3. Сроки, цели и принципы обработки персональных данных
3.1. Сроки обработки персональных данных определяются сроком достижения цели обработки персональных данных, если иное не установлено в письменном согласии субъекта персональных данных или законом.
3.2. Целями обработки персональных данных сотрудников Банка являются осуществление приема и увольнения работника на работу, проверка данных представляемых работником при приеме на работу, переподготовка, переквалификация или повышение квалификации, продвижение по службе, обеспечение личной безопасности сотрудников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества Банка, обновление данных, находящихся в личных делах сотрудников Банка, правильное ведение кадрового учета сотрудников Банка, возложенных на Банк обязанностей по заключенным трудовым договорам между сотрудниками и Банком и Трудовым кодексом РФ.
3.3. Целями обработки персональных данных клиентов Банка являются - осуществление проверки данных клиента при обращении в Банк, в частности это касается обработки данных о клиенте при открытии счета, при подаче заявок на кредит, при осуществлении денежных переводов, при обмене валютных средств, при оформлении банковской карты и т.п., обновление данных о клиенте, в случае изменения персональных данных до окончания сроков их обработки.
3.4. Обработка персональных данных должна осуществляться на основе принципов:
Законности целей и способов обработки персональных данных и добросовестности;
Соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Банка;
Соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
Достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
Недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
Уничтожения персональных данных после достижения целей обработки или в случае утраты необходимости в их достижении;
Персональной ответственности сотрудников Банка за сохранность и конфиденциальность персональных данных, а также носителей этой информации;
Наличия разрешительной системы доступа сотрудников Банка к документам и базам данных, содержащим персональные данные.
3.5. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если иное не предусмотрено федеральным законом.
4. Условия сбора, обработка и хранение персональных данных
4.1. Обработка персональных данных допускается в следующих случаях:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных (Приложение 3);
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
обрабатываемые персональные данные обезличены;
- обрабатываемые персональные данные общедоступны;
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно.
4.2. Письменное согласие субъекта персональных данных на обработку его персональных данных включает в себя:
фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
наименование и адрес Банка;
цель обработки персональных данных;
перечень персональных данных, на обработку которых дается согласие субъекта ПДн;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка будет поручена такому лицу;
перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Банком способов обработки персональных данных;
срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
подпись субъекта персональных данных.
4.3. В случае, если Банк на основании договора поручает обработку персональных данных третьему лицу, обязательным условием договора является обязанность обеспечения указанным лицом безопасности персональных данных при их обработке.
4.4. В случае смерти субъекта ПДн согласие на обработку его персональных данных дают в письменной форме наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни
4.5. При сборе персональных данных, Банк обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
подтверждение факта обработки персональных данных Банком;
правовые основания и цели обработки персональных данных;
цели и применяемые Банком способы обработки персональных данных;
наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
информацию об осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
4.6. Информация, указанная в п.4.5. настоящего Положения, предоставляется субъекту ПДн или его представителю Банком при обращении, либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Банком (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Банком, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
4.7. Если персональные данные о субъекте ПДн были получены не от субъекта ПДн, за исключением случаев, если ПДн были предоставлены Банку на основании федерального закона или если ПДн являются общедоступными, Банк до начала обработки таких персональных данных обязан предоставить субъекту ПДн следующую информацию:
наименование и адрес Банка;
цель обработки персональных данных и ее правовое основание;
предполагаемые пользователи персональных данных;
установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» права субъекта персональных данных.
источник получения персональных данных.
4.8. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта ПДн.
4.9. Банк, получивший доступ к персональным данным с целью их обработки, должен обеспечивать конфиденциальность таких данных, за исключением исполнения условий:
обезличивания персональных данных;
общедоступности персональных данных.
4.10. Банк может создавать общедоступные источники персональных данных с письменного согласия субъекта ПДн, в которые могут включаться его фамилия, имя, отчество, год и место рождения, адрес, сведения о профессии и иные персональные данные, предоставленные субъектом ПДн.
4.11. Сведения о субъекте персональных данных Банком могут быть исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.
4.12. Банк обязан иметь доказательство получения согласия субъекта ПДн на обработку его персональных данных, а в случае обработки общедоступных персональных данных обязанность доказательства факта общедоступности обрабатываемых персональных данных, возлагается на Банк.
4.13. В соответствии с действующим законодательством Банк вправе осуществлять передачу персональных данных без согласия субъекта ПДн в Пенсионный фонд РФ, налоговые службы, Федеральную службу финансового мониторинга, Банк России, Правоохранительные органы, а также в другие Государственные структуры, на которых законами РФ возложены сбор, систематизация и статистическая деятельность.
4.14. При обработке персональных данных третьих лиц, Банк является обработчиком персональных данных. При этом ответственность на получение согласия субъекта ПДн несет сторона, заключившая с Банком договор.
4.15. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено федеральным законом.
4.16. Использование и хранение биометрических персональных данных вне информационных систем ПДн Банком осуществляются только на материальных носителях информации с применением технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения.
|
