Персональные данные

КБ «Международный Банк Развития» (ЗАО) (далее – «Банк») в соответствии с действующим законодательством РФ является оператором персональных данных и в рамках выполнения своей основной деятельности осуществляет обработку персональных данных различных категорий субъектов персональных данных: работников, кандидатов на работу, клиентов Банка и их представителей, других субъектов персональных данных.

С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства Банк считает важнейшей задачей обеспечение легитимности обработки и безопасности персональных данных субъектов в бизнес-процессах Банка.

Обработка персональных данных Банком осуществляется в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов (законодательством РФ в области персональных данных).

При приведении процессов обработки в соответствие с требованиями законодательства РФ в области персональных данных Банк руководствуется Комплексом документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».

Обработка персональных данных в Банке основана на принципах:

законности целей и способов обработки;

соответствия заявленным целям обработки;

достоверности персональных данных, их актуальности и достаточности для целей обработки;

легитимности организационных и технических мер по обеспечению безопасности персональных данных;

постоянного повышения осведомленности и совершенствования профессиональных навыков работников Банка в сфере обеспечения безопасности персональных данных;

непрерывного совершенствования системы обеспечения информационной безопасности.

Цели обработки, состав и содержание персональных данных, а также категории субъектов персональных данных в Банке определены законодательством Российской Федерации, нормативными актами Банка России, Уставом и нормативными актами Банка, утверждаются во внутренних документах и доводятся до субъектов (их представителей) при получении персональных данных.

Банк не осуществляет автоматизированную обработку биометрических персональных данных и специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Банк принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных.

В ходе своей деятельности Банк может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Банк не размещает персональные данные субъекта в общедоступных источниках без его предварительного согласия.

При принятии решений, затрагивающих права и законные интересы субъектов персональных данных, Банк не вправе основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

Руководство Банка осознает необходимость и важность обеспечения безопасности персональных данных клиентов и работников, стремится к непрерывному совершенствованию системы защиты.

Обеспечение безопасности и конфиденциальности персональных данных в Банке достигается, в частности:

определением угроз безопасности персональных данных;

применением организационных и технических мер по обеспечению безопасности персональных данных, обеспечивающих установленные Правительством Российской Федерации уровни защищенности;

применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных;

учетом машинных носителей персональных данных;

обнаружением фактов несанкционированного доступа к персональным данным и принятием мер реагирования;

восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

установлением правил доступа, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными;

контролем принимаемых мер по обеспечению безопасности и уровней защищенности информационных систем персональных данных.

В Банке назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

Уполномоченным работникам Банка при исполнении должностных обязанностей и для конкретных функций может предоставляться доступ к обрабатываемым персональным данным. В связи с установленными требованиями по защите информации, от работников требуется соблюдение мер защиты от случайного или несанкционированного уничтожения, утраты, несанкционированного доступа, изменения или распространения персональных данных.

Каждый новый работник Банка, задействованный в процессах обработки персональных данных, знакомится с требованиями законодательства Российской Федерации, настоящей Политикой и другими внутренними документами Банка, регламентирующими вопросы обработки и обеспечения безопасности персональных данных, дает обязательство об их соблюдении.

Субъект персональных данных имеет право на получение информации от Банка, подтверждающей факт обработки, правовые основания, цели, способы, сроки обработки персональных данных, а также иные сведения, предусмотренные федеральными законами.

Субъект персональных данных вправе требовать от Банка уточнения, блокирования или уничтожения своих данных в случае, если таковые являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Обработка персональных данных без использования средств автоматизации осуществляется в виде документов на бумажных носителях и в электронном виде (файлы, базы данных) на электронных носителях информации, регламентируется законодательством РФ и контролируется руководителями структурных подразделений Банка.

В рамках функционирования международных межбанковских систем передачи информации и совершения платежей, в автоматизированных банковских системах, реализующих банковские платежные технологические процессы, может осуществляться трансграничная передача персональных данных на территории иностранных государств после того, как Банк убедится, что иностранным государством обеспечивается адекватная защита прав субъектов персональных данных.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

За нарушение требований к порядку обработки и защиты персональных данных, установленных законодательством РФ и внутренними документами Банка, работники несут ответственность в соответствии с законодательством РФ:

дисциплинарную, вплоть до расторжения трудового договора (ст. 81, 192 ТК РФ);

административную (ст. 5.39, 13.11, 13.14 КоАП РФ);

уголовную, при наличии состава преступления (ст. 137, 272 УК РФ).

Настоящая Политика утверждается Правлением Банка и вводится в действие Приказом Председателя Правления Банка. В случае если вышеуказанные требования вступают в противоречие с законодательством Российской Федерации, применяются нормы, установленные законодательством, а Политика подлежит пересмотру.

Версия для печати