Положение об обработке персональных данных в ООО КБ «Алтайэнергобанк»

1.1. Положение об обработке персональных данных (далее – Положение) в ООО КБ «Алтайэнергобанк» (далее – Банк) является публичным документом описывающим порядок и принципы обработки персональных данных, в ООО КБ «Алтайэнергобанк» Республика Алтай, г. Горно-Алтайск, Коммунистический пр-т, д. 80

2.1. Объем обрабатываемых персональных данных, цели, сроки, способы и условия обработки

2.1.1. Банк обрабатывает персональные данные с целью: подготовки и совершения банковских операций и иной деятельности в соответствии с Уставом, исполнения гражданско-правовых договоров с физическими и юридическими лицами, реализации трудовых отношений и социальной защиты, действующих и бывших сотрудников, их обучения и повышения квалификации, рассылки сообщений рекламно-информационного характера, сбора статистической информации, обеспечения безопасности и противодействия мошенничеству, исполнения обязательств, прав и полномочий, накладываемых на Банк действующим законодательством.

2.1.1.1 Правовыми основаниями обработки персональных данных являются: Трудовой кодекс Российской Федерации, Гражданский кодекс Российской Федерации, Налоговый кодекс Российской Федерации, федеральные законы, в частности: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «Об архивном деле в Российской Федерации», «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О воинской обязанности и военной службе», «Об информации, информационных технологиях и защите информации», «О персональных данных», «О бухгалтерском учете», Постановления Правительства Российской Федерации, нормативные акты Банка России, а также Устав Банка.

2.1.2. В установленных действующим законодательством случаях обработка персональных данных ведется с согласия субъекта. При этом согласие субъекта может быть выражено:

· письменно;

· устно по телефону при общении с сотрудниками Банка;

· путем акцепта соглашения на официальном веб-сайте Банка;

· совершением фактических действий, направленных на предоставление персональных данных, например, путем отсылки резюме в адрес кадровой службы банка.

2.1.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных, путем отправки соответствующего заявления в простой письменной форме, в адрес Банка, при этом Банк прекращает обработку персональных данных, если отсутствуют иные, определенные действующим законодательством основания. Заявление об отзыве согласия на обработку персональных данных должно быть составлено в соответствии с пунктом 2.5.4 данного положения, в противном случае оно игнорируется.

2.1.4. Если субъект должен предоставить персональные данные, но не предоставляет, то данный факт может нести юридические последствия, включающие невозможность заключения и исполнения гражданско-правовых договоров с субъектом, отказ в выполнении банковских операций и другие последствия предусмотренные действующим законодательством.

2.1.5. Объем обрабатываемых персональных данных устанавливается должностными лицами Банка, исходя из целей обработки и не может превышать объем персональных данных зафиксированный в «Перечне сведений конфиденциального характера ООО КБ «Алтайэнергобанк». Типичным является случай, когда персональные данные собираются в виде анкет, тогда объем обрабатываемых персональных данных определяется объемом данных указанных в анкете – утвержденной Банком типовой формы.

2.1.6. Срок обработки персональных данных, устанавливается минимально возможным для достижения целей обработки. Срок обработки персональных данных не может быть меньше законодательно установленных сроков обработки документов, в которых эти персональные данные включены, срока исковой давности, а также дополнительных временных ограничений накладываемых действующим законодательством.

2.1.7. Для обработки персональных данных может применяться неавтоматизированная обработка и обработка с использованием средств автоматизации.

2.2. Сбор персональных данных

2.2.1. Перед сбором персональных данных субъекту, по его запросу, может быть предоставлена информация об особенностях обработки его персональных данных в Банке, включающая:

а) наименование и адрес Банка;

б) цель обработки персональных данных и ее правовое основание;

в) перечень обрабатываемых персональных данных;

г) способы обработки персональных данных;

д) юридические последствия обработки персональных данных и отказа предоставления персональных данных;

е) предполагаемые источники получения персональных данных (в случаях, когда персональные данные субъекта, должны быть получены от третьей стороны);

ж) пользователи персональных данных;

з) права субъекта персональных данных, возникающие при обработке его персональных данных Банком;

2.2.2. Информирование субъекта может производиться:

· путем размещения соответствующих сообщений на информационных стендах в офисах Банка и партнеров;

· путем размещения информационных материалов на официальном web-сайте Банка;

· письменно, по запросу.

2.2.3. Сбор персональных данных может производиться от самого субъекта непосредственно, от ближайших родственников или представителей субъекта, от других операторов персональных данных, или лиц которым обработка персональных данных поручена на основании договора. В установленных законодательством случаях данные лица обязаны информировать субъекта о передачи его персональных данных и особенностях обработки персональных данных указанных в данной положении.

2.3. Передача персональных данных

2.3.1. Передача Банком персональным данных субъектов персональных данных, третьим лицам возможна в случаях:

· наличия согласия субъекта персональных данных на осуществление передачи;

· когда передача персональных данных сотрудников, необходима для осуществления ими (сотрудниками, чьи персональные данные раскрываются) своих должностных обязанностей;

· проведения обучения или социальной защиты сотрудников (в том числе бывших);

· информирования родственников сотрудников о несчастных случаях на работе, а также в целях защиты здоровья сотрудников;

· проведения контрольно-надзорных или аудиторских проверок Банка;

· переуступки прав требования, по кредитным договорам;

· информирования контактных лиц, указанных в анкетах клиентов, о проблемах с исполнением договорных обязательств между клиентом и Банком;

· наличия договора у Банка с третьим лицом, одним из условий которого является обеспечение конфиденциальности персональных данных;

· запроса и отправки сведений о кредитной истории в бюро кредитных историй;

· информирования новых работодателей, бывшего сотрудника Банка о работе сотрудника в Банке;

· организации обработки персональных данных с использованием технических средств и технологий, предоставляемых Банку в аренду по договору третьими лицами;

· в других предусмотренных действующим законодательствам случаях.

2.4. Хранение и уничтожения персональных данных

2.4.1. В случаях: отзыва субъектом согласия на обработку персональных данных, или направления субъектом заявления с требования уничтожения персональных данных, персональные данные подлежать уничтожению, если отсутствуют правовые основания для их обработки, установленные законодательством РФ.

2.4.2. По окончанию срока обработки, персональные данные передаются в Архивный фонд Российской Федерации или уничтожаются.

2.4.3. Уничтожение персональных данных производится коммисионно с составлением Акта об уничтожении.

2.5. Права и обязанности субъектов персональных данных

2.5.1. Субъект персональных данных имеет право на:

а) получение сведений, указанных в пункте 2.2.1 настоящего положения;

б) ознакомление со своими персональными данными;

в) требование от Банка уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

г) отправку запросов в Банк по вопросам обработки его персональных не чаще одного раза в тридцать дней, более частые обращения возможны только в случаях предусмотренных действующим законодательством;

д) принятие предусмотренных законодательством мер по защите своих прав.

2.5.2. Субъект ограничивается в своих правах в случаях предусмотренных действующим законодательством.

2.5.3. Субъект персональных данных обязан:

а) предоставлять достоверные персональные данные;

б) в случае изменения предоставленных персональных данных уведомлять об этом Банк и предоставлять измененные персональные данные в течение трех рабочих дней;

в) принимать меры по защите своих персональных данных.

2.5.4. Для реализации своих прав субъект обязан, обратится с письменным запросом в Банк. В запросе должны содержаться:

· номер основного документа, удостоверяющего личность субъекта персональных данных;

· сведения о дате выдачи указанного документа и выдавшем его органе;

· почтовый адрес (для отправки официального ответа);

· сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения); либо сведения, иным образом подтверждающие факт обработки персональных данных оператором;

· в случае необходимости, перечень запрашиваемых персональных данных;

· собственноручную подпись субъекта персональных данных;

2.6. Обязанности Банка при обработке персональных данных

2.6.1. При обработке персональных данных Банк обязан:

2.6.1.1. Сообщать субъектам персональных данных информацию предусмотренную пунктом 2.2.1. настоящего положения.

2.6.1.2. Обеспечивать защиту персональных данных при их обработке.

2.6.1.3. В случае поступления запроса субъекта персональных данных о предоставлении его персональных данных, в течение 30 дней предоставить возможность ознакомления с запрашиваемыми данными или дать мотивированный отказ.

2.6.1.4. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, внести в них необходимые изменения, а если будут представлены сведения о том, что персональные данные незаконно полученными или не являются необходимыми для заявленной цели обработки их удалить

2.6.1.5. В течение 30 дней в случае достижения цели обработки передать персональные данные в Архивный Фонд Российской Федерации или их уничтожить.

2.6.1.6. Уведомлять субъектов персональных данных о внесении изменений, блокировании или уничтожении их персональных данных. При этом уведомление производится ответственными сотрудниками Банка при поступление запроса от субъекта.

2.7. Организация доступа к персональным данным со стороны сотрудников Банка

2.7.1. Правом доступа к персональным данным, обрабатываемым в Банке, имеют:

· Председатель Правления Банка;

· Председатель совета Директоров Банка;

· Руководители и сотрудники структурных подразделений Банка по направлению деятельности и в пределах полномочий.

2.7.2. Целесообразность доступа сотрудника к обработке персональных данных определяется руководителем структурного подразделения Банка исходя из служебной необходимости.

2.7.3. Допуск сотрудников к обработке персональных данных осуществляется в соответствии с «Политикой управления информационными потоками и обеспечения информационной безопасности ООО КБ «Алтайэнергобанк» и разработанными на ее основании документов.

2.8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

2.8.1. Банк не несет ответственности за нарушение конфиденциальности персональных данных субъекта, произошедшее:

· по вине субъекта;

· до начала и после окончания обработки персональных данных в Банке;

2.8.2. Сотрудники Банка, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

2.9. Обязанности сотрудников участвующих в обработке персональных данных

2.9.1. Сотрудники Банка, допущенные к обработке персональных данных, обязаны:

а) выполнять требования «Политики управления информационными потоками и обеспечения информационной безопасности ООО КБ «Алтайэнергобанк», касающиеся прав и обязанностей сотрудников Банка при обработке конфиденциальной информации;

б) предоставлять субъектам персональных данных информацию предусмотренную пунктом 2.2.1 данного положения;

в) при заключении договоров с третьими лицами, предусматривающих передачу персональных данных субъектов, учитывать требования данного положения, касающиеся передачи персональных данных;

2.10. Обработка персональных данных при однократном пропуске посетителей на территорию Банка

2.10.1. При однократном пропуске субъекта персональных данных на территорию, на которой находится Банк, может вестись Журнал учета разовых пропусков.

2.10.2. Цели ведения журнала:

· обеспечения безопасности посетителей и сотрудников Банка;

· обеспечение сохранности материальных ценностей.

2.10.3. Перечень персональных данных фиксируемых в журнале учета разовых пропусков:

· Ф.И.О. посетителя

· Ф.И.О. должностного лица, подписавшего пропуск

2.10.4. Завершенный журнал подлежит хранению в течение 10 лет.

2.10.5.Доступ к сведениям указанным в журнале имеют:

· Председатель Правления Банка;

· Председатель совета Директоров Банка;

· Руководители и сотрудники подразделений ответственных за обеспечение безопасности.

2.10.6. Правила ведения журнала учета разовых пропусков:

· копирование содержащейся в журнале информации не допускается;

· персональные данные каждого субъекта персональных данных могут заноситься в журнал не более одного раза в каждом случае пропуска субъекта персональных данных на территорию, на которой находится Банк.

2.10.7. Пропуск посетителей на территорию, на которой располагается Банк, без фиксации персональных данных посетителя в журнале учета не допускается.