ПОЛИТИКА ООО «КАМКОМБАНК» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Политика ООО «Камкомбанк» в отношении обработки персональных данных (далее – Политика) разработана в соответствии с требованиями законодательства Российской Федерации в области персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданинапри обработке его персональных данных (далее – субъекта персональных данных), в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. 

1.2. Настоящая Политика предоставляет информацию об основных принципах, целях, правовых основаниях, порядке и условиях обработки персональных данных, об их объеме и категориях, а также реализуемых требованиях к их защите.

1.3. Действие Политики распространяется на все процессы ООО «Камкомбанк» (далее – Банк), связанные с обработкой персональных данных.

1.4. Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Банке.

1.5. Банк включен в Реестр операторов персональных данных, регистрационный номер №12-0248683 от 25.05.2012.

1.6. Настоящая Политика является общедоступным документом, размещаемым на официальном сайте Банка в информационно-телекоммуникационной сети «Интернет», неограниченный доступ к которому предоставляется любому заинтересованному лицу. Ссылка на настоящую Политику размещается на каждой странице официального сайта Банка, с использованием которых осуществляется сбор персональных данных.

1.7. Пересмотр и обновление настоящей Политики осуществляется в связи с изменениями законодательства Российской Федерации в области персональных данных, по результатам анализа актуальности, достаточности и эффективности используемых мер обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Банка, а также по результатам других контрольных мероприятий.

2. СПИСОК ОПРЕДЕЛЕНИЙИ СОКРАЩЕНИЙ

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, когда обработка необходима для уточнения персональных данных).

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Материальный носитель персональных данных–машиночитаемый носитель информации, на котором осуществляется запись и хранение персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данныхконкретному субъекту ПДн.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций) Банка, совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор персональных данных – ООО «Камкомбанк», организующее и (или) осуществляющее самостоятельно или совместно с другими лицами обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом ПДн для распространения.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Представитель - физическое лицо, являющееся представителем физического или юридического лица, полномочия которого основаны на доверенности, договоре, законе либо акте уполномоченного на то государственного органа или органа местного самоуправления.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

Уровень защищенности персональных данных -комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Cookie-файлы – небольшой фрагмент данных, хранимый в настройках web-браузера cубъекта персональных данных и обрабатываемых web-ресурсом Банка при использовании субъектом персональных данныхweb-ресурса Банка.

Используемые сокращения:

АО «НСПК»– Акционерное общество «Национальная система платежных карт»;

Банк – ООО «Камкомбанк»;

Банк России – Центральный банк Российской Федерации;

ГосСОПКА - государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ;

ИСПДн – информационная система персональных данных;

Надзорный орган - уполномоченный орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций);

ПДн – персональные данные;

Федеральный закон №152-ФЗ – Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Правовыми основаниями для обработки ПДн являются:

• согласие субъекта ПДн на обработку ПДн с учетом требований, предусмотренных законодательством РФ для соответствующей категории ПДн;
• Конституция Российской Федерации;
• Трудовой кодекс Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 02.12.1990 №395-1-ФЗ «О банках и банковской деятельности»;
• Федеральный закон от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»;
• Федеральный закон от 30.12.2004 №218-ФЗ «О кредитных историях»;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 24.11.1995 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
• Федеральный закон от 24.07.1998 № 125-ФЗ «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
• Федеральный закон от 12.12.2023 N 565-ФЗ «О занятости населения в Российской Федерации»;
• Федеральный закон от 16.07.1998 № 102-ФЗ «Об ипотеке (залоге недвижимости)»;
• Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;
• Федеральный закон от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле»;
• Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
• Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;
• Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• договор, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, если обработка ПДн необходима для заключения указанного договора или исполнения обязательств по договору;
• обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ и иными применимыми нормативными правовыми актами РФ;
• судебные акты, акты другого органа или должностного лица, подлежащие исполнению Банком в соответствии с положениями законодательства РФ об исполнительном производстве;
• обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия Субъекта ПДн невозможно;
• обработка ПДн в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн;
• обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством РФ и иными применимыми нормативными правовыми актами РФ;
• обработка ПДн необходима для осуществления прав и законных интересов Банка  или третьих лиц, а также с целью осуществления и выполнения возложенных законодательством РФ на Банк функций, полномочий и обязанностей;
• обработка ПДн необходима для осуществления научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы Субъекта ПДн.

4. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка ПДн Субъектов ПДн осуществляется Банком в заранее определенных целях.Под целью обработки понимается конкретный конечный результат действий, совершенных с ПДн, вытекающий из требований действующего законодательства РФ либо договорных отношений сторон, и направленный на исполнение требований законодательства РФ, а также на создание необходимых правовых условий для достижения оптимального учета интересов сторон.

4.2. Цели обработки ПДн и соответствующие им категории и перечень обрабатываемых ПДн, категории Субъектов ПДн приведены в Условиях обработки персональных данных в ООО «Камкомбанк», определенных в Приложении 1 к настоящей Политике, являющемся ее неотъемлемой частью.

4.3. Посетители сайта www.kamkombank.ru и его поддоменов заранее уведомляются об обработке ПДн и, в случае несогласия с ней, могут покинуть сайт Банка. В этом случае их данные не обрабатываются.

4.4. Банк использует cookie-файлы, в том числе обрабатывает сведения о посетителях web-ресурсов Банка, необходимые для правильной работы web-ресурсов и мобильных приложений Банка, а также в целях удобства использования и улучшения качества работы web-ресурсов и мобильных приложений Банка. Субъект ПДн не использует web-ресурсы и (или) мобильные приложения Банка и не предоставляет Банку свои ПДн, если он не согласен с положениями данного пункта Политики.

4.5. При использовании клиентами Банка платежных приложений сторонних поставщиков, используемых в целях составления и передачи распоряжений о переводе денежных средств с использованием электронных средств платежа, предоставленных Банком, Банк обрабатывает сведения (ПДн) и передает информацию о пользователе платежных приложений поставщику платежного приложения, платежной системе, Банку России и АО «НСПК» в целях, установленных соглашением с пользователем и поставщиком платежного приложения. 

5. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка ПДн Банком осуществляется на основе следующих принципов:

• осуществление обработки ПДн на законной и справедливой основе;
• обеспечение ограничения обработки ПДн конкретными, заранее определенными и законными целями обработки ПДн;
• недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
• обработка исключительно тех ПДн, которые отвечают целям обработки ПДн;
• обеспечение соответствия содержания и объема обрабатываемых ПДн заявленным целям обработки ПДн, в том числе недопущение обработки ПДн, избыточных по отношению к заявленным целям их обработки;
• обеспечение точности ПДн, их достаточности и в необходимых случаях актуальности по отношению к целям обработки ПДн;
• осуществление хранения ПДн в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели их обработки, если иной срок хранения ПДн не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
• принятие мер по удалению или уточнению неполных или неточных ПДн;
• уничтожение или обезличивание ПДн по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

5.2. Доступ к обрабатываемым ПДн предоставляется только тем работникам Банка, которым он необходим для выполнения ими конкретных функций в рамках исполнения должностных обязанностей.

5.3. Работники Банка, допущенные к обработке ПДн, обязаны:

• знать и неукоснительно выполнять положения:
• законодательства РФ в области ПДн;
• настоящей Политики;
• локальных актов Банка по вопросам обработки и обеспечения безопасности ПДн.
• обрабатывать ПДн только в рамках выполнения своих должностных обязанностей;
• не разглашать ПДн, обрабатываемые в Банке;
• сообщать о действиях других лиц, которые могут привести или привели к нарушению положений настоящей Политики, ответственному за организацию обработки ПДн в Банке.

6. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. При определении состава обрабатываемых ПДн Субъектов ПДн Банк руководствуется минимально необходимым перечнем ПДн для достижения целей обработки ПДн.

6.2. Категории субъектов ПДн, чьи ПДн обрабатываются Банком, определены в Условиях обработки персональных данных в ООО «Камкомбанк» (Приложение 1 к настоящей Политике).

6.3. При обработке Банком ПДн не допускается сбор избыточных ПДн по отношению к заявленным целям обработки. Состав обрабатываемых ПДн в зависимости от цели обработки ПДн и применительно к каждой категории субъектов ПДн определен в Условиях обработки персональных данных в ООО «Камкомбанк» (Приложение 1к настоящей Политике).

6.4. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Банком не осуществляется.

6.5. Банк вправе осуществлять обработку сведений о состоянии здоровья в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 29.11.2010 №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации», а также п.2.3 ч.2 ст.10 Федерального закона №152-ФЗ.

6.6. Трансграничная передача ПДн осуществляется с учетом условий и ограничений, установленных Федеральным законом №152-ФЗ. О планируемой трансграничной передаче ПДн Банк уведомляет Надзорный орган в порядке, предусмотренном законодательством РФ и внутренними нормативными документами Банка.

7. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Для каждой указанной в Приложении 1 к настоящей Политике цели обработки ПДн предусмотрены следующие способы обработки ПДн: автоматизированная обработка ПДн (с использованием средств вычислительной техники) и неавтоматизированная обработка ПДн (без использования средств вычислительной техники) с фиксацией ПДн на материальных носителях. Обработка Банком ПДн автоматизированным способом (в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований законодательства РФ и положений внутренних нормативных документов Банка, регламентирующих вопросы обработки и защиты ПДн.

7.2. Обработка ПДн осуществляется в соответствии с целями, заранее определенными и заявленными при сборе ПДн, а также полномочиями Банка, определенными действующим законодательством РФ и договорными отношениями с клиентами и контрагентами Банка.

7.3. Заключаемые с субъектами ПДн договоры не содержат положения, ограничивающие права и свободы субъектов ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством РФ, а также положения, допускающие в качестве условия заключения договоров бездействие субъектов ПДн.

7.4. При обработке ПДн в ИСПДн Банк принимает необходимые меры по обеспечению безопасности обрабатываемых данных, в том числе с учетом требований, определенныхПостановлением Правительства Российской Федерации от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических документов ФСТЭК России и ФСБ России по защите информации, а также комплекса документов в области стандартизации Банка России.

7.5. Обработка ПДн, осуществляемая без использования средств автоматизации, выполняется таким образом, чтобы в отношении каждой категории ПДн можно было определить места хранения ПДн(материальных носителей) и установить перечень лиц, осуществляющих обработку ПДнлибо имеющих к ним доступ.

7.6. Работники Банка (лица, действующего по поручению Банка), проинформированы о факте обработки ими ПДн, обработка которых осуществляется Банком без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Банка.

7.7. Получение и обработка Пдн осуществляется Банком с письменного согласия субъекта ПДн, в случае если такое согласие требуется. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

7.8. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено Федеральным законом №152-ФЗ. Согласие на обработку ПДн, разрешенных субъектом ПДн для распространения, оформляется отдельно от иных согласий субъекта ПДн на обработку его ПДн. Субъекту ПДн предоставляется возможность определить перечень ПДн по каждой категории ПДн, указанной в согласии на обработку ПДн, разрешенных субъектом ПДн для распространения.

7.9. Субъекты ПДн несут ответственность за предоставление Банку достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

7.10. Согласие на обработку ПДн может быть предоставлено субъектом ПДн посредством совершения следующих конклюдентных действий: в случае осуществления передачи ПДнпосредством телефонного вызова согласие на обработку ПДн предоставляется субъектом ПДн в устной форме после прослушивания субъектом ПДн текста согласия, воспроизводимого работниками Банка, если иное не предусмотрено Федеральным законом №152-ФЗ.

7.11. Создание фото- и видеоизображений в помещениях Банка и на прилегающей территории может производиться Банком с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и для последующей передачи в правоохранительные органы в случае необходимости. Указанные фото- и видеоизображения не используются с целью идентификации субъектов ПДн и не рассматриваются Банком как биометрические

7.12. Передача ПДнсубъектов ПДн третьим лицам осуществляется Банком в соответствии с требованиями действующего законодательства РФ. 

8. ПРАВА И ОБЯЗАННОСТИ БАНКА, ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1.  Банк обязан:

• соблюдать требования законодательства РФ в отношении обработки и защиты ПДн;
• уведомить Надзорный орган о своем намерении осуществлять обработку ПДн, за исключением случаев, предусмотренных законодательством РФ, а также об изменении сведений, представленных в Надзорный орган;
• уведомить Надзорный орган о своем намерении осуществлять трансграничную передачу ПДн;
• не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ;
• предоставить субъекту ПДн по его просьбе информацию, касающуюся обработки его ПДн в объеме, предусмотренном законодательством РФ;
• принимать правовые, организационные и технические меры по обеспечению безопасности ПДн;
• в случае получения ПДн не от субъекта ПДн, до начала обработки таких ПДн  предоставить субъекту ПДн информацию, предусмотренную законодательством РФ, с учетом установленных законодательством РФ исключений;
• разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн и (или) дать согласие на их обработку в случае, если в соответствии с законодательством РФ предоставление ПДн и (или) получение Банком согласия на обработку ПДн являются обязательными;
• при сборе ПДн, в том числе посредством информационно-телекоммуникационной сети "Интернет", обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн субъектов ПДн (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных законодательством РФ;
• принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных ПДн;
• принимать меры для обеспечения выполнения обязанностей, предусмотренных законодательством РФ в области ПДн. К таким мерам, в частности, относятся:
• назначение ответственного за организацию обработки ПДн;
• издание документов, определяющих политику Банка в отношении обработки ПДн, локальных актов по вопросам обработки ПДн, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;
• применение правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии с Разделом 9 настоящей Политики;
• осуществление внутреннего контроля соответствия обработки ПДн законодательству РФ в области ПДн, требованиям к защите ПДн, настоящей Политике, локальным актам Банка;
• оценка вреда, который может быть причинен субъектам ПДн в случае нарушения законодательства РФ в области ПДн, соотношение указанного вреда и принимаемых Банком мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством РФ в области ПДн;
• ознакомление работников Банка, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Банка в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.
• опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
• при сборе ПДн с использованием информационно-телекоммуникационных сетей опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Банку сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор ПДн, документ, определяющий его политику в отношении обработки ПДн, и сведения о реализуемых требованиях к защите ПДн, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
• предоставлять информацию, документы и локальные акты и (или) иным образом подтверждать принятие мер, направленных на обеспечение выполнения своих обязанностей в отношении обработки ПДн, по запросу Надзорного органа;
• сообщать в установленном законодательством РФ порядке субъектам ПДн или их представителям информацию об наличии ПДн, относящихся к соответствующим субъектам, предоставлять возможность ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов ПДн или их представителей, если иное не установлено законодательством РФ;
• выполнять обязанности по устранению нарушений законодательства РФ, если такие нарушения были допущены при обработке ПДн, а также выполнять обязанности по уточнению, блокированию, уничтожению ПДн в случаях, предусмотренных законодательством РФ;
• выполнять иные обязанности, предусмотренные законодательством РФ.

8.2. Банк имеет право:

• обрабатывать ПДн субъектов ПДн, в том числе без согласия субъекта ПДн при наличии оснований, предусмотренных законодательством РФ в области ПДн;
• вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено законодательством РФ в области ПДн;
• отказать субъекту ПДн в предоставлении сведений об обработке его ПДн в случаях, предусмотренных законодательством РФ;
• самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством РФ;
• самостоятельно, с учетом требований законодательства РФ, определять перечень необходимых правовых, организационных и технических мер для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн на основании проведенной оценки актуальных угроз безопасности ПДн, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;
• реализовывать иные права, предусмотренные законодательством РФ.

8.3. Субъект ПДн имеет право:

• свободно, своей волей и в своем интересе предоставлять согласие на обработку ПДн с учетом требований законодательства РФ к форме и содержанию согласий на обработку ПДн;
• на получение информации, касающейся обработки его ПДн в объеме и за исключением случаев, предусмотренных законодательством РФ;
• отозвать согласие на обработку ПДн
• требовать от Банка уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
• направлять запросы и/или обращения, в том числе повторные, и получать информацию по вопросам обработки ПДн, принадлежащих субъекту ПДн, в порядке, форме, объеме и в сроки, установленные законодательством РФ;
• обжаловать действия или бездействие Банка в Надзорный орган или в судебном порядке в случае, если субъект ПДн считает, что Банк осуществляет обработку его ПДн с нарушением требований законодательства РФ или иным образом нарушает его права и свободы;
• имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
• осуществлять иные права, предусмотренные законодательством РФ.

9. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Банк и его контрагенты, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено законодательством РФ в области ПДн.

9.2. Банк при обработке Пдн принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. В частности, применяются следующие меры:

• определяются актуальные угрозы безопасности ПДн при их обработке в ИСПДн и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности ПДн;
• для нейтрализации актуальных угроз безопасности ПДн применяются средства защиты информации, соответствующие уровням защищенности ПДн и прошедшие в установленном порядке процедуру оценки соответствия;
• проводится оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности ПДн;
• обеспечивается управление доступом к ПДн, обрабатываемым в ИСПДн, а также обеспечивается регистрация и учет всех действий, совершаемых с ПДн в ИСПДн, машинных носителей ПДн;
• реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к ПДн, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
• обеспечивается восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• реализуется контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
• осуществляется в необходимом объеме взаимодействие с ГосСОПКА.

9.3. В случае передачи документов, содержащих ПДн, по электронной почте субъект ПДн может зашифровать их, используя один из предоставленных Банком способов. Отказ субъекта ПДн использовать средства защиты ПДн снимает ответственность с Банка за обеспечение конфиденциальности ПДн в процессе их передачи от субъекта ПДн Банку. 

10. ПОРЯДОК РАССМОТРЕНИЯ ОБРАЩЕНИЙ И/ИЛИ ЗАПРОСОВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. В целях соблюдения прав и законных интересов субъектов ПДн, требований к срокам обработки обращений и/или запросов, обеспечения качества и полноты принятия мер в отношении законного требования субъекта ПДни для предоставления необходимой информации по его обращению и/или запросу осуществляется прием и обработка обращений субъектов ПДн.

10.2. При рассмотрении обращений и/или запросов субъектов ПДн Банк руководствуется положениями законодательства РФ, согласно которым запрос и/или обращение, направляемый и/или направляемое субъектом ПДн, должен/должно содержать информацию, предусмотренную Федеральным законом 152-ФЗ.

10.3. Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от субъектов ПДнпроизводится Банком в объеме и сроки, предусмотренные законодательством РФ. Установленный законодательством РФ срок ответа субъекту на обращение и/или запрос о предоставлении информации, касающейся обработки его ПДн, может быть продлен на основании установленных законодательством РФ ограничений с направлением в адрес субъекта ПДнмотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.

10.4. Банк, получив обращение и/или запрос субъекта ПДни убедившись в его законности, предоставляет субъекту ПДни/или его представителю, обладающему полномочиями на представление интересов субъекта ПДн, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики (особенностей) обращения и/или запроса. Предоставляемые Банком сведения не могут содержать ПДн, принадлежащие другим субъектам ПДн, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

10.5. Банк вправе отказать субъекту ПДнв удовлетворении требований, указанных в обращении и/или запросе, путем направления Субъекту ПДнили его представителю мотивированного отказа, если у Банка в соответствии с законодательством РФ имеются законные основания отказать в выполнении/удовлетворении поступивших требований.

11. ХРАНЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Хранение ПДн в Банке осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен законодательством РФ, договором, стороной которого, выгодоприобретателем или поручителем/залогодателем по которому является субъект ПДн.

11.2. При осуществлении хранения ПДн Банк использует базы данных, находящиеся на территории РФ в соответствии с Федеральным законом №152-ФЗ.

11.3. В случае обработки ПДн, осуществляемой без использования средств автоматизации, Банк обеспечивает раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.

11.4. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством РФ.

11.5. В случае достижения цели обработки ПДн Банкпрекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) и уничтожаетПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) в срок и порядке, установленными законодательством РФ.

11.6. В случае отзыва субъектом ПДн согласия на обработку его ПДн Банк прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) в срок и порядке, установленными законодательством РФ.

11.7. В случае решения субъекта ПДн об отзыве согласия на обработку его ПДн, Банку направляется соответствующее заявление, содержащее ПДн субъекта ПДн, данные документа, удостоверяющего личность, и подпись субъекта ПДн. В случае если субъект ПДн не указал в отзыве в явном виде ПДн и целей, для которых осуществляется отзыв согласия, Банк считает, что согласие отозвано для всех типов ПДн и целей их обработки.

11.8. В случае обращения субъекта ПДн к Банку с требованием о прекращении обработки ПДн Банк в срок, установленный законодательством РФ, прекращает их обработку или обеспечивает прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку ПДн), за исключением случаев, предусмотренных законодательством РФ.

11.9. Уничтожение ПДн производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и/или в результате которых уничтожаются материальные носители ПДн.

11.10. В случае отсутствия возможности уничтожения ПДн в течение срока, установленного законодательством РФ, Банк осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) и обеспечивает уничтожение ПДн в срок, установленный законодательством РФ.

11.11. В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо Надзорного органа Банк осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки в срок, установленный законодательством РФ.

11.12. Если обеспечить правомерность обработки ПДн невозможно, Банк в срок, установленный законодательством РФ, уничтожает такие ПДн или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Банк уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос Надзорного органа были направлены Надзорным органом, также указанный орган.

11.13. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) ПДн, повлекшей нарушение прав субъектов ПДн, Банк с момента выявления такого инцидента Банком, Надзорным органом или иным заинтересованным лицом уведомляет Надзорный орган.

11.14. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу Надзорного органа Банк осуществляет блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.

11.15. В случае подтверждения факта неточности ПДн Банк уточняет ПДн либо обеспечивает их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) в течение установленного законодательством РФ срока и снимает блокирование ПДн.

12. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

12.1. Настоящая Политика вводится в действие с момента ее утверждения Правлением Банка и действует до ее отмены.

12.2. Настоящая Политика может быть дополнена и изменена. При внесении изменений и дополнений в законодательные и иные нормативные правовые акты настоящая Политика до внесения в нее соответствующих изменений (дополнений) действует в части, не противоречащей этим законодательным и иным нормативным правовым актам. Внесение изменений и дополнений в Настоящую Политику осуществляется путем утверждения ее в новой редакции Правлением Банка.

12.3. Контроль исполнения требований настоящей Политики осуществляется лицами, ответственными за организацию обработки и обеспечение безопасности ПДн в Банке.

12.4. Лица, виновные в нарушении норм, регулирующих обработку ПДн и защиту обрабатываемых в Банке ПДн, несут ответственность, предусмотренную законодательством РФ.