Передача Персональных данных Субъекта третьим лицам
В договорах с третьими лицами должны быть определены их обязанности по обеспечению конфиденциальности и безопасности персональных данных при их обработке, предоставляемых им Банком. Передача ПДн Субъекта третьим лицам осуществляется только с письменного согласия Субъекта.
Примечание: Согласия Субъекта на передачу его ПДн третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта; когда согласие Субъекта на передачу его ПДн третьим лицам получено от него в письменном виде при заключении договора с Банком; когда третьи лица оказывают услуги Банку на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
Работники Банка, передающие ПДн Субъектов третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих ПДн Субъектов или иного документа вместо акта приема-передачи. Данный документ должен содержать следующую информацию:
цель и основание передачи ПДн;
категории передаваемых ПДн;
уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.
Передача документов (иных материальных носителей), содержащих ПДн Субъектов, осуществляется при наличии у лица, уполномоченного на их получение:
договора на оказание услуг Банку;
соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту ПДн Субъекта;
письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей ПДн Субъекта, её перечень, цель и сроки использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
Ответственность за соблюдение вышеуказанного порядка предоставления ПДн Субъекта несет работник Банка, а также руководитель структурного подразделения, осуществляющего передачу ПДн Субъекта третьим лицам.
Представителю Субъекта (в том числе адвокату) ПДн передаются только на основании письменного обращения в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии нотариально удостоверенной доверенности представителя Субъекта.
Персональные данные Субъекта могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Субъекта, за исключением случаев, когда передача ПДн Субъекта без его согласия допускается действующим законодательством РФ.
Предоставление ПДн Субъекта государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
Организация защиты персональных данных
Банк обеспечивает защиту ПДн Субъектов от неправомерного их использования или утраты с помощью комплекса организационных и технических мер.
Система мер по защите персональных данных определяется принятой в Банке Концепцией обеспечения безопасности персональных данных, на основании которой в Банке вводятся в действие внутренние организационно-распорядительные документы, регламентирующие различные аспекты обеспечения безопасности персональных данных.
При использовании в тестовых или демонстрационных целях, а также в других случаях, не требующих однозначно идентифицировать субъекта ПДн, персональные данные обезличиваются.
Целями защиты ПДн являются:
предотвращение несанкционированного доступа к обрабатываемым ПДн;
предотвращение несанкционированных действий по модификации, искажению, распространению, блокированию, уничтожению обрабатываемых ПДн,
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности ПДн, обрабатываемых Банком,
сохранение конфиденциальности обрабатываемых ПДн.
Защите подлежит:
информация о ПДн Субъекта;
документы, содержащие ПДн Субъекта;
ПДн, содержащиеся на электронных и иных материальных носителях;
ПДн, передаваемые по сетям связи.
Общую организацию работ по обеспечению безопасности ПДн Субъектов осуществляет Отдел информационной безопасности СЭБ и ДИТ.
Общий контроль соблюдения работниками Банка мер по обеспечению безопасности ПДн Субъекта обеспечивает Отдел информационной безопасности СЭБ.
Защита ПДн, хранящихся в информационных системах Банка, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается комплексом организационных и технических мер на различных уровнях:
организацию работ по защите ПДн на инфраструктурном уровне обеспечивает ДИТ;
организацию работ по защите ПДн на методологическом уровне обеспечивает Отдел информационной безопасности СЭБ;
владельцы информационных систем выполняют обработку ПДн Субъектов согласно предписанным правилам работы с ИСПДн и материальными носителями, содержащим ПДн; обеспечивают учет лиц, имеющих допуск к обработке Персональных данных.
|
