Соглашение об обработке персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящим Положением устанавливается порядок обработки персональных данных Клиентов КБ «Байкалкредобанк» (ПАО) (далее по тексту – Банк).

1.2. Цель данного Положения – обеспечение требований защиты прав граждан при обработке персональных данных Частных Клиентов (как они определены ниже), а также персональных данных физических лиц – представителей Корпоративных клиентов.

1.3. Персональные данные не могут быть использованы в целях причинения имущественного и морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено в соответствии с законодательством.

1.4. Настоящее Положение утверждается Правлением Банка и действует до его отмены распорядительным документом по Банку или до его замены иным аналогичным внутренним документом. Настоящее Положение подлежит размещению во внутренней сети Банка (в электронном виде) и является обязательным для исполнения всеми сотрудниками Банка, имеющими доступ к персональным данным Частных Клиентов или представителей Корпоративных Клиентов.

2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕМ ПОЛОЖЕНИИ

2.1. Для целей настоящего Положения используются следующие основные понятия: оператор – юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

субъект персональных данных в контексте настоящего Положения – физическое лицо, являющееся клиентом Банка (Частный Клиент), либо представляющее интересы клиента Банка – юридического лица (представитель Корпоративного Клиента).

Представителями Корпоративных Клиентов Банка в контексте настоящего Положения являются:

  • Лица, входящие в органы управления Корпоративного Клиента (включая, но не ограничиваясь следующей номенклатурой должностей: генеральный директор, заместитель генерального директора, исполнительный директор, председатель правления, член правления, председатель совета директоров, член совета директоров, председатель наблюдательного совета, член наблюдательного совета, управляющий, конкурсный управляющий),
  • лица, являющиеся владельцами/учредителями/акционерами/участниками Корпоративного Клиента,
  • лица, действующие от имени Корпоративного Клиента на основании доверенности,
  • лица, указанные в карточке с образцами подписей и оттиска печати (альбоме обрацов подписей лиц, уполномоченных распоряжаться денежными средствами, находящимися на банковском счете) Корпоративного Клиента;

Частными Клиентами Банка являются физические лица (субъекты персональных данных), заключившие с Банком письменный договор на оказание банковских услуг, услуг профессионального участника рынка ценных бумаг, услуг агента, специализированного депозитария, регистратора паевых инвестиционных фондов, а также их представители на основании закона или доверенности;

Корпоративными Клиентами Банка являются юридические лица, которым Банк оказывает услуги в рамках имеющихся у него лицензий Банка России и ФСФР России и на основании соответствующего договора;

клиент – Частный Клиент и/или Корпоративный Клиент Банка;

обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или иного законного основания;

распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных работников;

обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ЧАСТНЫХ КЛИЕНТОВ

3.1. Состав персональных данных Частного Клиента, обработка которых осуществляется Банком:

  • фамилия, имя, отчество;
  • паспортные данные, включая номер паспорта, сведения о дате выдачи и выдавшем паспорт органе, дату рождения, место рождения, пол, адрес регистрации;
  • данные паспорта или иного документа, удостоверяющего личность иностранного гражданина, включая номер, сведения о дате выдачи и выдавшем органе, срок действия, дату рождения, пол;
  • данные миграционных документов Частного Клиента – иностранного гражданина или лица без гражданства: визы, миграционной карты, уведомления Федеральной миграционной службы о месте пребывания;
  • гражданство;
  • адрес регистрации иностранного гражданина в стране, гражданином которой он/она является;
  • адрес местонахождения (места пребывания) Частного Клиента;
  • контактная информация, включая номера телефонов, факсов, e-mail;
  • образование;
  • занимаемая(ые) должность(и) Частного Клиента, членство в профессиональных и иных формальных организациях;
  • сведения о трудовой деятельности;
  • семейное положение;
  • состав семьи;
  • данные свидетельства о рождении ребенка;
  • данные свидетельства о заключении брака;
  • социальное положение;
  • имущественное положение;
  • сведения о доходах Частного Клиента и их источниках;
  • идентификационный номер налогоплательщика;
  • номер страхового свидетельства;
  • номер счёта в иных кредитных организациях;
  • иные сведения.

3.2. Указанные в пункте 3.1. персональные данные обрабатываются в целях исполнения обязательств Банка по договорам с Частными Клиентами, а также на основании и во исполнение:

  • Федерального закона «О банках и банковской деятельности»,
  • Федерального закона «О защите прав и законных интересов инвесторов на рынке ценных бумаг»,
  • Федерального закона «Об инвестиционных фондах»,
  • Федерального закона «О противодействии легализации доходов, полученных преступным путём, финансированию терроризма»
  • иных законов и подзаконных актов, регулирующих деятельность Банка.

3.3. Обработка персональных данных Частных Клиентов производится с их письменного согласия.

4. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРЕДСТАВИТЕЛЕЙ КОРПОРАТИВНЫХ КЛИЕНТОВ

4.1. В отношении представителей Корпоративных Клиентов Банк осуществляет обработку следующих персональных данных:

  • фамилия, имя, отчество;
  • паспортные данные, включая номер паспорта, сведения о дате выдачи и выдавшем паспорт органе, дату рождения, место рождения, пол, адрес регистрации;
  • данные паспорта или иного документа, удостоверяющего личность иностранного гражданина, включая номер, сведения о дате выдачи и выдавшем органе, срок действия, дату рождения, пол;
  • данные миграционных документов иностранного гражданина или лица без гражданства: визы, миграционной карты, уведомления Федеральной миграционной службы о месте пребывания;
  • адрес регистрации иностранного гражданина в стране, гражданином которой он/она является;
  • адрес местонахождения (места пребывания);
  • занимаемая(ые) должность(и).

4.2. Указанные в пункте 4.1. персональные данные обрабатываются в целях исполнения Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".

4.3. В связи с тем, что обработка персональных данных, указанных в п. 4.1. осуществляется в соответствии с Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" устанавливающим ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, получения согласий на обработку персональных данных в данном случае не требуется.

5. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Сведения, перечисленные в статьях 3 и 4 настоящего Положения, являются конфиденциальными. Банк обеспечивает конфиденциальность персональных данных, и обязан не допускать их распространения без согласия клиентов, либо наличия иного законного основания.

5.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

5.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или опубликования их в общедоступных источниках (СМИ, Интернет, ЕГРЮЛ и иных публичных государственных реестрах).

6. ПРАВА И ОБЯЗАННОСТИ БАНКА КАК ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Обработка персональных данных Частных Клиентов и представителей Корпоративных Клиентов осуществляется Банком с согласия субъектов персональных данных, за исключением случаев, предусмотренных пунктом 6.2. настоящей статьи. Обязанность представить доказательство получения согласия на обработку персональных данных по основаниям данного пункта в соответствии с законом возлагается на Банк.

6.2. Банк имеет право без согласия субъекта персональных данных осуществлять обработку его персональных данных в следующих случаях:

  • обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
  • обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в том числе персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

6.3. В целях обеспечения прав и свобод человека и гражданина Банк и его работники при обработке персональных данных Клиента обязаны соблюдать следующие общие требования.

6.3.1. При определении объема и содержания персональных данных Частного Клиента, подлежащих обработке, Банк должен руководствоваться Федеральным законом «О персональных данных», законодательством, регулирующим деятельность Банка, договорными обязательствами, взятыми на себя сторонами по договору между Частным Клиентом и Банком. Банк получает персональные данные Частного Клиента только в объеме, необходимом для достижения целей надлежащего исполнения договора с Частным Клиентом и соблюдения применимого к Банку законодательства.

6.3.2. Банк не должен обрабатывать не являющиеся общедоступными персональные данные Частного Клиента или представителя Корпоративного Клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.

6.3.3. Банк не должен запрашивать информацию о состоянии здоровья Частного Клиента или представителя Корпоративного Клиента.

6.4. Банк должен обеспечить защиту персональных данных Частного Клиента, представителя Корпоративного Клиента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.

6.5. В случае, если Банк на основании договора поручает обработку персональных данных другому лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

6.6. Банк может осуществлять трансграничную передачу персональных данных на территории иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных.

6.6.1. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случае наличия согласия в письменной форме субъекта персональных данных.

7. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у Банка персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными. Субъект персональных данных вправе требовать от Банка уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

7.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных Банком в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

7.3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю Банком при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

7.4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:

  1. подтверждение факта обработки персональных данных Банком, а также цель такой обработки;
  2. способы обработки персональных данных, применяемые Банком;
  3. сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  4. перечень обрабатываемых персональных данных и источник их получения;
  5. сроки обработки персональных данных, в том числе сроки их хранения;
  6. сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

7.5. Субъект персональных данных имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия.

7.6. Субъект персональных данных вправе обжаловать действия или бездействие Банка в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.7. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

8. ПОРЯДОК ПОЛУЧЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ БАНКОМ

8.1. Банк получает персональные данные Частного Клиента:

8.1.1. Непосредственно от субъекта персональных данных – Частного Клиента, в связи с заключением с Частным Клиентом письменного договора и/или подписания заявления на открытие банковского счёта, содержащих письменное согласие на обработку персональных данных.

8.1.2. От законного представителя Частного Клиента (субъекта персональных данных).Если персональные данные Частного Клиента получены Банком от третьего лица, Банк до начала обработки этих персональных данных предоставляет Частному Клиенту письменную информацию о своём наименовании и адресе, правовом основании и цели обработки Банком персональных данных Частного Клиента, о предполагаемых пользователях персональных данных и установленных Федеральным законом «О персональных данных» правах Частного Клиента.

8.1.3. Из общедоступных источников персональных данных, включая СМИ и Интернет.

8.2. Банк получает персональные данные представителя Корпоративного Клиента:

8.2.1. От представителя Корпоративного Клиента (субъекта персональных данных);

8.2.2. От иных представителей Корпоративного Клиента – только на основании федерального закона или только общедоступные персональные данные.

8.2.3. Из общедоступных источников персональных данных, включая СМИ, Интернет, ЕГРЮЛ и иные публичные государственные реестры.

9. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. Обработка персональных данных, указанных в статьях 3 и 4, осуществляется Банком исключительно для достижения целей, определенных письменным договором между Частным/Корпоративным Клиентом и Банком, и исполнения действующего законодательства.

9.2. Обработка персональных данных, указанных в статьях 3 и 4, Банком заключается в получении, систематизации, накоплении, хранении, уточнении (обновлении, изменении), использовании, распространении, обезличивании, блокировании, уничтожении и в защите от несанкционированного доступа.

9.3. Обработка персональных данных, указанных в статьях 3 и 4, ведется методом смешанной (в том числе автоматизированной) обработки.

9.4. К обработке персональных данных Клиента могут иметь доступ только работники Банка, допущенные к работе с досье Частных Клиентов и Корпоративных Клиентов, а также занимающиеся обработкой (платёжных) поручений указанных клиентов.

9.5. В случае соответствующего обращения субъекта персональных данных, Банк обязан произвести необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Банк, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Банк обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

9.6. Банк уничтожает персональные данные Частного Клиента или представителей Корпоративного Клиента в следующие сроки:

  • в течение трёх рабочих дней со дня выявления неправомерных действий с персональными данными;
  • хранящиеся на электронных носителях - в течение трех рабочих дней со дня окончания срока хранения, установленного законом, срока исковой давности по договору с клиентом;
  • хранящиеся на бумажных носителях и не отнесенные к разряду первичных бухгалтерских документов или иных документов, подлежащих хранению по законодательству Российской Федерации - в течение трех рабочих дней со дня окончания срока исковой давности по договору с клиентом;
  • хранящиеся на бумажных носителях и отнесенные к разряду первичных бухгалтерских документов либо документов, подлежащих хранению по законодательству Российской Федерации, в течение трех рабочих дней со дня окончания срока их хранения, установленного нормами законодательства Российской Федерации.

10. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Передача персональных данных, указанных в статьях 3 и 4, осуществляется Банком исключительно для достижения целей, определенных письменными договорами между клиентом и Банком.

10.2. Передача персональных данных, указанных в статьях 3 и 4, третьим лицам осуществляется Банком только на основании соответствующего договора, существенным условием которого является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке. Данное положение не распространяется в случае обезличивания персональных данных и в отношении общедоступных персональных данных.

10.3. Передача персональных данных третьим лицам осуществляется с использованием внутренней сети, по каналам связи с использованием необходимых средств защиты и на бумажных носителях.

10.4. Банк осуществляет трансграничную передачу персональных данных, указанных в статьях 3 и 4, в том числе на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, только целях исполнения договора с клиентом, при наличии соответствующего письменного согласия субъекта персональных данных.

10.5. Передача персональных данных государственным органам осуществляется в рамках их полномочий в соответствии с применимым законодательством.

11. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

11.1. Персональные данные, указанные в статьях 3 и 4, могут храниться, как на бумажных носителях, так и в электронном виде.

11.2. Персональные данные, указанные в статьях 3 и 4, могут вноситься Банком или клиентами в следующие группы документов:

  • письменные договоры с клиентами;
  • расчётные (платёжные) документы клиентов;
  • заявления, распоряжения, иные письменные поручения клиентов;
  • письменные претензии клиентов по качеству предоставленных услуг;
  • письменные документы (судебные иски, возражения на иски, решения судебных инстанций и т.п.), связанные с ведением судебного делопроизводства по искам клиентов против Банка или Банка против клиента
  • корреспонденция с клиентами по прочим вопросам.

11.3. Персональные данные на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах, запирающихся на ключ.

11.3.1. Ключи от железных шкафов хранятся лично у менеджеров, допущенных к обработке персональных данных Частных Клиентов, представителей Корпоративных Клиентов–и/или у руководителя соответствующего подразделения Банка.

11.4. Персональные данные, указанные в статьях 3 и 4, также хранятся в электронном виде: во внутренней сети Банка, с доступом для работников, допущенных к обработке персональных данных Частных Клиентов, представителей Корпоративных Клиентов.

12. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ КЛИЕНТА

12.1. Право доступа к персональным данным Частных Клиентов Банка имеют:

  • Председатель Правления Банка, члены Правления;
  • менеджеры Банка, осуществляющие непосредственную работу с Частными Клиентами;
  • работники операционных подразделений Банка, в объеме, необходимом для исполнения их трудовых обязанностей;
  • работники, осуществляющие в Банке бухгалтерский учёт и участвующие в подготовке отчётности, согласно требованиям действующего законодательства, в объеме, необходимом для исполнения их трудовых обязанностей;
  • работники подразделений, осуществляющих внутренний контроль в Банке, в объеме, необходимом для исполнения их трудовых обязанностей;
  • другие сотрудники Банка при условии оформления временного допуска, согласно Приложению 1 за подписью руководителя подразделения Банка, осуществляющего непосредственную работу с Частными Клиентами.

12.2. Право доступа к персональным данным представителей Корпоративных Клиентов имеют:

  • Председатель Правления Банка, члены Правления;
  • менеджеры Банка, осуществляющие непосредственную работу с Корпоративными Клиентами;
  • работники операционных подразделений Банка, в объеме, необходимом для исполнения их трудовых обязанностей;
  • работники, осуществляющие в Банке бухгалтерский учёт и участвующие в подготовке отчётности, согласно требованиям действующего законодательства, в объеме, необходимом для исполнения их трудовых обязанностей;
  • работники подразделений, осуществляющих внутренний контроль в Банке, в объеме, необходимом для исполнения их трудовых обязанностей;
  • другие сотрудники Банка при условии оформления временного допуска, согласно Приложению 1 за подписью руководителя подразделения Банка, осуществляющего непосредственную работу с Корпоративными Клиентами.

12.3. Доступ субъекта персональных данных к своим персональным данным предоставляется при личном обращении либо при получении письменного запроса. Банк обязан сообщить субъекту персональных данных информацию о наличии персональных данных о нем, а также предоставить возможность ознакомления с ними в течение десяти рабочих дней с момента обращения.

12.4. При передаче персональных данных Банк должен соблюдать следующие требования:

  • не сообщать персональные данные, указанные в статьях 3 и 4, третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, установленных федеральным законом;
  • не сообщать персональные данные, указанные в статьях 3 и 4, в коммерческих целях без письменного согласия субъекта персональных данных;
  • предупредить лиц, получающих персональные данные, указанные в статьях 3 и 4, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • разрешать доступ к персональным данным, указанным в статьях 3 и 4, только специально уполномоченным лицам; эти лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.

13. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ЧАСТНЫХ КЛИЕНТОВ И ПРЕДСТАВИТЕЛЕЙ КОРПОРАТИВНЫХ КЛИЕНТОВ

13.1. Защите подлежит следующая информация о клиентах, если с неё на законном основании не снят режим конфиденциальности:

  • документы, содержащие персональные данные Частного Клиента или представителей Корпоративного Клиента;
  • информация, содержащая персональные данные Частного Клиента или представителей Корпоративного Клиента, размещенная на электронных носителях.

13.2. Банк обязан при обработке персональных данных Частных Клиентов и представителей Корпоративных Клиентов принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

13.3. Общую организацию защиты персональных данных Частных Клиентов и представителей Корпоративных Клиентов осуществляют руководители соответствующих подразделений, в которых осуществляется их обработка.

13.4. Защита персональных данных Частных Клиентов и представителей Корпоративных Клиентов, хранящихся в электронных базах данных Банка, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается работниками соответствующих подразделений Отдела информационных технологий при координации эксперта по информационной безопасности.

13.5. Доступ к персональным данным Частных Клиентов и представителей Корпоративных Клиентов имеют сотрудники Банка, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей.

13.6. Сотрудник Банка, имеющий доступ к персональным данным Частных Клиентов или представителей Корпоративных Клиентов в связи с исполнением трудовых обязанностей:

  • обеспечивает хранение информации, содержащей персональные данные Частных Клиентов или представителей Корпоративных Клиентов, исключающее доступ к ним третьих лиц;
  • в отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные Частных Клиентов или представителей Корпоративных Клиентов;
  • при уходе в отпуск, во время служебной командировки и иных случаях длительного отсутствия сотрудника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные Частных Клиентов или представителей Корпоративных Клиентов лицу, на которое локальным актом Банка (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей. В случае если такое лицо не назначено, указанные выше документы и иные носители, передаются другому сотруднику, имеющему доступ к персональным данным Частных Клиентов и представителей Корпоративных Клиентов.

13.6.1. При увольнении сотрудника, имеющего доступ к персональным данным Частных Клиентов или представителей Корпоративных Клиентов, документы и иные носители, содержащие персональные данные Клиентов, передаются другому сотруднику, имеющему доступ к персональным данным Частных Клиентов или представителей Корпоративных Клиентов.

13.7. Допуск к персональным данным Частных Клиентов или представителей Корпоративных Клиентов других сотрудников Банка, не имеющих надлежащим образом оформленного доступа, запрещается.

13.8. Документы, содержащие персональные данные Частных Клиентов или представителей Корпоративных Клиентов, хранятся в запирающихся шкафах, обеспечивающих защиту от несанкционированного доступа. В конце рабочего дня все документы, содержащие персональные данные Клиентов, помещаются в шкафы, обеспечивающие защиту от несанкционированного доступа.

13.9. Защита доступа к электронным базам данных, содержащим персональные данные Клиентов, обеспечивается:

  • использованием лицензированных антивирусных и иных программно-технических средств защиты периметра внутренней сети, не допускающих несанкционированный вход в локальную сеть Банка.
  • разграничением прав доступа с использованием учетной записи.
  • двух ступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.

13.10. Попытки несанкционированного входа в учётные записи (троекратный ввод неверного имени пользователя и/или пароля), в которых содержатся персональные данные, приводят к блокировке таких учётных записей.

13.11. Все электронные приложения, содержащие персональные данные, включая информационные системы персональных данных, папки и файлы, содержащие персональные данные, защищаются паролем.

13.12. Копировать и делать выписки персональных данных Частных Клиентов или представителей Корпоративных Клиентов разрешается исключительно в служебных целях с письменного разрешения руководителя соответствующего подразделения Банка, осуществляющего работу с клиентами.

В случае если копирование или выписка персональных данных делается работником подразделения, осуществляющего работу с клиентами, указанное в данном пункте разрешение не требуется, при условии, что скопированные данные / данные выписки не будут переданы лицам, не являющимися работниками этого подразделения.

13.13. Ответы на письменные запросы уполномоченных государственных органов, других организаций и учреждений о персональных данных Частных Клиентов, представителей Корпоративных Клиентов даются только с письменного согласия субъектов персональных данных, если иное не установлено законодательством. Ответы оформляются в письменном виде, на бланке Банка, и в том объеме, который позволяет не разглашать излишний объем персональных данных.

14. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ЧАСТНОГО КЛИЕНТА ИЛИ ПРЕДСТАВИТЕЛЕЙ КОРПОРАТИВНОГО КЛИЕНТА

14.1. Работники Банка, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

14.2. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных Частных Клиентов, представителей Корпоративных Клиентов Банк вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.

14.3. Банк возмещает субъекту персональных данных ущерб, причиненный неправомерным использованием Банком информации, содержащей персональные данные.

14.4. Неправомерный отказ в предоставлении собранных в установленном порядке документов, содержащих персональные данные Частных Клиентов или представителей Корпоративных Клиентов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации может повлечь наложение на должностных лиц Банка административного штрафа в размере, определяемом Кодексом об административных правонарушениях.