1.1. Важнейшим условием реализации целей деятельности АО «ПЕРВОУРАЛЬСКБАНК» является обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым в том числе относятся персональные данные и банковские технологические процессы.
1.2. Обеспечение безопасности персональных данных является одной из приоритетных задач Банка.
1.3. В Банке введен в действие Комплекс документов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», который является обязательным для исполнения.
1.4. Обработка и обеспечение безопасности информации, отнесенной к персональным данным в Банке осуществляется в соответствии с комплексом документов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» и позволяет обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных, т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют Федеральная служба безопасности Российской Федерации (ФСБ России), Федеральная служба по техническому и экспортному контролю (ФСТЭК России), так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих банковскую тайну, коммерческую тайну и др.).
1.5. Настоящая Политика обработки персональных данных АО «ПЕРВОУРАЛЬСКБАНК» (далее – Политика) определяет принципы, порядок и условия обработки персональных данных работников Банка и иных лиц, чьи персональные данные обрабатываются Банком, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Банка, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.6. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Банка к защите конфиденциальной информации.
1.7. Политика обработки персональных данных в АО «ПЕРВОУРАЛЬСКБАНК» определяется в соответствии со следующими законодательными и нормативно-правовыми актами:
• Конституция Российской Федерации;
• Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• ст. 86-90 Трудового кодекса Российской Федерации;
• Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;
• Федеральный закон от 01.04.996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Федеральный закон от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле»;
• Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях»;
• Федеральный законом от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
• ст. 27, 32 Федерального закона от 27.06.2011г. № 161-ФЗ «О национальной платежной системе»;
• п. 3.1 Положения Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»;
• Устав АО «ПЕРВОУРАЛЬСКБАНК»;
• Лицензия Центрального банка Российской Федерации на осуществление банковских операций от 18.05.2015 № 965;
• Постановление Правительства Российской Федерации от 01.112012. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
1.8. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПД, осуществляемых как с использованием средств автоматизации, так и без использования таких средств.
1.9. В дополнение к настоящей Политике в Банке разработаны другие внутренние нормативные документы, регламентирующие отдельные процессы управления ПД.
Целью Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных АО «ПЕРВОУРАЛЬСКБАНК».
Для целей Политики используются следующие термины, понятия и определения: Персональные данные (Пдн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных); Субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных; Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
Информационная система ПДн (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;
Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе ПДн;
Уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в ИСПДн;
Носитель персональных данных – материальный объект, в котором информация, содержащая персональные данные, находит свое отражение в виде символов, образов, сигналов, количественных характеристик физических величин. Выделяются следующие типы носителей персональных данных:
- бумажный носитель персональных данных: носитель на бумажной основе, содержащий персональные данные;
- машинный носитель персональных данных: электронный, магнитный, магнитооптический, оптический носитель, содержащий персональные данные (дискета, CD-диск, DVD-диск, жесткий диск, USB устройства, позволяющие хранить информацию, и т.д.). Роскомнадзор - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций
4.1. Перечень персональных данных, подлежащих защите в Банке, формируется в соответствии с ФЗ РФ от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Уставом Банка.
4.2. Сведениями, составляющими персональные данные, в Банке является любая информация, любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
4.3. В зависимости от субъекта персональных данных, Банк обрабатывает персональные данные следующих категорий субъектов персональных данных:
• персональные данные работника Банка - информация, необходимая Банку в связи с трудовыми отношениями и касающиеся конкретного работника.
• персональные данные аффилированного лица или персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося аффилированным лицом по отношению к Банку - информация, необходимая Банку для отражения в отчетных документах о деятельности Банка в соответствии с требованиями федеральных законов, нормативных документов Банка России и иных нормативных правовых актов.
• персональные данные Клиента (потенциального Клиента, партнера, контрагента), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Клиентом (потенциальным Клиентом, партнером, контрагентом) Банка - информация, необходимая Банку для выполнения своих обязательств в рамках договорных отношений с Клиентом и для выполнения требований законодательства Российской Федерации.
• персональные данные Заемщика (залогодателя, поручителя, принципала)/потенциального Заемщика (залогодателя, поручителя, принципала), а также персональные данные руководителя, участника (акционера) или сотрудника юридического лица, являющегося Заемщиком (залогодателем, поручителем, принципалом)/потенциальным Заемщиком (залогодателем, поручителем, принципалом) - информация, необходимая Банку для выполнения своих договорных обязательств и осуществления прав в рамках соответствующего договора, заключенного с Заемщиком (залогодателем, поручителем, принципалом), для минимизации рисков Банка, связанных с нарушением обязательств по кредитному договору (договору залога, договору поручительства, договору о предоставлении банковской гарантии) и для выполнения требований законодательства Российской Федерации.
5.1. Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой АО «ПЕРВОУРАЛЬСКБАНК»:
• с использованием средств автоматизации, в том числе в информационнотелекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;
• без использования средств автоматизации.
5.2. Политика применяется ко всем работникам АО «ПЕРВОУРАЛЬСКБАНК».
6.1. Банк осуществляет обработку персональных данных в следующих целях:
• осуществления банковских операций и иной деятельности, предусмотренной Уставом и лицензиями Банка, нормативными актами Банка России, действующим законодательством РФ, в частности ФЗ: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках РФ», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных»;
• заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Банка;
• организации кадрового учета Банка, обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданскоправовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами, исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнения первичной статистической документации, в соответствии с Трудовым кодексом РФ, Налоговым кодексом РФ, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и ВД Банка.
7.1. Основанием обработки персональных данных в АО «ПЕРВОУРАЛЬСКБАНК» являются следующие нормативные акты и документы:
- Конституции Российской Федерации;
- ст. 5 Федерального закона от 02.12.1990 № 395-1 «О банках и банковской деятельности»
- Гражданский кодекс Российской Федерации
- Налоговый кодекс Российской Федерации
- ст. 86-90 Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ
- Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»
- Федеральный закон от 01.04.996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»
- Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Федеральный закон от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле»
- Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях»
- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»
- ст. 27, 32 Федерального закона от 27.06.2011г. № 161-ФЗ «О национальной платежной системе»
- п. 3.1 Положения Банка России от 09.06.2012 № 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств";
- Устав АО «ПЕРВОУРАЛЬСКБАНК»
- Лицензия Центрального банка Российской Федерации на осуществление банковских операций от 18.05.2015 № 965;
- Постановление Правительства Российской Федерации от 01.112012. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
- Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации».
7.2. В случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям АО «ПЕРВОУРАЛЬСКБАНК», обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.
7.3. Обработка персональных данных прекращается при реорганизации или ликвидации АО «ПЕРВОУРАЛЬСКБАНК».