8. Уведомление об обработке персональных данных 8.1. Банк до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, основанием или условием которых являются:
трудовые отношения между Банком и субъектом персональных данных;
заключение договора между Банком и субъектом персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются Банком исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
общедоступность персональных данных;
минимизация данных (только фамилии, имена и отчества субъектов ПДн);
однократный пропуск субъекта персональных данных на территорию Банка;
обработка без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных.
8.2. Уведомление должно быть направлено в виде документа на бумажном носителе или в форме электронного документа и подписано Председателем Правления или уполномоченным лицом Банка. Уведомление должно содержать следующие сведения:
наименование, адрес Банка;
цель обработки персональных данных;
категории персональных данных;
категории субъектов, персональные данные которых обрабатываются;
правовое основание обработки персональных данных;
перечень действий с персональными данными, общее описание используемых Банком способов обработки персональных данных;
описание мер, которые Банк обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;
дата начала обработки персональных данных;
срок или условие прекращения обработки персональных данных;
сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации (Постановление Правительства РФ №1119 от 01.11.2012г.)
8.3. На Банк не могут возлагаться расходы в связи с рассмотрением уведомления об обработке персональных данных уполномоченным органом по защите прав субъектов персональных данных, а также в связи с внесением сведений в реестр операторов.
8.4. В случае изменения сведений, указанных в п.8.2. а также в случае прекращения обработки персональных данных, Банк уведомляет об изменениях уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
9. Меры по обеспечению безопасности персональных данных при их обработке 9.1. Банк при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
9.2. Обеспечение безопасности персональных данных достигается, в частности:
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учетом машинных носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
9.3. Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
9.4. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, что в отношении каждой категории персональных определены места хранения персональных данных (материальных носителей) и установлен перечень должностей из штатного расписания, осуществляющих обработку персональных данных либо имеющих к ним доступ. (Приложение 4)
9.5. В Банке обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
9.6. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
|