|
Раздел 1. Общие положения
Данный документ определяет подход АКБ «Банк Китая (ЭЛОС)» (далее – Банк) в отношении обработки персональных данных, а так же содержит сведения о реализуемых требованиях к защите персональных данных и утвержден во исполнение ФЗ-152 «О персональных данных».
Раздел 2. Определения
персональные данные (ПДн)- любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных (ИСПДн) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Раздел 3. Перечень обрабатываемых персональных данных в Банке
К персональным данным относятся следующие данные (перечень не является исчерпывающим):
§ Фамилия, имя, отчество (в т.ч. прежние), дата и место рождения.
§ Данные миграционной карты (тип, серия, номер документа), документа дающего право прибывать (проживать) на территории РФ
§ Паспортные данные или данные иного документа,удостоверяющего личность (серия,номер,дата выдачи,наименование органа,выдавшего документ) и гражданство.
§ Адрес места жительства (по паспорту и фактический) и дата регистрации по месту жительства или по месту пребывания.
§ Номера телефонов (мобильного и домашнего), в случае их регистрации на субъекта персональных данных или по адресу его места жительства (по паспорту).
§ Сведения об образовании, квалификации и о наличии специальных знаний или специальной подготовки (серия, номер, дата выдачи диплома, свидетельства, аттестата или другого документа об окончании образовательного учреждения, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, факультет или отделение, квалификация и специальность по окончании образовательного учреждения, ученая степень, ученое звание, владение иностранными языками и другие сведения).
§ Сведения о повышении квалификации и переподготовке (серия, номер, дата выдачи документа о повышении квалификации или о переподготовке, наименование и местоположение образовательного учреждения, дата начала и завершения обучения, квалификация и специальность по окончании образовательного учреждения и другие сведения).
§ Сведения о трудовой деятельности (данные о трудовой занятости на текущее время с полным указанием должности, подразделения, наименования, адреса и телефона организации, а также реквизитов других организаций, с полным наименованием занимаемых ранее в них должностей и времени работы в этих организациях, а также другие сведения).
§ Сведения о номере, серии и дате выдачи трудовой книжки (вкладыша в нее) и записях в ней.
§ Содержание и реквизиты трудового договора с работником Банка или гражданско-правового договора с гражданином.
§ Сведения о заработной плате (номера счетов для расчета с работниками, данные зарплатных договоров с клиентами, в том числе номера их спецкартсчетов, данные по окладу, надбавкам, налогам и другие сведения).
§ Сведения о воинском учете военнообязанных лиц и лиц, подлежащих призыву на военную службу (серия, номер, дата выдачи, наименование органа, выдавшего военный билет, военно-учетная специальность, воинское звание, данные о принятии/снятии на(с) учет(а) и другие сведения).
§ Сведения о семейном положении (состояние в браке, данные свидетельства о заключении брака, фамилия, имя, отчество супруга(и), паспортные данные супруга(и), данные брачного контракта, данные справки по форме 2НДФЛ супруга(и), данные документов по долговым обязательствам, степень родства, фамилии, имена, отчества и даты рождения других членов семьи, иждивенцев и другие сведения).
§ Сведения об имуществе (имущественном положении)
§ Сведения о номере и серии страхового свидетельства государственного пенсионного страхования.
§ Сведения об идентификационном номере налогоплательщика.
§ Сведения из страховых полисов обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования).
§ Сведения, указанные в оригиналах и копиях приказов по личному составу Банка и материалах к ним.
§ Сведения о государственных и ведомственных наградах, почетных и специальных званиях, поощрениях (в том числе наименование или название награды, звания или поощрения, дата и вид нормативного акта о награждении или дата поощрения) работников Банка.
§ Материалы по аттестации и оценке работников Банка.
§ Материалы по внутренним служебным расследованиям в отношении работников Банка.
§ Внутрибанковские материалы по расследованию и учету несчастных случаев на производстве и профессиональным заболеваниям в соответствии с Трудовым кодексом Российской Федерации, другими федеральными законами.
§ Сведения о временной нетрудоспособности работников Банка.
§ Табельный номер работника Банка.
§ Сведения о социальных льготах и о социальном статусе (серия, номер, дата выдачи, наименование органа, выдавшего документ, являющийся основанием для предоставления льгот и статуса, и другие сведения).
Раздел 4. Основные принципы обработки персональных данных.
Основными принципами обработки ПДн в Банке являются:
-
законность целей и способов обработки ПДн и добросовестность Банка, как оператора, что достигается путем установления требований к обработке ПДн и неукоснительного их соблюдения;
-
соответствие целей обработки ПДн целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Банка;
-
соответствие объема и характера обрабатываемых ПДн, способов обработки ПДн целям обработки ПДн;
-
достоверность ПДн, их достаточность для целей обработки, недопустимость обработки ПДн, избыточных по отношению к целям, заявленным при сборе ПДн;
-
недопустимость объединения созданных для несовместимых между собой целей баз данных ИСПДн;
-
хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели их обработки, и уничтожение ПДн по достижении целей обработки или в случае утраты необходимости в их достижении.
Раздел 5. Цели и правовое обоснование обработки персональных данных.
§ Осуществление возложенных на Банк законодательством Российской Федерации функций в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в частности: "О банках и банковской деятельности", "О кредитных историях", "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", "О валютном регулировании и валютном контроле", "О рынке ценных бумаг","О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации", "О несостоятельности (банкротстве) кредитных организаций", "О страховании вкладов физических лиц в банках Российской Федерации", "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", "О персональных данных", нормативными актами Банка России, а также Уставом и внутренними нормативными документами Банка;
§ Организация учета работников Банка для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия работнику в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования", "О персональных данных", а также Уставом и внутренними нормативными документами Банка.
Раздел 6. Сроки обработки персональных данных.
Хранение персональных данных осуществляется в соответствии с согласием субъектов персональных данных и в течение срока, указанного в согласии с учетом требований законодательства.
Раздел 7. Обработка персональных данных.
7.1. Доступ к персональным данным субъекта могут получить работники Банка, только в рамках исполнения своих должностных обязанностей. Доступ иных лиц к персональным данным, обрабатываемым Банком, может быть предоставлен исключительно в предусмотренных законом случаях. Процедура оформления доступа к персональным данным включает в себя ознакомление сотрудника (с подтверждением подписью) с внутренними документами Банка по вопросам обработки персональных данных.
7.2 В банке осуществляется автоматизированная и неавтоматизированная обработка персональных данных.
7.3. Документы на бумажных носителях, содержащие персональные данные субъектов, хранятся в личных делах и досье (каждого субъекта отдельно). Личные дела хранятся в бумажном виде в папках и размещаются в сейфах или металлических шкафах. Досье хранятся в архивных коробах и размещаются на стеллажах.
7.4. Персональные данные субъектов также хранятся и обрабатываются в электронном виде в информационных системах Банка. Ограничение доступа к информационным системам, содержащим персональные данные субъектов (далее – ИСПДн), обеспечивает Система защиты персональных данных Банка - совокупность организационные мер и технических средств защиты информации, а также используемых в информационной системе информационных технологий, в рамках которых реализуются организационные и технических мероприятия, обеспечивающие безопасность персональных данных.
7.5. Хранение и обработка персональных данных осуществляется в порядке, исключающем несанкционированный доступ к персональным данным, в том числе третьих лиц.Передача персональных данных третьим лицам и трансграничная передача возможна только с согласия субъекта в письменной форме или без его согласия в случаях, предусмотренных законодательством РФ.
Раздел 8. Обеспечение безопасности персональных данных.
8.1. Защита персональных данных, обрабатываемых в ИСПДн Банка, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается Системой защиты персональных данных Банка, также включающей в себя, помимо прочего, спектр программных и аппаратных средств защиты информации, с учетом требований Федерального закона № 152-ФЗ «О персональных данных».
8.2. Защита персональных данных, обрабатываемых без использования ИСПДн, осуществляется с учетом требований Федерального закона № 152-ФЗ «О персональных данных» и Постановления Правительства РФ № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
Раздел 9. Права субъекта персональных данных.
В целях обеспечения защиты персональных данных, хранящихся у Банка, субъект имеет право:
§ получить доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ;
§ требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства РФ;
§ дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;
§ требовать от Банка об извещении всех лиц, которым ранее Банком были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях и дополнениях;
§ отозвать согласие на обработку персональных данных;
§ обжаловать в суде любые неправомерных действия или бездействия Банка при обработке и защите его персональных данных.
Раздел 10. Ответственность за нарушение требований обработки и защиты персональных данных субъекта.
Работники Банка, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, персонально несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
|
