Политика обработки персональных данных

Ознакомьтесь с Политикой обработки персональных данных Банка.


1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящая Политика в отношении защиты и обработки персональных данных (далее – Политика) определяет политику «Кредит Урал Банк» (Акционерное общество) (далее – Банк) в отношении обработки и обеспечения безопасности персональных данных.

1.1 Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации в области защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2 Целью настоящей Политики являются определение особенностей осуществления обработки и обеспечения безопасности персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152 «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.

1.3 Настоящая Политика распространяется на все технологические процессы Банка, связанные с обработкой персональных данных субъектов, и обязательна для применения всеми работками Банка.

1.4 Банк включен в реестр операторов персональных данных Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций. Регистрационный номер Банка в реестре – 12-0243666.

1.5 Требования настоящей Политики, при необходимости, могут детализироваться иными внутренними нормативными документами Банка.

1.6 В соответствии с требованиями ст. 18.1 Федерального закона от 27.07.2006 №152 «О персональных данных настоящая Политика подлежит опубликованию в информационно-телекоммуникационной сети «Интернет».

2. ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Администратор информационной безопасности – должностное лицо, которое назначается Приказом Председателя Правления, ответственное за организацию обработки персональных данных, организующее принятие правовых, организационных и технических мер в целях обеспечения надлежащего выполнения функций по организации обработки персональных данных в Банке в соответствии с положениями законодательства Российской Федерации в области персональных данных.

Банк – «Кредит Урал Банк» (Акционерное общество).

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Обработка персональных данных в Банке осуществляется на основе принципов:

- законности целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, определенным и заявленным при сборе персональных данных, а также полномочиям Банка;

- соответствия содержания и объема обрабатываемых персональных данных, способов обработки персональных данных, целям обработки персональных данных;

- обеспечения точности, достаточности и актуальности персональных данных по отношению к целям их обработки, недопустимости избыточности обрабатываемых персональных данных по отношению к заявленным целям их обработки;

- недопустимости объединения баз данных, содержащих персональные данные, для несовместимых между собой целей;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки или в случае утраты необходимости в достижении этих целей;

- уничтожения персональных данных по достижении целей обработки способом, исключающим возможность их восстановления.

3.2 Работники Банка, допущенные к обработке персональных данных, обязаны:

- знать и неукоснительно выполнять положения:

- законодательства Российской Федерации в области персональных данных;

- настоящей Политики;

- внутренних нормативных документов Банка по вопросам обработки персональных данных;

- обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;

- не разглашать персональные данные, обрабатываемые в Банке;

- сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;

- сообщать об известных фактах нарушения требований настоящей Политики Администратору информационной безопасности.

3.3 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

3.4 Сроки обработки персональных данных определяются в соответствии с целями их обработки, требованиями законодательства Российской Федерации и нормативными документами Банка России.

3.5 При определении состава обрабатываемых персональных данных субъектов персональных данных Банк руководствуется минимально необходимым составом персональных данных для достижения целей получения персональных данных.

3.6 Безопасность персональных данных в Банке обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности персональных данных, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы информационных систем персональных данных в случае реализации угроз.

4. ОБЪЕМ И КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Банком осуществляется обработка персональных данных, полученных в установленном законом порядке, следующих субъектов персональных данных:

- акционеры/участники;

- физические лица, аффилированные с Банком;

- физические лица, входящие в органы управления Банка;

физические лица, которым оформляются пропуска на территорию мест нахождения Банка;

- физические лица и индивидуальные предприниматели, их законные представители, намеревающиеся вступить или состоящие в договорных и иных гражданско-правовых отношениях с Банком, в том числе через партнеров или контрагентов Банка (лица оказывающие услуги Банку, заемщики, залогодатели, поручители, вкладчики, владельцы банковских счетов, лица, арендующие банковские сейфовые ячейки, отправители-получатели платежей и иные лица, пользующиеся финансовыми услугами Банка), иные лица, обработка персональных данных которых необходима для возникновения и/или исполнения указанных договорных и иных гражданско-правовых отношений (супруг/супруга заемщика, поручителя, залогодателя, опекун, наследник(-и) и т.п.)

- физические лица, состоящие в гражданско-правовых отношениях с Клиентом Банка, в интересах которого Клиент осуществляет финансовые операции (платежи);

- физические лица - представители юридических лиц, уполномоченные взаимодействовать с Банком, в том числе в связи с намерением вступить или состоящие в договорных и иных гражданско-правовых отношениях с Банком;

- выгодоприобретатели;

- бенефициарные владельцы;

- пользователи сайта;

- лица, персональные данные которых передаются в Банк в рамках оказания финансовых услуг, исполнения договора с третьими лицами, прямых сделок купли-продажи имущества;

- работники Банка,

- физические лица, осуществляющие выполнение работ по оказанию услуг и заключившие с Банком договор гражданско-правового характера;

- бывшие работники Банка;

- кандидаты на замещение вакантных должностей;

- стажеры, практиканты;

- близкие родственники работников;

- работники, представители федеральных, региональных органов государственной власти РФ, органов местного самоуправления, судов, правоохранительных органов и других регуляторов;

- работники, члены Российских и международных организаций, отраслевых ассоциаций, Международных платежных систем и других коммерческих и некоммерческих организаций, а также представители средств массовой информации;

- участники конкурсов по выбору поставщиков продукции и услуг;

- лица, осуществляющие доставку корреспонденции (курьеры, сотрудники спецсвязи, Почты России);

- иные физические лица, выразившие согласие на обработку Банком их персональных данных или физические лица, обработка персональных данных которых необходима Банку для достижения целей, предусмотренных международным договором РФ или законом, для осуществления и выполнения возложенных законодательством РФ на Банк функций, полномочий и обязанностей;

4.2 При определении состава обрабатываемых персональных данных субъектов персональных данных Банк руководствуется минимально необходимым перечнем персональных данных для достижения целей обработки персональных данных.

4.3 В состав обрабатываемых персональных данных могут входить:

- Фамилия, имя, отчество (при наличии),

- Пол;

- Дата рождения (число, месяц и год рождения);

- Место рождения, страна рождения;

- Адрес (проживания, регистрации, постановки на учет);

- Сведения о гражданстве, статус (резидент/нерезидент);

- Сведения о семейном положении, о составе семьи;

- Социальное положение (в том числе сведения о социальных льготах);

- Сведения о принадлежащем Клиенту имуществе;

- Сведения об опеке и попечительстве/ об усыновлении;

- Сведения об ИНН, СНИЛС;

- Контактные данные (телефон, адрес электронной почты, почтовый адрес);

- Вид, серия, номер документа, удостоверяющего личность гражданина Российской Федерации, наименование органа и код подразделения органа (при наличии), выдавшего его, дата выдачи;

- Кредитная история;

- Образование, должность, место работы, доходы, сведения о трудовой деятельности;

- Фото и видеоизображения;

- Сведения, указанные в актах гражданского состояния;

- Сведения, указанные в свидетельстве о рождении детей;

- Биометрические персональные данные, обрабатываемые в случаях, предусмотренных ст. 14.1 ч. 9 Федерального закона от 27.07.2006 №149 «Об информации, информационных технологиях и о защите информации»;

- Сведения о посетителях сайта, cookie-файлы;

- IP-адрес в сети Интернет, используемый субъектом персональных данных для взаимодействия с Банком, в том числе для подключения к системе дистанционного банковского обслуживания, а также во время осуществления взаимодействия;

- Параметры устройства доступа к сервисам Банка;

- Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Банком не осуществляется.

- Обработка сведений о состоянии здоровья осуществляется в соответствии с Трудовым кодексом, Федеральным законом «Об обязательном медицинском страховании в РФ», а также пунктом 2.3 части 2 статьи 10 Федерального закона от 27.07.2006 № 152 «О персональных данных»;

- Банк вправе осуществлять обработку биометрических персональных данных с целью идентификации Клиентов при оказании банковских услуг;

- Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных (или при отсутствии возможности оценки адекватности защиты), может осуществляться Банком исключительно в случаях исполнения договора, стороной которого является субъект персональных данных, либо при наличии согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных, либо в иных случаях, когда такая передача допускается в соответствии с положениями действующего законодательства о персональных данных.

5. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Обработка персональных данных, несовместимая с целями сбора персональных данных не допускается.

5.2 Обработке подлежат только персональные данные, которые отвечают целям их обработки.

5.3 Обработка персональных данных осуществляется Банком для достижения следующих целей:

- осуществление банковских операций и иной деятельности, предусмотренной Уставом Банка, в соответствии с лицензией Банка России, выданной Банку, действующим законодательством Российской Федерации, нормативными актами Банка России;

- рассмотрение возможности предоставления финансовых или иных услуг субъекту персональных данных в соответствии с законодательством РФ;

- предоставление отчетности государственным надзорным органам, Банку России в соответствии с требованиями действующего законодательства РФ;

- предоставление субъекту персональных данных информации об оказываемых услугах, о разработке Банком новых продуктов и услуг, об услугах партнеров Банка, информирование о предложениях по продуктам и услугам, а также о проводимых акциях, об оценке качества обслуживания клиентов и мероприятиях (по которым имеется предварительное согласие Клиента на их получение);

- проведение мероприятий по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (ПОД ФТ);

- формирование и получение данных о кредитной истории Клиента;

- заключение, исполнение и прекращение договоров с физическими и юридическими лицами Клиентами и контрагентами и/или реализация совместных проектов;

- проведение мероприятий, необходимых действий по урегулированию заявлений, претензий; обработке сообщений Клиентов по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж;

- обработка запросов субъектов персональных данных (в рамках действующего законодательства РФ);

- обеспечение пропускного режима на объектах Банка;

- выявление случаев мошенничества, хищения денежных средств со счета Клиента, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;

- прием на практику студентов и выпускников учебных заведений для прохождения ознакомительной, учебной, производственной или преддипломной практики, а также для ознакомления с работой подразделений Банка и дальнейшее рассмотрение практиканта как кандидата на открытые вакансии Банка;

- рассмотрение возможности заключения, заключение и исполнение трудового соглашения/договора с субъектом персональных данных;

- регулирование трудовых (гражданско-правовых) отношений субъекта персональных данных с Банком (обеспечение соблюдения законов и иных нормативных правовых актов, ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении, пользовании различного вида льготами в соответствии с законодательством РФ);

- передача Банком персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством РФ;

- осуществление мероприятий по проверке контрагента/Клиента (лица, осуществляющего функции единоличного исполнительного органа юридического лица/его уполномоченных представителей/учредителей/бенефициарных владельцев) до заключения с ними договора;

- осуществление телефонной связи с целью информирования о задолженности перед Банком (в том числе о сумме и сроках погашения задолженности);

- взыскание просроченной/проблемной задолженности;

- получение и обработка сведений, содержащихся в индивидуальном лицевом счете в Пенсионном Фонде Российской Федерации;

- информирование Клиента о проведенных операциях;

- регистрация субъекта персональных данных в Единой биометрической системе;

- исполнение поручения третьего лица на обработку персональных данных в соответствии с требованиями действующего законодательства РФ;

- осуществление других функций, полномочий и обязанностей, возложенных на Банк действующим законодательством Российской Федерации.

5.4 В целях анализа поведения посетителей сайта на сайте, а также анализа эффективности используемых в сети Интернет средств рекламы и продвижения ресурса, а также для целей оптимизации Банком своих веб-ресурсов, Банк самостоятельно обрабатывает обезличенные сведения о посетителях сайта (количество посетителей сайта, количество визитов на сайт, среднее время, проведенное на сайте за визит, запрошенный контент сайта, поведение на сайте, глубина просмотра и т.д.), а также с помощью аналитических интернет-сервисов. Посетители сайта заранее уведомляются о такой обработке и, в случае несогласия с ней, могут покинуть сайт Банка. В этом случае их данные не обрабатываются.

6. ОРГАНИЗАЦИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1 Обработка персональных данных осуществляется Банком в соответствии с требованиями законодательства Российской Федерации.

6.2 Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового в случаях, предусмотренных законодательством Российской Федерации.

6.3 Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено законодательством Российской Федерации.

6.4 Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Банка, определенными действующим законодательством Российской Федерации и договорными отношениями с работниками, клиентами и контрагентами Банка.

6.5 Персональные данные субъекта могут быть получены банком от лица, не являющегося субъектом персональных данных, при условии предоставления банку подтверждения наличия оснований, указанных в п.п. 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» или иных оснований, предусмотренных законодательством РФ;

6.6 Банк осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.

6.7 Банк вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации, на основании заключаемого с этим лицом договора, условием которого является соблюдение конфиденциальности и неразглашения персональных данных, а также требования к защите обрабатываемых персональных данных.

6.8 Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют работники Банка в соответствии с их должностными обязанностями.

6.9 Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

6.10 Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов), получают доступ к персональным данным, обрабатываемым в Банке, в объеме и порядке, установленном законодательством Российской Федерации.

7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1 Субъект персональных данных вправе требовать от Банка уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.2 Субъект персональных данных имеет право на получение информации касающейся обработки его персональных данных, в соответствии с требованиями ст. 14 Федерального закона №152 «О персональных данных».

7.3 Субъект персональных данных, если иное не предусмотрено требованиями законодательства Российской Федерации, имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

- подтверждение факта обработки персональных данных Банком;

- правовые основания и цели обработки персональных данных;

- цели и применяемые Банком способы обработки персональных данных;

- наименование и местонахождение Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона;

- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных и источник их получения Банком, если иной порядок представления персональных данных не предусмотрен федеральным законом;

- сроки обработки персональных данных, в том числе, сроки их хранения;

- порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом №152 «О персональных данных»;

- информацию об осуществленной или о предполагаемой трансграничной передаче данных;

- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу;

- иные сведения, предусмотренные Федеральным законом №152 «О персональных данных» или другими федеральными законами.

7.4 Порядок направления субъектом персональных данных (его представителем) запросов на предоставление сведений определен требованиями Федерального закона №152 «О персональных данных». В частности, в соответствии с указанными требованиями запрос на получение информации в Банке должен содержать:

- серию, номер основного документа, удостоверяющего личность субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;

- сведения, подтверждающие участие субъекта персональных данных в отношениях с Банком (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Банком;

- подпись субъекта персональных данных (его представителя).

7.5 Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.6 Субъекты персональных данных несут ответственность за предоставление Банку достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

7.7 Субъект персональных данных имеет также иные права, установленные Федеральным законом № 152 «О персональных данных».

8. МЕРЫ БАНКА, НАПРАВЛЕННЫЕ НА ОБЕСПЕЧЕНИЕ ВЫПОЛНЕНИЯ ОБЯЗАННОСТИ ПО ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1 Банк при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

8.2 Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства Российской Федерации. Банк принял следующие меры:

- назначен Администратор информационной безопасности;

- издаются внутренние нормативные документы Банка по вопросам обработки персональных данных, а также внутренние нормативные документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;

- применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- осуществляется принятие мер в целях исключения фактов несанкционированного доступа к персональным данным;

- устанавливаются правила доступа к персональным данным, обрабатываемым в информационных системах;

- внедряются и применяются средства минимизации полномочий доступа, средства разграничения доступа (идентификация и аутентификация субъектов доступа, ограничения количества неудачных попыток доступа) и другие меры защиты.

- Осуществляется внутренний контроль соответствия обработки персональных данных Федеральному закону № 152 «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Банка в отношении обработки персональных данных, локальным актам Банка;

- работники Банка, непосредственно осуществляющие обработку и организующие защиту персональных данных, ознакамливаются с документами, определяющими политику Банка в отношении обработки персональных данных, внутренними нормативными документами по вопросам обработки персональных данных.

- При осуществлении хранения персональных данных Банк использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 №152 «О персональных данных».

9. ОТВЕТСТВЕННОСТЬ

9.1 Контроль исполнения требований настоящей Политики в Банке осуществляется Администратором информационной безопасности.

9.2 Ответственность работников Банка, осуществляющих обработку персональных данных, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Банка.

10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

10.1 Настоящая Политика вступает в действие с момента утверждения.

10.2 Пункты настоящей Политики могут быть изменены с обязательным доведением до сведения работников Банка и опубликованием в информационно-телекоммуникационной сети «Интернет» новой редакции Политики.

10.3 В случае, если некоторые пункты данного Политики вступают в противоречие с законодательством Российской Федерации, Нормативно-распорядительными документами Банка России, Уставом Банка, Политика остаётся действительной в части, не противоречащей вышеприведённым документам.

10.4 Политика подлежит пересмотру и актуализации в случае изменения нормативных, распорядительных документов, затрагивающих область данной Политики.

10.5 С момента утверждения настоящей Политики, действовавшая ранее Политика в отношении защиты и обработки персональных данных, утверждённая решением Правления «КУБ» ОАО от 2 февраля 2015 года, Протокол № 8, утрачивает силу.