персональных данных Субъекта;
6.2.6.  Конституция РФ (в том числе статьи 23, 24);
6.2.7.  трудовое законодательство РФ;
6.2.8.  налоговое законодательство РФ;
6.2.9.  пенсионное законодательство РФ;
6.2.10. страховое законодательство РФ;
6.2.11. социальное законодательство РФ;
6.2.12. Федеральный закон «О бухгалтерском учете» от 06.12.2011г. N 402-ФЗ;
6.2.13. Закон «О защите прав потребителей» от 07.02.1992г. N 2300-1;
6.2.14. Федеральный закон от 02.12.1990г. №395-1 «О банках и банковской деятельности»; 
6.2.15. Федеральный закон 23.12.2003г. №177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации»; 
6.2.16. Федеральный закон от 07.08.2001г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
6.2.17. Федеральный закон от 30.12.2004г. № 218-ФЗ «О кредитных историях»; 
6.2.18. Федеральный закон от 26.12.1995г. №208-ФЗ «Об акционерных обществах»;
6.2.19. Федеральный закон от 27.07.2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
6.2.20. Федеральный закон от 27.07.2010г. N 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»;
6.2.21. Федеральный закон от 10.12.2003г. № 173-ФЗ «О валютном регулировании и валютном контроле»;
6.2.22. Федеральный закон от 22.04.1996г. № 39-ФЗ «О рынке ценных бумаг»;
6.2.23. Федеральный закон «О национальной платежной системе» от 27.06.2011г. N 161-ФЗ;
6.2.24. Федеральный закон «О потребительском кредите (займе)» от 21.12.2013г. N 353-ФЗ;
6.2.25. Федеральный закон «Об ипотеке (залоге недвижимости)» от 16.07.1998г. N 102-ФЗ;
6.2.26. Постановление Правительства Российской Федерации от 15.09.2008г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
6.2.27. Постановление Правительства РФ от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
6.2.28. Положение Банка России от 20.07.2007г. № 307-П «О порядке ведения учета и представления информации об аффилированных лицах кредитных организаций»;
6.2.29. Положение Банка России от 02.03.2012г. № 375-П «О требованиях к правилам внутреннего контроля кредитной организации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
6.2.30. Положение Банка России от 28.06.2017г. № 590-П «О порядке формирования кредитными организациями резервов на возможные потери по ссудам, ссудной и приравненной к ней задолженности»;
6.2.31. Положение Банка России от 24.04.2008г. N 318-П «О порядке ведения кассовых операций и правилах хранения, перевозки и инкассации банкнот и монеты Банка России в кредитных организациях на территории Российской Федерации»;
6.2.32. Положение Банка России от 29.08.2008г. № 321-П «О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; 
6.2.33. Положение Банка России от 23.10.2017 г. № 611-П «О порядке формирования кредитными организациями резервов на возможные потери»;
6.2.34. Указание от 16.08.2017 г. № 4498-У «О порядке передачи уполномоченными банками, государственной корпорацией «Банк развития и внешнеэкономической деятельности (ВНЕШЭКОНОМБАНК)» органам валютного контроля информации о нарушениях лицами, осуществляющими валютные операции, актов валютного законодательства Российской Федерации и актов органов валютного регулирования»;
6.2.35. Положение Банка России от 19.06.2012г. N 383-П «О правилах осуществления перевода денежных средств»;
6.2.36. Инструкция Банка России от 30.05.2014г. N 153-И «Об открытии и закрытии банковских счетов, счетов по вкладам (депозитам), депозитных счетов»;
6.2.37. Приказ ФСФР России от 18.06.2013 N 13-51/пз-н «Об утверждении Положения о порядке уведомления лиц об их включении в список инсайдеров и исключении из такого списка, Положения о порядке передачи списков инсайдеров организаторам торговли, через которых совершаются операции с финансовыми инструментами, иностранной валютой и (или) товаром, Положения о порядке и сроках направления инсайдерами уведомлений о совершенных ими операциях» (Зарегистрировано в Минюсте России 30.08.2013 N 29797);
6.2.38. Приказ Федеральной службы безопасности Российской Федерации (ФСБ России) от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
6.2.39. иные Приказы и руководящие документы регулирующих органов – Роскомнадзор, ФСТЭК и ФСБ России;
6.2.40. иные федеральные законы и нормативные правовые акты Российской Федерации и регуляторов, в целях исполнения которых Банк обязан осуществлять обработку персональных данных.

7. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Объем и содержание (категории) обрабатываемых персональных данных в Банке соответствуют заявленным целям их обработки и не являются избыточными по отношению к заявленным целям их обработки.
7.2.  Банк обрабатывает персональные данные следующих категорий субъектов персональных данных:
7.2.1. кандидаты на вакантные должности Банка;
7.2.2. работники Банка;
7.2.3. ближайшие родственники работников Банка;
7.2.4. бывшие работники Банка;
7.2.5. физические лица, входящие в состав органов управления Банка;
7.2.6. аффилированные лица или представители юридического лица, являющегося аффилированным по отношению к Банку;
7.2.7. физические лица - клиенты Банка;
7.2.8. представители, учредители, акционеры юридических лиц – клиентов Банка;
7.2.9. физические лица – контрагенты Банка;
7.2.10. представители, учредители, акционеры юридических лиц – контрагентов Банка;
7.2.11. лица, попадающие в зону действия системы видеонаблюдения Банка в общественных местах;
7.2.12. лица, посещающие помещения ограниченного доступа Банка;
7.2.13. супруг/супруга клиента Банка, поручитель, залогодатель клиента Банка;
7.2.14. физические лица - получатели перевода денежных средств от клиентов Банка;
7.2.15. иные физические лица, обработка персональных данных которых необходима Банку для осуществления и выполнения возложенных на него законодательством РФ функций, полномочий и обязанностей.
7.3. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Банком для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ (с изменениями и дополнениями).
7.4. Обработка биометрических персональных данных может осуществляться в Банке без согласия субъекта персональных данных в связи с реализацией международных договоров Российской Федерации о реадмиссии, в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию, о гражданстве Российской Федерации.
7.5. В Банке не допускается обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и интимной жизни, за исключением случаев, предусмотренных частью 2 статьи 10 Федерального закона от 27.07.2006 г. № 152-ФЗ (с изменениями и дополнениями).
7.6.    Обработка специальных категорий персональных данных, указанных в пункте 7.5. настоящей Политики, допускается в случаях, предусмотренных частью 2 статьи 10 Федерального закона от 27.07.2006 г. № 152-ФЗ (с изменениями и дополнениями).

8.ПОРЯДОК, ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Обработка персональных данных осуществляется Банком с соблюдением следующих принципов:
•  обработка персональных данных осуществляется на законной и справедливой основе; 
•  обработка персональных данных ограничивается достижением конкретных, заранее определенных целей обработки, не допускается нецелевая обработка персональных данных;
•  не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой; 
•  осуществляются сбор и дальнейшая обработка только тех персональных данных, которые отвечают заявленным целям обработки; 
•  содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки, не допускается обработка избыточных персональных данных по отношению к заявленным целям их обработки;
•  при обработке персональных данных обеспечивается их точность и достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям обработки; 
•  обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или, в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
8.2. Обработка персональных данных допускается при выполнении хотя бы одного из следующих условий:
•  получено согласие Субъекта на обработку персональных данных;
•  обработка персональных данных Субъекта необходима для выполнения возложенных на Банк законодательством РФ обязанностей;
•  обработка персональных данных осуществляется в целях исполнения договора, стороной которого является Субъект;
•  обработка персональных данных необходима для защиты жизни и/или здоровья Субъекта и, при этом, получение согласия Субъекта невозможно;
•  персональные данные сделаны Субъектом общедоступными;
•  обработка персональных данных осуществляется в статистических целях, при условии обезличивания персональных данных Субъекта.
8.3. Персональные данные не раскрываются третьим лицам, не распространяются иным образом без согласия Субъекта, за исключением случаев, предусмотренных действующим законодательством РФ. 
8.4. С согласия Субъекта Банк вправе поручить обработку персональных данных третьему лицу на основании заключаемого с таким лицом договора. При этом, в договоре с третьим лицом определяются перечень допустимых действий и целей обработки персональных данных, а также требования по соблюдению конфиденциальности и защите персональных данных.
8.5. Банк вправе передавать персональные данные третьим лицам без получения согласия Субъекта в случаях, предусмотренных действующим законодательством РФ (в федеральную налоговую службу, государственный пенсионный фонд и другим государственным органам).
8.6. Работники Банка, допущенные к обработке персональных данных, обязаны:
• знать и неукоснительно выполнять положения:
- законодательства Российской Федерации в области персональных данных;
- настоящей Политики;
- иных локальных актов Банка по вопросам обработки и обеспечения безопасности персональных данных;
• обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
• не разглашать персональные данные, обрабатываемые в Банке;
• сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
• сообщать об известных фактах нарушения требований настоящей Политики Ответственному за организацию обработки персональных данных в Банке.

9.ОРГАНИЗАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Банк осуществил уведомление уполномоченного органа по защите прав Субъектов (Роскомнадзор) об осуществлении обработки персональных данных. Банк периодически осуществляет актуализацию сведений, указанных в уведомлении. 
9.2. Обработка персональных данных в Банке осуществляется следующими способами: 
• с использованием средств автоматизации;
• без использования средств автоматизации;
• смешанным способом (включающим как автоматизированную, так и неавтоматизированную обработку).

10.ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Субъект, обработка персональных данных которого осуществляется Банком, имеет право на:
• получение сведений, касающихся обработки своих персональных данных;
• уточнение, блокирование или уничтожение персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или используются для достижения целей, отличных от заявленной цели обработки;
• отзыв согласия на обработку персональных данных;
• иные права, установленные Федеральным законом №152-ФЗ «О персональных данных».
10.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе «О персональных данных».
10.3. Субъект персональных данных имеет право на получение следующей информации, касающейся обработки его персональных данных:
•  подтверждение факта обработки персональных данных Банком, а также правовые основания и цель обработки;
•  способы обработки персональных данных Банком;
•  наименование и адрес местонахождения Банка;
•  сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным, и лицах, которым может быть предоставлен такой доступ в порядке, предусмотренном действующим законодательством РФ;
•  перечень обрабатываемых персональных данных и источник их получения;
•  сроки обработки персональных данных, в том числе сроки их хранения;
•  порядок осуществления прав, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных»;
•  наименование и/или фамилию, имя, отчество и адрес местонахождения третьего лица, осуществляющего обработку персональных данных, если обработка персональных данных была поручена такому лицу.
10.4. Право субъекта персональных данных на получение информации, касающейся обработки его персональных данных, может быть ограничено в случаях, установленных Федеральным законом №152-ФЗ «О персональных данных».
10.5. Запросы/обращения субъектов персональных данных по вопросам обработки персональных данных могут быть направлены в письменном виде по адресу местонахождения Банка. Информация об адресах местонахождения размещена на официальном сайте Банка в сети Интернет – https://oaookb.ru.
10.6. Запрос субъекта персональных данных должен содержать:
•  серию и номер основного документа, удостоверяющего личность субъекта персональных данных;
•  сведения о дате выдачи указанного документа и выдавшем его органе;
• сведения, подтверждающие наличие гражданско-правовых отношений между Банком и Субъектом (номер, дата заключения гражданско-правого договора), либо сведения, иным образом подтверждающие факт обработки персональных данных Банком;
• подпись Субъекта;
• дату направления запроса. 
10.7. Повторный запрос на предоставление информации, касающейся обработки персональных данных, может быть направлен Субъектом не ранее, чем через 30 дней после первоначального обращения.
10.8. Повторный запрос на предоставление указанной в пункте 10.3 настоящей Политики информации может быть направлен до истечения 30 дней с даты первого запроса в случае, если запрашиваемые сведения были предоставлены в неполном объеме. При этом, в повторном запросе должна быть указана причина его повторного (досрочного) направления.
10.9. Субъект вправе обратиться с требованием об уточнении, блокировке или уничтожении персональных данных в случае, если персональные данные являются неполными, устаревшими, неточными, получены незаконно или не являются необходимыми для использования в заявленных целях.
10.10. В случае поступления запроса на уточнение/уничтожение персональных данных, обработка указанных персональных данных (за исключением хранения) приостанавливается на период проведения Банком проверки правомерности требования Субъекта. 
10.11. Если в ходе проведения Банком проверки подтверждается, что обрабатываемые персональные данные являются неточными (неполными или устаревшими), то такие персональные данные уточняются.
10.12. Если в ходе проведения Банком проверки подтверждается, что обрабатываемые персональные данные получены незаконно или не являются необходимыми для использования в заявленных целях, и обеспечить правомерность их обработки не представляется возможным, такие персональные данные уничтожаются. При этом, Субъект в письменном виде уведомляется о совершенных с его персональными данными действиях.
10.13. При поступлении заявления об отзыве согласия на обработку персональных данных, Банк прекращает их обработку в течение 30 дней с даты поступления заявления об отзыве, если иное не предусмотрено гражданско-правовым договором, стороной которого является Субъект, или требованиями действующего законодательства РФ.

11.ОБЯЗАННОСТИ БАНКА, КАК ОПЕРАТОРА

11.1. В случаях, установленных законодательством Российской Федерации в области персональных данных, Банк обязан предоставить Субъекту/или его законному представителю при обращении либо при получении запроса от Субъекта/или его законного представителя информацию, предусмотренную п. 10.3. настоящей Политики. 
11.2. При сборе персональных данных Банк обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных».
11.3. Банк, как оператор персональных данных, определяет и принимает необходимые и достаточные меры для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, а также меры по обеспечению безопасности персональных данных при их обработке. Информация о принимаемых Банком мерах содержится в разделе 13 настоящей Политики.
11.4. Банк несет иные обязанности, установленные Федеральным законом «О персональных данных».

12.СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

12.1. Сроки обработки и хранения персональных данных определяются целями их обработки, сроком действия договорных отношений с Субъектом (или юридическим лицом, представителем которого является Субъект), сроками, установленными в согласиях на обработку персональных данных, прекращением/изменением направления основной деятельности Банка, требованиями федеральных законов Российской Федерации, сроками исковой давности, а также правилами ведения архива Банка и в соответствии с Уведомлением об обработке персональных данных, направленным Банком в Роскомнадзор.
12.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

13.ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

13.1. При обработке персональных данных Банк принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного (несанкционированного) доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
13.2. Обеспечение безопасности персональных данных достигается в частности: 
•  разработкой Политики в отношении обработки персональных данных в Банке, а также других внутренних локальных документов Банка по вопросам обработки персональных данных;
•  ознакомлением работников Банка, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, в том числе, с требованиями к защите персональных данных, с документами, определяющими Политику в отношении обработки персональных данных, а также иными внутренними локальными документами Банка по вопросам обработки персональных данных;
•  применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для обеспечения соответствующих уровней защищенности, установленных Постановлением Правительства РФ от 1 ноября 2012 г. № 1119; 
•  применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
•  учетом машинных носителей персональных данных;
•  обнаружением фактов несанкционированного доступа к персональным данным и принятием необходимых мер; 
•  восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
•  установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных; 
•  контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационной системы персональных данных.
13.3. В целях осуществления контроля соблюдения требований законодательства РФ и координации действий по обеспечению безопасности персональных данных назначено лицо, ответственное за организацию обработки персональных данных в Банке.

14.ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

14.1. Настоящая Политика может быть пересмотрена в случае изменения требований законодательства РФ, нормативно-правовых актов регуляторов, процессов или способов обработки персональных данных, категорий Субъектов, а также целей и сроков обработки персональных данных.
14.2. Изменения в настоящую Политику вносятся по решению утверждающего органа Банка.
14.3. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных в Банке, под руководством Председателя Правления Банка. 
14.4. Лица, виновные в нарушении норм, регулирующих получение, обработку, хранение и защиту обрабатываемых в Банке персональных данных, несут ответственность, предусмотренную законодательством РФ.
14.5. Регламенты (порядки) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы уведомлений, журналов, актов, особенности обработки персональных данных, осуществляемой с использованием и без использования средств автоматизации и т.д., установлены в Банке иными внутренними локальными документами Банка в области обработки персональных данных.