ПОЛИТИКА
ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ОАО «ОТП БАНК»
Москва 2013 г.
1. ВВЕДЕНИЕ
1.1. Важнейшим условием реализации целей деятельности ОАО «ОТП Банк» (далее Банк), является обеспечение необходимого и достаточного уровня информационной безопасности активов, к которым в том числе относятся персональные данные и банковские технологические процессы, в рамках которых они обрабатываются.
1.2. Обеспечение безопасности персональных данных является одной из приоритетных задач Банка.
1.3. В Банке введен в действие Комплекс документов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации», который является обязательным для исполнения.
1.4. Обработка и обеспечение безопасности информации, отнесенной к персональным данным, в Банке осуществляется в соответствии с законодательством Российской Федерации и Комплексом документов Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» и позволяет обеспечить защиту персональных данных, обрабатываемых как в информационных системах персональных данных, т.е. в системах, целью создания которых является обработка персональных данных и к защите которых требования и рекомендации по обеспечению безопасности персональных данных предъявляют Федеральная служба безопасности Российской Федерации (ФСБ России), Федеральная служба по техническому и экспортному контролю (ФСТЭК России), так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (режим защиты сведений, составляющих банковскую тайну, коммерческую тайну и др.).
1.5. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных работников Банка и иных лиц, чьи персональные данные обрабатываются Банком, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Банка, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.6. Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Банка к защите конфиденциальной информации.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Перечень персональных данных, подлежащих защите в Банке, формируется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», иными нормативными правовыми актами, Уставом Банка и иными нормативными документами Банка.
2.2. Сведениями, составляющими персональные данные, в Банке является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
2.3. В зависимости от субъекта персональных данных, Банк обрабатывает персональные данные следующих категорий субъектов персональных данных: физических лиц – граждан Российской Федерации, иностранных граждан и лиц без гражданства, в том числе физических лиц, являющихся кандидатами на работу или работниками Банка; физических лиц, являющихся потенциальными клиентами и клиентами Банка, представителями клиентов Банка; физических лиц, являющихся Политика обработки персональных данных контрагентами Банка по сделкам; физических лиц, являющихся работниками и представителями партнеров, контрагентов и иных лиц, имеющих договорные отношения с Банком, с которыми взаимодействуют работники Банка в процессе своей деятельности
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Банк осуществляет обработку персональных данных в следующих целях:
• осуществление банковских операций и иной деятельности (осуществление возложенных на Банк функций), предусмотренной (ых) действующим законодательством РФ, в частности федеральными законами: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных»; нормативными актами Банка России, а также Уставом, лицензиями и нормативными актами Банка.
• заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Банка;
• организация кадрового учета Банка, для обеспечения соблюдения законов и иных нормативно-правовых актов, заключения и исполнения обязательств по трудовым и гражданско-правовым договорам; ведения кадрового делопроизводства, содействия работникам в трудоустройстве, обучении и продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и нормативными актами Банка.
4. СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Сроки обработки персональных данных определяются в соответствии со сроком действия согласия субъекта персональных данных на обработку персональных данных, договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства РФ и нормативными документами Банка России и внутренними документами Банка.
4.2. В Банке создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Банке данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Политика обработки персональных данных
5. ПРАВА И ОБЯЗАННОСТИ
5.1. Права и обязанности Банка
- отстаивать свои интересы в суде;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.), договором с субъектом персональных данных, согласием субъекта персональных данных;
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
- использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством;
- в случаях и в порядке, предусмотренных законодательством Российской Федерации, предоставлять субъекту персональных данных информацию, касающуюся обработки его персональных данных;
- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
- если иное не предусмотрено Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или другими федеральными законами - самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных указанным федеральным законом и принятыми в соответствии с ним нормативными правовыми актами;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику Банка в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Иные права и обязанности Банка определяются законодательством Российской Федерации.
5.2. Права и обязанности субъекта персональных данных
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых Банком, и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Иные права и обязанности субъекта персональных данных определяются законодательством Российской Федерации. Политика обработки персональных данных
6. ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Обработка персональных данных Банком осуществляется на основе принципов:
- законности;
- справедливости;
- ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
- недопустимости обработки персональных данных, несовместимых с целями сбора персональных данных;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- соответствия обработки персональных данных целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
- недопустимости обработки избыточных по отношению к заявленным целям их обработки персональных данных;
- обеспечения точности обрабатываемых персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- уничтожения либо обезличивания обрабатываемых персональных данных по достижении целей обработки или в случае утраты необходимости в их достижении.
6.2. Обработка персональных данных осуществляется на основании условий, определенных законодательством Российской Федерации.
6.3. В целях обеспечения выполнения Банком обязанностей, предусмотренных законодательством Российской Федерации о персональных данных, в Банке назначается лицо, ответственное за организацию обработки персональных данных.
7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Банк предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
7.2. В целях координации действий по обеспечению безопасности персональных данных в Банке назначается ответственный за обеспечение безопасности персональных данных.
8. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
8.1. Настоящая Политика является внутренним документом Банка, общедоступной и подлежит размещению на официальном сайте Банка.
8.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
8.3. Ответственность должностных лиц Банка, имеющих доступ к персональным Политика обработки персональных данных данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Банка.