Главная / Положение о защите персональных данных

Положение о защите персональных данных

 

 


                                                                                  ПОЛОЖЕНИЕ
 

О защите персональных данных в   АКБ «Ноосфера» (ЗАО)

 

 

 

1. Общие положения

 

            1.1. Настоящее Положение определяет порядок получения, обработки, хранения, передачи и любого другого использования персональных данных физических лиц, имеющихся в распоряжении АКБ «Ноосфера» (ЗАО), а также порядок действий сотрудников при обработке персональных данных физических лиц.

1.2. Настоящее Положение разработано в соответствии со следующими документами:

ГОСТ ИСО/МЭК 19794-5-2006. Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица.

Федеральный закон от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

            Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;

            Постановление Правительства Российской Федерации от 17.11.2007 г. № 781 «Об  утверждении Положения «Об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

            Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об  утверждении Положения «Об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

 

            1.3. Основные понятия:

   Персональные данные – совокупность информации, относящаяся к определенному или определяемому на основании такой информации физическому лицу.

Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Использование персональных данных - действия (операции) с персональными данными, совершаемые Банком в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении юридических лиц или других лиц либо иным образом затрагивающих права и свободы физических или других лиц.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному физическому лицу.

Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия физического лица или наличия иного законного основания.

Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия физического лица или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Третье лицо – любое юридическое или физическое лицо, которому могут быть переданы персональные данные.

1.4. Защиту персональных данных от неправомерного их использования обеспечивает сотрудник, назначенный председателем правления на основании приказа по Банку.

 

2. Цели сбора персональных данных

 

                        2.1. К персональным данным, которые обрабатывает АКБ «Ноосфера» (ЗАО), относятся:

            фамилия, имя, отчество физического лица;

            паспортные данные физического лица;

            год, месяц и дата рождения;

адрес;

            семейное положение;

            имущественное положение;

            образование;

            профессия;

            доходы;

            сведения о близких родственниках.

            Персональными данными считается совокупность данных из перечисленных выше, которые позволяют однозначно идентифицировать физическое лицо.

            Номер мобильного телефона запрашивается у клиентов с целью возможности оперативного уведомления клиентов о действиях Банка с персональными данными. 

            2.2. Целями сбора персональных данных являются:

осуществление Банком своих функций в рамках имеющихся лицензий;

            организация учета работников Банка для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе;

            сбор кредитных заявок физических лиц;

ведение списка аффилированных лиц;

            ведение реестра акционеров.

 

 

3. Принципы обработки персональных данных

 

3.1. Обработка персональных данных осуществляется на основе принципов:

законности целей  и способов обработки персональных данных;

соответствия целей обработки персональных данных целям, заявленным при сборе персональных данных, а также полномочий Банка;

соответствие объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

3.2. Персональные данные подлежат уничтожению в случаях:

утраты необходимости в достижении целей;

истечения срока хранения.

 

 

 

 

4. Условия обработки персональных данных

 

            4.1. Банк получает персональные данные непосредственно у физического лица. В случае получения персональных данных третьих лиц от Клиентов Банка следует получить подтверждение, что Клиент уведомил и получил согласие третьего лица на передачу его персональных данных в Банк.

4.2. Обработка персональных данных без согласия физического лица осуществляется Банком в следующих случаях:

            на основании требований федеральных законов, устанавливающих цель и условия получения персональных данных;

            в целях исполнения договоров одной стороной, по которым является Банк, а второй стороной является физическое лицо.

            4.3. В иных случаях обработка персональных данных осуществляется Банком с согласия физического лица.

4.4. Банк обрабатывает персональные данные самостоятельно и не поручает обработку персональных данных другому лицу.

4.5. В целях исполнения платежных указаний Клиентов, персональные данные плательщиков и получателей денежных средств передаются в составе платежных реквизитов при  осуществлении платежей без открытия счета и по платежным системам «Золотая корона».

4.6. Персональные данные обрабатываются в автоматизированных системах банка «RS-bank, «ЦФТ-Ритейл Банк»» и на бумажных носителях.          

            4.7. Руководители подразделений должны определить перечень информационных систем, необходимых для обработки персональных данных, и список сотрудников, которые имеют право доступа к персональным данным, содержащихся в информационных системах, либо право доступа к персональным данным на бумажном носителе.

4.8. Сотрудники Банка, осуществляющие обработку персональных данных, должны быть проинформированы о факте обработки персональных данных, категориях обрабатываемых персональных данных, об особенностях и правилах осуществления такой обработки в соответствии с Приложением 5 к настоящему Положению. 

 

5. Операции, при совершении которых требуется согласие физических лиц на обработку персональных данных

 

                        5.1. Согласие физических лиц на обработку персональных данных требуется при переводе денежных средств без открытия счета в следующих случаях:

коммунальные платежи менее 15 000 руб.;

перечисление средств в бюджеты всех уровней бюджетной системы Российской Федерации (включая предусмотренные законодательством Российской Федерации о налогах и сборах федеральные, региональные и местные налоги и сборы, а также пени и штрафы);

оплата за жилое помещение, коммунальные услуги, оплата услуг по охране квартир и установке охранной сигнализации, а также с осуществлением платежей за услуги связи;

уплата взносов членами садоводческих, огороднических, дачных некоммерческих объединений граждан, гаражно-строительных кооперативов, оплатой услуг платных автомобильных стоянок;

уплата алиментов.

5.2. При переводе денежных средств за пределы Российской Федерации, кроме согласия на обработку персональных данных, необходимо получить согласие физического лица на обработку  персональных данных на территориях, где законодательство о защите персональных данных является не таким строгим.

5.3. При переводе со счета физического лица или переводе без открытия счета  в пользу другого физического лица необходимо получить подтверждение, что Клиент уведомил третье лицо о том, что информация о нем будет использована при совершении перевода.

5.4. При выпуске банковских карт, кроме согласия на обработку персональных данных, необходимо получить согласие физического лица на передачу его персональных данных в процессинговый центр.

            5.5. Срок действия согласия на обработку персональных данных, перечисленных в п.п. 5.1 – 5.4., не может быть менее пяти лет со дня проведения операции или закрытия счета.

 

6. Порядок оформления внутренних документов

 

            6.1. В договорах, заключенных с физическими лицами должно, содержаться согласие физического лица на обработку его персональных данных, а также сведения о том, что хранение его персональных данных будет осуществляться в течение пяти лет после окончания срока действия договора и в течение этого срока согласие не может быть отозвано.

            6.2. В договорах, заключенных Банком с двумя физическими лицами, должно содержаться согласие этих лиц на предоставление персональных данных друг другу.

6.3. При использовании типовых форм должны выполняться следующие условия:

типовые формы, содержащие персональные данные физического лица, должны включать сведения о цели обработки персональных данных; наименование структурного подразделения Банка, осуществляющего обработку персональных данных; фамилию, имя,   отчество и другие необходимые  сведения о физическом лице, согласие на обработку персональных данных; сведения о сроках хранения персональных данных;

типовая форма должна включать согласие физического лица на обработку его персональных данных;

типовая форма должна быть составлена таким образом, чтобы физическое лицо имело возможность ознакомиться только со своими персональными данными, за исключением договора аренды индивидуальной банковской ячейки, условиями которого предусмотрен доступ к ячейке двух физических лиц. 

6.4. В договорах, заключенных с физическими лицами, в разделе «Реквизиты» физического лица и типовых формах должно иметься поле для номера мобильного телефона.

6.5. В договорах на открытие и ведение банковского счета юридического лица должны содержаться сведения о том, что Клиент уведомил и получил согласие учредителей, генерального директора и главного бухгалтера организации, что их персональные данные переданы в Банк.

6.6. Согласие на обработку персональных данных требуется в случае, если соискатель на замещение вакантной должности лично явился в Банк для представления своего резюме. При получении резюме по электронной почте или из сети Интернет согласия на обработку персональных данных не требуется.

6.7. При заключении трудового договора необходимо получить согласие сотрудника на обработку персональных данных на период его работы в Банке и в течение семидесяти пяти лет после расторжения трудового договора.

6.8. При сборе кредитных заявок от физических лиц, претендующих на получение кредита, необходимо получить согласие на обработку персональных данных. Кроме того, если в анкете указываются персональные данные родственников, то необходимо подтверждение, что потенциальный заемщик уведомил и получил согласие родственников на передачу их персональных данных в Банк.    

6.9. При сборе кредитных заявок от юридических лиц необходимо получить   подтверждение, что Клиент уведомил и получил согласие генерального директора и главного бухгалтера организации на передачу их персональных данных в Банк.

 

 

 

7. Доступ посетителей в помещения Банка

 

Посещение служебных помещений Банка, предназначенных для обслуживания клиентов, осуществляется при предъявлении дежурному охраннику документа, удостоверяющего личность. В этом случае Банк не осуществляет фиксирование сведений о посетителях Банка в документальной форме.                                                                              

 

8. Конфиденциальность персональных данных

 

            Банк обеспечивает конфиденциальность персональных данных, за исключением следующих случаев:

            обезличивание персональных данных;

            в отношении общедоступных данных.

  

9. Общедоступные источники персональных данных

 

            Банк не создает общедоступные источники персональных данных.

 

10. Согласие физического лица на обработку своих персональных данных

 

10.1. Не требуется согласие физического лица на обработку его персональных данных в следующих случаях:

предусмотренных Федеральными законами и настоящим Положением;

в целях исполнения договоров одной стороной по которым является Банк, а второй стороной является физическое лицо.

10.2. В остальных случаях физическое лицо принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку. Согласие на обработку персональных данных может быть отозвано физическим лицом.

10.3. В письменном согласии должны содержаться следующие сведения:

фамилия, имя, отчество, адрес физического лица, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

наименование и адрес Банка или структурного подразделения Банка, получающего согласие физического лица;

цель обработки персональных данных;

перечень персональных данных, на обработку которых дается согласие физического лица;

перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых способов обработки персональных данных;

срок, в течение которого действует согласие, а также порядок его отзыва.

Примерная форма письменного согласия на обработку персональных данных установлена в Приложении 1 к настоящему Положению.

10.4. В случае недееспособности физического лица согласие на обработку его персональных данных дает в письменной форме его законный представитель.

10.5. В случае смерти физического лица согласие на обработку его персональных данных дают в письменной форме его наследники, если такое согласие не было дано физическим лицом при его жизни.

 

11. Специальные категории персональных данных

 

            Банк не собирает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

 

12. Биометрические персональные данные

 

12.1. К биометрическим персональным данным, которые обрабатывает АКБ «Ноосфера» (ЗАО), относятся:

фотографии, находящиеся в личных делах сотрудников и банковских пропусках;

изображение лица, фиксируемое видеокамерой банкомата, в случае, если можно однозначно установить личность физического лица.

12.2. Биометрические персональные данные обрабатываются при наличии письменного согласия физического лица.

 

13. Трансграничная передача персональных данных

 

            Трансграничная передача персональных данных  на территории других государств может осуществляться в случаях:

наличия согласия в письменной форме физического лица;

предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства;

исполнения договора, стороной которого является физическое лицо;

защиты жизни, здоровья, иных жизненно важных интересов физического лица или других лиц при невозможности получения согласия в письменной форме.

 

14. Право физического лица на доступ к своим персональным данным

 

14.1. Физическое лицо имеет право на получение сведений о Банке, о месте его нахождения, о наличии у Банка персональных данных, относящихся к физическому лицу, а также на ознакомление с такими персональными данными.

Физическое лицо вправе требовать от Банка уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

14.2. Сведения о наличии персональных данных должны быть предоставлены физическому лицу в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим физическим лицам.

14.3. Доступ к персональным данным предоставляется физическому лицу на основании запроса, составленного в соответствии с Приложением 2 или его законному представителю на основании запроса, составленного в соответствии с Приложением 3.

14.4. Физическое лицо имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

способы обработки персональных данных, применяемые Банком;

сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

перечень обрабатываемых персональных данных и источник их получения;

сроки обработки персональных данных, в том числе сроки их хранения;

сведения о том, какие юридические последствия для физического лица может повлечь за собой обработка его персональных данных.

14.5. Право физического лица на доступ к своим персональным данным ограничивается в случае, если предоставление персональных данных нарушает конституционные права и свободы других лиц.

 

15. Права физических лиц при обработке их персональных данных в целях продвижения товаров, работ, услуг на рынке

 

15.1. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия физического лица. Указанная обработка персональных данных признается осуществляемой без предварительного согласия физического лица, если Банк не докажет, что такое согласие было получено.

15.2. Банк обязан немедленно прекращает  обработку персональных данных по требованию физического лица в случае, указанном в п. 15.1. настоящего Положения.

 

 

16. Права физических лиц при принятии решений на основании исключительно автоматизированной обработки их персональных данных

 

16.1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении физического лица или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 16.2. настоящего положения.

16.2. Решение, порождающее юридические последствия в отношении физического лица или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме физического лица или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов физического лица.

16.3. Банк обязан разъяснить физическому лицу порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты физическим лицом своих прав и законных интересов.

16.4. Банк обязан рассмотреть возражение, указанное в п. 16.3. настоящей статьи, в течение семи рабочих дней со дня его получения и уведомить физическое лицо о результатах рассмотрения такого возражения.

 

17. Право на обжалование действий или бездействия оператора

 

17.1. Если физическое лицо считает, что Банк осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, физическое лицо вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав физических лиц или в судебном порядке.

17.2. Физическое лицо имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

18. Обязанности оператора при сборе персональных данных

 

18.1. При сборе персональных данных Банк предоставляет физическому лицу по его просьбе информацию, предусмотренную п. 14.4. настоящего Положения.

18.2. Если обязанность предоставления персональных данных установлена федеральным законом, Банк разъясняет физическому лицу юридические последствия отказа предоставить свои персональные данные.

18.3. Если персональные данные были получены не от физического лица, за исключением случаев, если персональные данные были предоставлены Банку на основании федерального закона или если персональные данные являются общедоступными, Банк до начала обработки таких персональных данных обязан предоставить физическому лицу информацию, указанную в Приложении 4.

 

19. Меры по обеспечению безопасности персональных данных при их обработке

 

19.1. Банк для обеспечения внутренней защиты персональных данных физических лиц:

ограничивает и регламентирует состав работников, функциональные обязанности которых требуют обработки конфиденциальной информации;

строго избирательно и обоснованно распределяет документы и информацию между работниками;

обеспечивает рациональное размещение рабочих мест работников, при котором исключается бесконтрольное использование защищаемой информации;

обеспечивает знание работником требований нормативно-методических документов по защите информации и сохранении тайны;

создает необходимые условия в помещении для работы с конфиденциальными документами и базами данных;

организует мероприятия по  уничтожению информации;

проводит воспитательную и разъяснительную работу с работниками по предупреждению утраты ценных сведений при работе с конфиденциальной информацией;

не допускает выдачу юридических дел на рабочие места сотрудников. Юридические дела могут выдаваться на рабочие места только Генеральному директору, его заместителям, работникам Управления внутреннего контроля и аудита;

документы, содержащие персональные данные физических лиц, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа;

персональные компьютеры, в которых содержатся персональные данные, защищены паролями доступа.

19.2. Защита персональных данных на электронных носителях.

19.2.1. Все базы данных, содержащие персональные данные, должны быть защищены паролем. Запрещается передавать пароли доступа к базам данных другим сотрудникам или другим лицам.

19.2.2. Резервное копирование информации производится в соответствии с документацией на используемое программное обеспечение и служебной необходимостью (информация копируется на отдельные носители – диски CD).

19.2.3. Резервные копии данных должны храниться отдельно от нахождения основных носителей информации и баз данных (в отдельном помещении или комнате).

 19.3. Внешняя защита персональных данных:

19.3.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.

19.3.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Банка, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в подразделениях, располагающих персональными данными.

19.3.3. Для обеспечения внутренней защиты персональных данных необходимо принимать следующие меры:

строго соблюдать порядок приема, учёта и контроля деятельности посетителей;

соблюдать пропускной режим Банка;

обеспечивать наличие и использование технических средств охраны, сигнализаций;

четко соблюдать порядок охраны территории Банка;

выполнять требования к защите информации при интервьюировании и собеседованиях;

отвечать на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий в письменной форме на бланке Банка и в том объеме, который позволяет не разглашать излишний объем персональных сведений;

запрещается передача информации, содержащей сведения о персональных данных, по телефону, факсу, электронной почте без письменного согласия физического лица.

19.4. По возможности персональные данные обезличиваются.

19.5. Кроме мер защиты персональных данных, установленных законодательством, Банк может разрабатывать другие меры защиты персональных данных.

 

20. Обязанности Банка при обращении либо при получении запроса физического лица или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных

 

20.1. Банк в порядке, предусмотренном ст. 14 настоящего Положения, сообщает физическому лицу или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему физическому лицу, а также предоставляет возможность ознакомления с ними при обращении физического лица или его законного представителя либо дает письменный ответ в течение десяти рабочих дней с даты получения запроса.

20.2. В случае отказа в предоставлении физическому лицу или его законному представителю при обращении либо при получении запроса о наличии персональных данных Банк в письменной форме дает мотивированный ответ, содержащий ссылку на положение п. 14.5. настоящего Положения Федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения физического лица или его законного представителя либо с даты получения запроса физического лица или его законного представителя.

20.3. Банк безвозмездно предоставляет физическому лицу или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему физическому лицу, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении физическим лицом или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Банк уведомляет физическое лицо или его законного представителя и третьих лиц, которым персональные данные этого физического лица были переданы.

20.4. Банк обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.

 

21. Обязанности Банка по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных

 

21.1. В случае выявления недостоверных персональных данных или неправомерных действий с ними при обращении или по запросу физического лица или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных, Банк блокирует персональные данные, относящихся к соответствующему физическому лицу, с момента такого обращения или получения такого запроса на период проверки.

21.2. В случае подтверждения факта недостоверности персональных данных Банк на основании документов, представленных физическим лицом или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные и снимает их блокирование.

21.3. В случае выявления неправомерных действий с персональными данными Банк в срок, не превышающий трех рабочих дней с даты такого выявления, устраняет допущенные нарушения. В случае невозможности устранения допущенных нарушений Банк в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Банк обязан уведомить физическое лицо или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

21.4. В случае достижения цели обработки персональных данных Банк незамедлительно прекращает обработку персональных данных и уничтожает соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомляет об этом физическое лицо или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.

21.5. В случае отзыва физическим лицом согласия на обработку своих персональных данных Банк прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Банком и физическим лицом. Об уничтожении персональных данных Банк обязан уведомить физическое лицо.

21.6. Уничтожение персональных данных на бумажных носителях осуществляется комиссией, назначенной генеральным директором. Примерная форма акта приведена в Приложении 6 к настоящему Положению.

21.7. Персональные данные, обрабатываемые в автоматизированных банковских системах, подлежат архивированию при достижении целей обработки или истечении сроков хранения. Архивирование персональных данных осуществляется сотрудниками управления информационных технологий на основании распорядительного документа, о чем составляется акт. Примерная форма акта приведена в Приложении 6 к настоящему Положению.

21.8. Физическое лицо уведомляется об уничтожении персональных данных путем направления  SMS-сообщения на номер мобильного телефона, имеющегося в распоряжении Банка.

В случае невозможности направления SMS-сообщения, физическое лицо  уведомляется по почте или отправлением сообщения по электронной почте.

 

22. Места и сроки хранения персональных данных

 

   22.1. Хранение персональных данных физических лиц на бумажных носителях осуществляется в отдельных запираемых металлических шкафах, в помещениях исключающих доступ к ним посторонних лиц. Срок хранения персональных данных физических лиц на бумажных носителях устанавливается 5 лет с момента закрытия счета или дня совершения операции без открытия счета.

По истечении срока хранения бумажные носители с персональными данными  физического  лица уничтожаются.

22.2. Хранение персональных данных физических лиц в электронном виде осуществляется в АБС RS-bank, «ЦФТ-Ритейл Банк». Резервные копии хранятся на вспомогательном сервере базы данных.  Срок хранения персональных данных физических лиц в электронном виде устанавливается 5 лет с момента закрытия счета или дня совершения операции без открытия счета.

По истечении срока хранения, персональные данные, имеющиеся в автоматизированных банковских системах, подлежат архивированию.

22.3. После расторжения трудового договора хранение персональных данных сотрудников Банка осуществляется в течение семидесяти пяти лет в архиве Банка.

22.4. Резюме на бумажных носителях лиц, обращавшихся в Банк на соискание вакантных должностей, но не принятых на работу, возвращаются соискателю по акту приема-передачи.

 

23. Уведомление об обработке персональных данных

 

В случаях, установленных ст. 22 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» Банк уведомляет уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) об обработке персональных данных.

 

24. Контроль обработки персональных данных

 

Контроль соответствия обработки персональных данных требованиям Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и настоящего Положения возлагается на службы внутреннего контроля и аудита.

 


Приложение 1

К Положению

«О защите персональных данных в

АКБ «Ноосфера» (ЗАО)»

В АКБ «Ноосфера» (ЗАО),

Республика Алтай, г.Горно-Алтайск,

пр-т.Коммунистический ,26.

СОГЛАСИЕ

на обработку персональных данных

 

Я, ______________________________________________________________________,

документ удостоверяющий личность _________________ номер ______________________

кем выдан ____________________________________________________________________

код подразделения ________________ дата выдачи _________________________________

номер мобильного телефона ________________________________

Настоящим выражаю свое согласие на обработку следующих моих персональных данных:

фамилия, имя, отчество;

дата рождения;

паспортные данные;

место регистрации;

фактический адрес регистрации;

номер мобильного телефона,

предоставленных в АКБ «Ноосфера» (ЗАО) (филиал АКБ «Ноосфера» (ЗАО)), расположенный по адресу: _____________________________

 с целью:

идентификация клиентов Банка в соответствии требованиями с Федерального закона от 07.08.2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;

            исполнение договоров, заключенных с Банком;

            _______________________________________________________________________;

            _______________________________________________________________________ .

            Перечень действий, совершаемых АКБ «Ноосфера» (ЗАО) с моими персональными данными:

обработка и хранение в базе данных АКБ «Нооосфера» (ЗАО);

предоставление персональных данных платежным системам «Золотая Корона», при осуществлении коммунальных платежей, оплаты мобильной связи, перечисление средств со счета, расчеты с использованием банковской карты.

Я подтверждаю, что уведомил третье лицо о том, что информация о нем будет использована при совершении перевода.

В случае осуществления перевода за пределы Российской Федерации, я выражаю свое согласие на обработку моих персональных на территориях, где законодательство о защите информации является не таким строгим.

Срок действия согласия действует в течение пяти лет после закрытия моего счета либо дня совершения операции без открытия счета.

Отзыв настоящего согласия на обработку и хранение моих персональных данных осуществляется на основании моего письменного заявления.

 

 

_______________ Подпись _________________________________ Фамилия, имя, отчество

Дата  


Приложение 2

К Положению

«О защите персональных данных в

АКБ «Ноосфера» (ЗАО)»

 

 

 

 

ЗАПРОС

на доступ к персональным данным

 

 

 

 

Я, ______________________________________________________________________,

документ удостоверяющий личность _________________ номер ______________________

кем выдан ____________________________________________________________________

код подразделения ________________ дата выдачи _________________________________

прошу предоставить сведения о персональных данных, имеющихся в АКБ «Ноосфера» (ЗАО).

 

_____________________________________________________________________________

заполняется в случае обращения доверенного лица

о ____________________________________________________

документ, удостоверяющий личность _________________ номер ______________________

кем выдан ____________________________________________________________________

код подразделения ________________ дата выдачи _________________________________

 

 

 

 

 

_______________ Подпись _________________________________ Фамилия, имя, отчество

 

Дата


Приложение 3

К Положению

«О защите персональных данных в

АКБ «Ноосфера» (ЗАО)»

 

 

 

 

ЗАПРОС

на доступ к персональным данным

(от доверенного лица)

 

 

 

Я, ______________________________________________________________________,

(Фамилия, имя, отчество доверенного лица, данные доверенности)

документ удостоверяющий личность _________________ номер ______________________

кем выдан ____________________________________________________________________

код подразделения ________________ дата выдачи _________________________________

 

Прошу предоставить сведения о персональных данных, имеющихся в АКБ «Ноосфера» (ЗАО) о _____________________________________________________

документ, удостоверяющий личность _________________ номер ______________________

кем выдан ____________________________________________________________________

код подразделения ________________ дата выдачи _________________________________

 

 

 

 

 

_______________ Подпись _________________________________ Фамилия, имя, отчество

                                                                                                                  доверенного лица

 

Дата

 


Приложение 4

К Положению

«О защите персональных данных в

АКБ «Ноосфера» (ЗАО)»

 

_____________________________

(Фамилия, имя, отчество)

_____________________________

(Адрес)

_____________________________

_____________________________

 

 

 

УВЕДОМЛЕНИЕ

 

АКБ «Ноосфера» (ЗАО) (филиал АКБ «Ноосфера» (ЗАО), расположенный по адресу: ______________________________________________________

уведомляет, что целью обработки Ваших персональных данных осуществляются с целью

_____________________________________________________________________________

предполагаемые  пользователи персональных данных

_____________________________________________________________________________

 

 

 

Председатель правления

АКБ «Ноосфера» (ЗАО)                                                     К.Ю.Криворученко

 


 

Приложение 5

К Положению

«О защите персональных данных в

АКБ «Ноосфера» (ЗАО)»

 

 

УВЕДОМЛЕНИЕ

 

Настоящим АКБ «Ноосфера» (ЗАО) (филиал АКБ «Ноосфера» (ЗАО), расположенный по адресу: ________________________________________________

уведомляет, сотрудника ________________________________________________________

наименование подразделения

_____________________________________________________________________________,

Фамилия, имя, отчество

 

что при исполнении своих должностных обязанностей Вы имеете доступ к обработке персональных данных физических лиц, к которым относятся следующие сведения о физических лицах:

            фамилия, имя, отчество физического лица;

            дата рождения физического лица;

            сведения и номер документа, удостоверяющего личность;

            адрес регистрации физического лица;

            сведения об образовании физического лица;

            идентификационный номер налогоплательщика;

            сведения о доходах физического лица.

            Обработка персональных данных осуществляется в автоматизированной системе банка RS-bank,  «ЦФТ-Ритейл Банк», а также на бумажных носителях.

 

           

 

 

 

_____________________________ Подпись сотрудника

______________________________________________ Фамилия, имя, отчество сотрудника

Дата

 


Приложение 6

К Положению

«О защите персональных данных в

АКБ «Ноосфера» (ЗАО)»

 

 

«Утверждаю»

Председатель правления

АКБ «Ноосфера» (ЗАО)

________________ К.Ю.Криворученко

 

«___» ______________ 2010 г.

 

 

АКТ

Об уничтожении / архивировании персональных данных

 

Комиссией в составе: председатель комиссии _____________ и членов комиссии ________________________________________________________, сформированной в соответствии с Приказом от ___________.2010 г. № _______ , в связи с достижением цели обработки персональных данных осуществлено уничтожение / архивирование персональных данных в АБС RS-bank, на бумажных носителях  следующих физических лиц: