Банк «Йошкар-Ола» (публичное акционерное общество) | УТВЕРЖДЕНА Правлением Банка «Йошкар-Ола» (ПАО) (протокол от 11.04.2025 № 04/1104-01) |
Политика Банка «Йошкар-Ола» (ПАО) в отношении обработки персональных данных
Политика в отношении обработки персональных данных в Банке «Йошкар-Ола» (ПАО) (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) в целях реализации Банком «Йошкар-Ола» (ПАО) (далее – Банк, Оператор) положений законодательства РФ, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных, и направлена на обеспечение защиты прав и свобод человека и гражданина (Субъекта персональных данных) при организации и/или осуществлении обработки его персональных данных Банком, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящей Политикой устанавливаются цели и задачи, основные принципы, правила и правовые основания обработки персональных данных сотрудников, клиентов, пользователей и иных лиц, поименованных в настоящей Политике Банка, а также определяются основные меры по обеспечению безопасности при обработке и хранении персональных данных.В Политике используются следующие основные понятия:
Персональные данные (далее – ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ.
Оператор ПДн – Банк «Йошкар-Ола» (публичное акционерное общество), Банк «Йошкар-Ола» (ПАО), ИНН 1215059221, ОГРН 1021200004748, базовая лицензия от 27.09.2018 № 2802, адрес регистрации и местонахождения: 424006, Республика Марий Эл, г. Йошкар-Ола, ул. Панфилова, д. 39г, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку ПДн, а также определяющий цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн.
Сотрудник – физическое лицо, состоящее с Банком в трудовых отношениях на основании заключенного трудового договора.
Бывший сотрудник – физическое лицо, ранее состоявшее с Банком в трудовых отношениях на основании заключенного трудового договора.
Родственник – близкие родственники: супруг, супруга, родители, дети, усыновители, усыновленные, родные братья и родные сестры (полнородные и не полнородные (имеющие общих отца и мать) братья и сестры), дедушка, бабушка, внуки.
Соискатель – физическое лицо, претендующее на вакантные должности Банка.
Клиент:
- физическое лицо;
- юридическое лицо;
- физическое лицо, осуществляющее предпринимательскую деятельность без образования юридического лица (индивидуальный предприниматель);
- физическое лицо, занимающееся частной практикой в порядке, установленном законодательством РФ;
- физическое лицо, применяющее специальный налоговый режим (самозанятый), заключившее договор, на основании и во исполнение которого Банк предоставляет Клиенту продукты и/или сервисы, и/или услуги.
Потенциальный клиент:
- физическое лицо, которое обратилось за продуктами и/или сервисами, и/или услугами Банка, в том числе за консультацией относительно условий договора, преимуществ продуктов и/или сервисов, и/или услуг, и/или заинтересовано в получении/приобретении указанных продуктов, сервисов, услуг, но еще не заключило договор, на основании которого может получить указанные продукты и/или сервисы, и/или услуги;
- физическое лицо, которое обратилось в Банк в рамках процессов урегулирования проблемной и/или просроченной задолженности.
Потребитель финансовых услуг:
- физическое лицо, являющееся стороной договора, либо лицом, в пользу которого заключен договор, либо лицом, которому оказывается финансовая услуга в целях, не связанных с осуществлением предпринимательской деятельности;
- физическое лицо, обращающееся в Банк с заявлением, обращением, предложением, жалобой и/или с целью получения иного разъяснения о деятельности Банка и предоставляемых им услугах/продуктах/сервисах;
- физическое лицо, использующее интернет-сайт, мессенджеры и системы дистанционного банковского обслуживания (далее – ДБО) Банка.
Представитель:
- законный представитель недееспособного, ограниченно дееспособного или не обладающего дееспособностью в полном объеме субъекта персональных данных (родители, усыновители, опекуны, попечители или иные лица, которые признаются представителями указанных субъектов персональных данных в соответствии с законодательством РФ);
- представитель субъекта персональных данных, действующий на основании доверенности;
- представитель в соответствии с требованиями применимых нормативных правовых актов РФ (адвокат, арбитражный управляющий и пр.);
- работник Клиента (юридического лица, индивидуального предпринимателя, лица, занимающегося частной практикой), третьего лица;
- физическое лицо, являющееся членом органа управления (в том числе единоличного органа управления) Клиента (юридического лица), третьего лица (юридического лица).
Третье лицо:
- юридическое лицо;
- индивидуальный предприниматель;
- физическое лицо, применяющее специальный налоговый режим (самозанятый);
- физическое лицо, занимающееся частной практикой (нотариус, адвокат и прочие физические лица, которые в соответствии с применимым законодательством РФ являются лицами, занимающимися частной практикой), вступившее с Банком в договорные отношения, не связанные с предоставлением Банком продуктов, сервисов, услуг, и/или взаимодействующие по вопросам сотрудничества, не связанного с предоставлением Банком продуктов, сервисов, услуг.
Участник процедур корпоративного управления:
- член органа управления Банка, в том числе член совета директоров, член исполнительного органа, единоличный исполнительный орган;
- акционер;
- физическое лицо, являющееся кандидатом на назначение (избрание) в состав органов управления Банка;
- член ревизионной комиссии;
- связанное с Банком лицо, определяемое в соответствии с законодательством РФ.
Выгодоприобретатель – лицо, к выгоде которого действует Клиент, в том числе на основании агентского договора, договоров поручения, комиссии и доверительного управления, при проведении операций с денежными средствами и иным имуществом.
Бенефициарный владелец – физическое лицо, которое в конечном счете прямо или косвенно (через третьих лиц) владеет (имеет преобладающее участие более 25 процентов в капитале) Клиентом - юридическим лицом либо имеет возможность контролировать действия Клиента. Бенефициарным владельцем клиента - физического лица считается это лицо, за исключением случаев, если имеются основания полагать, что бенефициарным владельцем является иное физическое лицо.
Информационная система персональных данных (далее – ИСПДн) – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий, и технических средств.
Материальный носитель – бумажный или машинный носитель информации, предназначенный для фиксирования, передачи и хранения персональных данных.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах.
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы ПДн или использующее результаты ее функционирования.
Правила разграничения доступа к информационным системам персональных данных – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Угроза безопасности информации – совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Конфиденциальность персональных данных – операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Несанкционированный доступ (несанкционированные действия) к информационным системам персональных данных – доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами ПДн.
Защита информации – комплекс организационно-технических мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к данным, при этом предусматривается:
- разграничение полномочий доступа к данным;
- авторизация, контроль и учет действий с данными (регистрация событий);
- контроль копирования, печати, обмена данными по каналам связи;
- межсетевое экранирование и защита от вирусов;
- учет внешних носителей данных;
- резервное копирование / восстановление данных;
- раздельное хранение носителей данных с резервными копиями;
- контроль доступа в помещения и к компьютерам;
- применение устройств идентификации пользователей для доступа.
Ресурс ПДн – совокупность ПДн, обрабатываемых в организации банковской системы РФ (далее – БС РФ) с использованием или без использования средств автоматизации и автоматизированной банковской системы (далее – АБС), в том числе ИСПДн, объединенных общими целями обработки.
Сервис – официальные сайты Банка в сети Интернет (www.olabank.ru, www.olaclub.ru), системы ДБО (www.sprint.olabank.ru, https://lk.olabank.ru/), Приложение Банка (программное обеспечение (мобильное приложение) для Устройства, исключительное право на которое принадлежит Банку), страница в социальной сети (https://vk.com/olabank?from=groups), страница в кроссплатформенном мессенджере (https://t.me/olabank12).
Устройство – мобильное техническое устройство (смартфон, планшет или другое устройство), имеющее доступ к сети Интернет, на котором установлено Приложение Банка.
Пользователь – физическое лицо, установившее Приложение Банка на Устройство, пользователь сети Интернет, использующий Сервисы в собственных целях, а также иное физическое или юридическое лицо, в интересах которого действует этот пользователь. К Пользователям Сервисов могут относиться:
- клиент;
- потенциальный клиент;
- потребитель финансовых услуг;
- представитель;
- бенефициарный владелец;
- выгодоприобретатель;
- третье лицо;
- участник процедур корпоративного управления;
- посетитель Сервисов, физическое лицо, посетитель/пользователь Сервисов Банка, в том числе физическое лицо, изъявившее желание направить в Банк запрос через форму обратной связи в Сервисе Банка.
Партнер – юридическое лицо или индивидуальный предприниматель, привлекаемые к информационно-технологическому взаимодействию с Банком.
2. ЦЕЛИ И ЗАДАЧИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Целью обработки сведений, содержащих ПДн, является исполнение Банком требований законодательства РФ и нормативных актов Банка России, оказание банковских услуг и осуществление уставной деятельности, ведение кадрового и бухгалтерского учета сотрудников, подбор персонала, рассмотрение заявлений, обращений, жалоб, предложений физических лиц, обеспечение пропускного режима. Перечень целей обработки персональных данных в Банке, состава персональных данных и их категорий, а также категорий субъектов персональных данных предусмотрен приложением № 1 к настоящей Политике.Задачей обеспечения безопасности информации в ИСПДн является защита интересов субъектов ПДн, что достигается посредством постоянного поддержания следующих свойств информации в процессе ее обработки, хранения и передачи:
- целостность информации;
- доступность обрабатываемой информации для зарегистрированных пользователей;
- конфиденциальность информации.
3. ПРИНЦИПЫ ОРГАНИЗАЦИИ И ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Банк обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ. В целях соблюдения требований ч.1 ст.22 Федерального закона № 152-ФЗ Банк осуществляет уведомление уполномоченного органа по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн путем своевременного направления указанного уведомления, за исключением случаев, предусмотренных ч.2 ст.22 Федерального закона № 152-ФЗ.3.1. Под обработкой ПДн понимается получение, хранение, комбинирование, передача или любое другое использование.
Разделяют два вида информации с ПДн: на бумажных носителях и в электронном виде. Обработка ПДн осуществляется смешанным путем:
- неавтоматизированный способ (личные дела, трудовые книжки, другие документы, имеющиеся в Банке, в которых содержатся ПДн);
- автоматизированный способ с использованием средств вычислительной техники, с возможностью дальнейшей передачи ПДн по сети Интернет.
Исходя из указанного, при обработке ПДн применяют различные способы обработки и защиты ПДн.
При неавтоматизированном способе обработки ПДн в качестве мер защиты применяют:
- ограничение доступа лиц в помещение, где обрабатываются ПДн;
- металлические шкафы (сейфы);
- охранно-пожарную сигнализацию.
При автоматизированном способе в качестве мер защиты используются:
- парольный доступ в ИСПДн;
- средства криптографической защиты информации, в том числе при передаче ПДн по компьютерным сетям;
- антивирусная защита.
3.2. В целях обеспечения прав субъектов ПДн при их обработке должны соблюдаться следующие требования:
3.2.1. Обработка ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
3.2.2. При определении объема и содержания обрабатываемых ПДн оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Банка (при их наличии).
3.2.3. Получение ПДн может осуществляться как путем представления их самим субъектом ПДн, так и путем получения из иных источников.
3.3. Доступ к обработке, передаче и хранению ПДн сотрудника в зависимости от способа обработки и вида ИСПДн могут иметь различные подразделения оператора. Список лиц, имеющих доступ к ПДн, определяется правами доступа к соответствующей ИСПДн.
3.4. Использование ПДн возможно только в соответствии с целями, определившими их получение.
3.5. Передача ПДн сотрудника возможна только с согласия сотрудника или в случаях, предусмотренных законодательством РФ.
3.6. Все меры конфиденциальности при сборе, обработке и хранении ПДн субъектов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.7. Не допускается отвечать на запросы, связанные с передачей персональной информации по телефону.
3.8. Хранение ПДн должно происходить в порядке, исключающем их утрату или неправомерное использование.
3.9. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
4. Принципы и правила обработки персональных данных
4.1. Субъектами ПДн являются сотрудники (бывшие сотрудники), их родственники, соискатели, клиенты, в том числе потенциальные клиенты, потребитель финансовых услуг, представители, третьи лица, участники процедур корпоративного управления, выгодоприобретатели, бенефициарные владельца. Перечень субъектов ПДн представлен в главе 1 настоящей Политике.4.2. Обработка ПДн в Банке осуществляется с соблюдением следующих принципов и правил:
1) обработка осуществляется на законной и справедливой основе;
2) обработка ограничивается достижением конкретных, заранее определенных и законных целей;
3) обработке подлежат ПДн, отвечающие целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки;
4) не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
5) при обработке обеспечиваются точность и достаточность ПДн и, при необходимости, актуальность по отношению к целям обработки с принятием мер по удалению или уточнению неполных, или неточных данных, либо обеспечением принятия таких мер;
6) хранение ПДн осуществляется в форме, позволяющей определить субъект ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому, является субъект ПДн;
7) обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
4.3. При обработке ПДн Банк обеспечивает:
- конфиденциальность (сохранения в тайне) и безопасность информации в соответствии с требованиями российского законодательства;
- достоверность (полноты, точности, адекватности, целостности) информации;
- защиту от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);
- своевременный доступ (за приемлемое для них время) к необходимой им информации;
- разграничение ответственности за нарушения законных прав (интересов) других субъектов ПДн и установленных правил обращения с информацией;
- возможность осуществления непрерывного контроля и управления процессами обработки и передачи информации;
- защиту информации от незаконного ее тиражирования (защиты ПДн, защиты авторских прав, прав собственника информации).
5. Принципы и правила обработки персональных данных в сервисах
5.1. Для обеспечения свободного и необременительного доступа неограниченному кругу лиц к публикуемой информации рекламного характера, сведений, характеризующих Банк и его деятельность, его продуктах и услугах, а также иных сведений, Банком размещается такая информация в своих Сервисах.5.2. Сервисы Банка могут собирать данные, которые Банк может получить в связи с использованием Пользователем Сервисов, в том числе ПДн Пользователя и иных пользовательских данных (далее – Данные).
5.3. Настоящая Политика применяется также и к Сервисам. Банк не контролирует и не несет ответственность за сервисы третьих лиц, на которые Пользователь может перейти по ссылкам, доступным из Сервисов, в том числе за обрабатываемую третьими лицами информацию о Пользователе.
При использовании Сервисов Пользователь соглашается с условиями настоящей Политики. В случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервисов.
5.4. Состав Данных о Пользователе, получаемых посредством Сервисов:
- данные, которые Пользователь предоставляет Банку самостоятельно или через третьих лиц при регистрации и в процессе использования Сервисов;
- данные, которые могут быть получены Банком в результате действий Пользователя при использовании Сервисов.
При необходимом и достаточном объеме Данных о Пользователе в соответствии с действующим законодательством Российской Федерации, в том числе Федеральным законом № 152-ФЗ, Данные могут быть отнесены к ПДн. В таком случае Данные о Пользователе обрабатываются в Банке как ПДн на условиях настоящей Политики и внутренних нормативных документов Банка по вопросам ПДн.
Банк исходит из того, что Пользователь предоставляет достоверные и достаточные Данные и поддерживает эти Данные в актуальном состоянии. Последствия предоставления недостоверных или недостаточных Данных определены в соглашениях, заключаемых между Банком и Пользователем.
По основаниям и в порядке, предусмотренным действующим законодательством Российской Федерации, в том числе в соответствии с Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – Федеральный закон № 115-ФЗ) и применимыми соглашениями Банка с Пользователем, Банк проверяет достоверность персональных Данных, предоставляемых Пользователем.
Данные о Пользователе, которую обрабатывает Банк, представлены в приложении № 1. В случае, если Пользователь в процессе использования Сервисов предоставляет данные третьих лиц, Пользователь гарантирует Банку наличие согласия третьего лица на обработку Банком данных в соответствии с условиями настоящей Политики.
5.5. Принципы обработки информации в Сервисах.
Обработка информации в Банке осуществляется на следующих принципах:
- обработка информации на законной и справедливой основе;
- обработка информации ограничивается заранее определенными и законными целями, не допускается обработка информации, несовместимая с целями сбора информации;
- не допускается объединение баз данных, содержащих информацию, обработка которых осуществляется в целях, несовместимых между собой;
- обработка исключительно той информации, которая отвечает целям обработки;
- содержание и объем информации должны соответствовать заявленным целям обработки, не допускается избыточность информации по отношению к заявленным целям обработки;
- обеспечение точности информации, достаточности и в необходимых случаях актуальности по отношению к целям обработки;
- хранение информации в форме, позволяющей определить Пользователя не дольше, чем этого требуют цели их обработки, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем по которому является Пользователь;
- уничтожение информации, по достижении целей их обработки, если иное не предусмотрено законодательством Российской Федерации.
5.6. Сбор и получение Данных в Сервисах.
Сбор ПДн и иной пользовательской информации осуществляется в Сервисах при регистрации и/или авторизации Пользователя путем заполнения регистрационной формы или иными доступными способами, в том числе с использованием инструментария Сервисов, oAuth-провайдеров (например: регистрационные данные в системах ДБО Банка, VK ID, регистрационные данные в мессенджерах и т.п.) или иного сервиса, а также в дальнейшем при редактировании и дополнении Пользователем ранее предоставленной информации в рамках заключенного соглашения между Пользователем и Банка.
Информация, получаемая в Банке с использованием сторонних oAuth-провайдеров, передается в Банк с согласия Пользователя, предоставляемого в форме конклюдентного действия в виде нажатия на специальную кнопку (например: «Продолжить», «Согласен», «Вход», «Войти» и т.п.), появляющейся в отдельной форме при авторизации в Сервисе как с использованием собственных сервисов, так и стороннего сервиса. Тем самым Пользователь подтверждает свое согласие и ознакомление со сведениями о получаемой Банком информации, условиями передачи, настоящей Политики и политике конфиденциальности стороннего сервиса, в том числе согласие с:
- Политикой конфиденциальности социальной сети VK, размещенной по адресу: https://id.vk.com/privacy;
- Политикой конфиденциальности Telegram, размещенной по адресу: https://telegram.org/privacy.
Данные о Пользователе могут быть получены от Партнера Банка в случае привлечения его к информационно-технологическому взаимодействию между Банком и Пользователем. На условиях договора между Пользователем и Партнером, Пользователь поручает Партнеру от своего имени совершать действия с использованием Сервисов, в том числе передачу Данных о Пользователе в целях исполнения договорных обязательств (в том числе проведение регистрации, идентификации и иных действий).
В данном случае условия передачи информации определяются договором между Пользователем и Партнером.
Сбор иных пользовательских данных осуществляется Банком самостоятельно в процессе использования Пользователем Сервисов, в том числе с помощью установленного на устройстве Пользователя программного обеспечения. В ряде случаев сбор иных пользовательских данных Пользователя начинается с момента получения Пользователем доступа к Сервису (например, при загрузке интернет-страницы, регистрации в системах ДБО и пр.). Данная информация, собирается Банком с согласия Пользователя, предоставляемого в форме конклюдентного действия при первом запуске и/или использовании Пользователем Сервисов (в частности, при нажатии соответствующей кнопки при первом запуске и/или использовании Сервисов).
5.7. Обработка cookie. Использование метрических программ.
Cookie представляют собой небольшие фрагменты данных, которые Сервисы запрашивают у браузера, используемого на устройстве Пользователя. Хранятся cookie локально на устройстве Пользователя. Банк обрабатывает cookie, собранные в процессе посещения и использования Пользователем Сервисов.
Файлы cookie, используемые Сервисами, можно разделить на следующие категории:
- строго необходимые файлы cookie, файлы cookie необходимы для корректной работы Сервиса, которые позволяют идентифицировать аппаратное и программное обеспечение, включая тип браузера;
- статистические или аналитические файлы cookie, файлы cookie позволяющие распознавать Пользователей, подсчитывать их количество и собирать информацию, такую как произведенные операции в Сервисах включая информацию о посещенных веб-страницах и контенте, которые получают Пользователи;
- технические файлы cookie, файлы cookie, которые собирают информацию о том, как Пользователи взаимодействуют с Сервисами и позволяют выявлять ошибки, тестировать новые функции для повышения производительности Сервисов;
- функциональные файлы cookie, файлы cookie, которые позволяют предоставлять определенные функции, чтобы облегчить использование Пользователем Сервиса;
- сторонние файлы отслеживания/рекламные файлы cookie, файлы cookie, которые собирают информацию о Пользователях, источниках трафика, посещенных страницах и рекламе, отображенной для Пользователе, а также той, по которой Пользователь переходит на рекламируемую страницу. Они позволяют отображать рекламу, которая может заинтересовать Пользователей, на основе анализа информации, предоставленной о Пользователе.
Сервисы используют файлы cookie c целью обеспечения полноценного функционирования Сервисов, в том числе, улучшения функционала, производительности и эффективности Сервисов, аналитики использования Сервисов.
В вышеуказанных целях Данные об использовании Сервисов, собранные в том числе с помощью файлов cookie, может быть передана сервису веб-аналитики Яндекс.Метрика. Пользователь может дополнительно ознакомиться с условиями использования и политикой конфиденциальности сервиса Яндекс.Метрика в сети Интернет по адресам: https://yandex.ru/legal/metrica_termsofuse, https://yandex.ru/support/metrika/code/data-collected.html.
Пользователь может ограничить обработку Данных сервисом веб-аналитики в процессе использования Сервисов, загрузив и установив плагин для браузера, доступный в сети Интернет по адресу: https://yandex.ru/support/metrica/general/opt-out.html.
Пользователь может отказаться от обработки cookie в настройках своего браузера. В таком случае Сервис будет использовать только строго необходимые файлы cookie.
5.8. Обработка и Передача Данных в Сервисах.
Данные о Пользователе не передаются третьим лицам, за исключением случаев, прямо предусмотренных соглашением с Пользователем или законодательством Российской Федерации. К таким случаям могут относиться:
1) передача Данных необходимой для исполнения требований законодательства, для осуществления и выполнения возложенных законодательством на Банк функций, полномочий и обязанностей, например:
- передача информации в государственные или контролирующие органы, такие как налоговые органы (о предоставлении электронных средств платежа, открытии счетов), органы принудительного исполнения судебных актов, Банк России и другие уполномоченные органы;
- предоставление информации о платежах в государственные информационные системы;
- передача информации в целях проведения идентификации Пользователя в рамках выполнения требований Федерального закона № 115-ФЗ.
2) передача Информации в целях исполнения договорных отношений между Банком и Пользователем, предусматривающего подобное предоставление Данных, либо с согласия Пользователя, при этом обязательным условием предоставления Данных третьему лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности Данных, например:
- передача ПДн в кредитные и иные организации, участвующие в осуществлении переводов и иных связанных процессах, в том числе, в рамках функционирования сервиса быстрых платежей платежной системы Банка России (далее – СБП) информации о Пользователе передается АО «НСПК», участникам СБП, а также плательщикам (получателям) по операциям, совершаемым с использованием СБП. В целях соблюдения должного уровня безопасности онлайн-платежей, совершаемых с использованием банковских карт, Банк может передавать сведения, перечень которых устанавливается протоколами безопасности платёжных систем, банками-эквайерами, банками-эмитентами, платёжными системами;
- при привлечении Пользователем Партнера к информационно – технологическому взаимодействию с Банком, Данные о Пользователе могут предоставляться Партнеру в объеме и в целях, необходимых для надлежащего предоставления Сервисов Пользователю в рамках заключенного договора между Пользователем и Партнером.
5.9. Способы обработки Данных, полученных посредством Сервисов.
В Банке осуществляется смешанная обработка Данных, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение.
Обработка Данных осуществляется с соблюдением требований конфиденциальности, предусмотренных Федеральным законом № 152-ФЗ.
5.10. Хранение Данных, полученных посредством Сервисов.
При хранении Данных о Пользователях Банк использует базы данных, находящиеся на территории Российской Федерации.
Хранение осуществляется преимущественно на электронных материальных носителях, а обработка с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка Данных о Пользователе необходима в связи с исполнением требований законодательства Российской Федерации.
При хранении материальных носителей информации соблюдаются условия, обеспечивающие сохранность информации и исключающие несанкционированный к ним доступ.
Хранение Данных о Пользователе осуществляется в течение срока действия соглашения между Пользователем и Банком, а после прекращения действия такого соглашения – в течение необходимого и установленного действующим законодательством Российской Федерации срока.
5.11. Срок обработки и порядок уничтожения Данных, полученных посредством Сервисов.
Обработка Данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного законом, договором, или согласием Пользователя на обработку его данных.
При достижении целей обработки и отсутствии законных оснований для продолжения обработки ПДн Банк прекращает обработку Данных одним из способов, предусмотренных Федеральным законом № 115-ФЗ.
Уничтожение ПДн, содержащихся на материальных носителях, в том числе бумажных, осуществляется путем измельчения в бумагорезательной машине (шредирование) или путем физического уничтожения (разрушение, деформирование, сжигание) носителей информации. Уничтожение ПДн в ИСПДн проводится средствами встроенных функций информационных систем персональных данных или стирания файлов с использованием программ (устройств) гарантированного уничтожения информации.
5.12. Права и обязанности Пользователя и Банка при использовании Сервисов.
Пользователь вправе:
- получать от Банка информацию, касающуюся обработки Данных о Пользователе в порядке, установленном Федеральным законом № 152-ФЗ;
- требовать от Банка уточнения Данных, ее блокирования или уничтожения в случае, если такая информация является неполной, устаревшей, недостоверной, необоснованно полученной или не является необходимой для заявленной цели обработки;
- обратиться в Банк с отзывом согласия на обработку ПДн или с требованием о прекращении обработки ПДн в порядке, установленном Федеральным законом № 152-ФЗ;
- принимать предусмотренные законом меры по защите своих прав и законных интересов.
Пользователь обязан:
- предоставлять Банку полную и достоверную информацию о себе, необходимую для цели обработки;
- сообщать Банку об уточнении (обновлении, изменении) информации.
Банк вправе:
- ограничивать право Пользователя на доступ к Данным или отказывать в предоставлении Данных в случаях, предусмотренных законодательством;
- обрабатывать Данные без согласия Пользователя в случаях, предусмотренных законодательством.
Банк обязан:
- обрабатывать Данные в порядке, установленном Федеральным законом № 152-ФЗ, иными нормативными правовыми актами, внутренними нормативными документами исключительно в обозначенных целях;
- соблюдать конфиденциальность Данных, не раскрывать третьим лицам и не распространять Данные без согласия Пользователя, если иное не предусмотрено законодательством;
- обеспечивать защиту Данных в соответствии с требованиями законодательства Российской Федерации;
- рассматривать обращения Пользователя по вопросам обработки Данных.
5.13. Меры по защите информации, применяемые при использовании Сервисов.
Защита от неправомерных действий. Банк принимает технические и организационно-правовые меры в целях обеспечения защиты Данных о Пользователе от неправомерного или случайного доступа к ней, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
Конфиденциальность. Банк не раскрывает третьим лицам и не распространяет персональные и иные пользовательские данные без согласия Пользователя, если иное не предусмотрено федеральными законами.
Основные меры по защите информации, принимаемые в Банке:
- назначено лицо, ответственное за организацию обработки персональных данных, и лицо, ответственное за обеспечение безопасности персональных данных;
- обеспечение выполнения требований по защите информации возложено на структурное подразделение Банка, ответственное за обеспечение требований, предъявляемых к информационной безопасности;
- разработаны и утверждены локальные акты по вопросам обработки и защиты ПДн, информационной безопасности;
- применяется комплекс правовых, организационных и технических мер по обеспечению безопасности ПДн в соответствии с требованиями действующего законодательства в области ПДн, информационной безопасности;
- осуществляется внутренний контроль и (или) аудит соответствия обработки ПДн требованиям действующего законодательства в области ПДн, информационной безопасности и локальных актов Банка;
- осуществляется оценка вреда, который может быть причинен субъектам ПДн в случае нарушения действующего законодательства в области ПДн;
- сотрудники Банка, осуществляющие обработку ПДн, ознакомлены с положениями законодательства о ПДн и локальными актами Банка в области ПДн.
5.14. Обращения Пользователей.
Сведения об обрабатываемых Банком Данных о Пользователе, в том числе ПДн, в связи с использованием Пользователем Сервисов, предоставляются Пользователю или его представителю при обращении или запросе.
Запрос на получение информации должен соответствовать требованиям действующего законодательства РФ и содержать:
- номер документа, удостоверяющего личность Пользователя или его представителя;
- сведения о дате выдачи указанного документа и выдавшем его органе;
- сведения, подтверждающие участие Пользователя в Сервисах (в частности сведения о регистрации в Сервисе и другие сведения);
- подпись Пользователя или его представителя.
Запросы направляются в письменной форме по адресу Банка, или в форме электронного документа, подписанного квалифицированной электронной подписью в соответствии с законодательством Российской Федерации, по адресу электронной почты priem@olabank.ru.
Порядок работы с обращениями субъектов ПДн или их законных представителей определен в Регламенте реагирования на запросы субъектов ПДн или их законных представителей в Банке «Йошкар-Ола» (ПАО), утвержденном Правлением Банка.
Пользователь вправе отозвать согласие на обработку ПДн или направить требование о прекращении обработки ПДн путем направления Банку письменного заявления в соответствии с требованиями действующего законодательства РФ.
6. ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫМ ДАННЫМ
Основные виды угроз:1. Угрозы конфиденциальности данных и программ, реализуемые при несанкционированном доступе к программам, данным, каналам связи, при анализе трафика.
2. Угрозы целостности данных, программ, аппаратуры, реализуемые при несанкционированном уничтожении, модификации данных, порождении фальсифицированных данных, задержке и нарушении маршрутизации данных в каналах связи.
3. Угрозы доступности данных, когда оператор ПДн не получает своевременного доступа к данным или ресурсам системы, каналам связи.
Угрозами безопасности ПДн, разрешенных субъектом персональных данных для их распространения, актуальными при их обработке в ИСПДн, являются в том числе угрозы нарушения целостности (подмены) и нарушения доступности ПДн, разрешенных субъектом ПДн для их распространения.
7. ОБЩИЕ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В РАМКАХ БАНКОВСКИХ ТЕХНОЛОГИЧЕСКИХ ПРОЦЕССОВ
7.1. Для обеспечения выполнения требований к защите ПДн рекомендуется обеспечивать соответствующие уровни защищенности ПДн при их обработке в ИСПДн, установленные Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».7.2. В соответствии со стандартом Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и с учетом специфики обработки и обеспечения безопасности ПДн в Банке, угрозы утечки ПДн по техническим каналам, а также угрозы, связанные с наличием недокументированных (не декларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными для Банка.
7.3. Результатом оценки рисков нарушения безопасности ПДн в Банке является «Модель угроз безопасности Банка «Йошкар-Ола» (ПАО)», утвержденная Правлением Банка, содержащая актуальные для Банка угрозы безопасности ПДн, на основе которой вырабатываются требования, учитывающие особенности обработки ПДн в Банке.
7.4. В Банке реализована защита периметров сегментов вычислительной сети, в которых расположены ИСПДн, и контроль информационного взаимодействия между сегментами вычислительных сетей, а также определены и контролируются правила информационного взаимодействия различных ИСПДн как между собой, так и иными АБС.
7.5. Для программных компонентов АБС, реализующих банковский платежный технологический процесс и предназначенных для обработки ПДн или иной информации, в отношении которой законодательством РФ или решением Банка установлено требование об обеспечении безопасности, рекомендуется перед проведением предварительных испытаний осуществлять контроль исходного кода с целью выявления типовых ошибок программирования и иных дефектов, приводящих к возникновению уязвимостей.
7.6. Использование в ИСПДн сертифицированных по требованиям безопасности информации средств защиты информации осуществляется в соответствии с требованиями приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
8. ОБЩИЕ ТРЕБОВАНИЯ ПРИ ПРОВЕДЕНИИ РАБОТ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Обработка ПДн осуществляется в зависимости от вида информации содержащей ПДн.8.2. Для ресурсов ПДн, обрабатываемых в АБС Банка, в том числе ИСПДн, порядок обработки ПДн может являться частью эксплуатационной документации на АБС.
8.3. Для ресурсов ПДн, обрабатываемых в неавтоматизированном режиме порядок обработки ПДн определяется соблюдением требований, предусмотренных Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
8.4. Банк осуществляет мероприятия по регистрации и контролю учета ресурсов ПДн, в том числе учета ИСПДн.
8.5. Для каждого ресурса ПДн обеспечивается:
- установление цели обработки ПДн;
- установление и соблюдение сроков хранения ПДн и условий прекращения их обработки;
- определение перечня и категории обрабатываемых ПДн (специальные категории ПДн, ПДн подлежащие опубликованию или обязательному раскрытию, ПДн, полученные из общедоступных источников, или иные ПДн);
- выполнение ограничения обработки ПДн достижением цели обработки ПДн;
- соответствие содержания и объема обрабатываемых ПДн установленным целям обработки;
- точность, достаточность и актуальность ПДн, в том числе по отношению к целям обработки ПДн;
- выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на обработку их ПДн, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона № 152-ФЗ;
- выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на распространение их ПДн неограниченному кругу лиц, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона № 152-ФЗ;
- выполнение установленных процедур получения согласия субъектов ПДн на передачу обработки их ПДн третьим лицам, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона № 152-ФЗ;
- прекращение обработки ПДн и уничтожение либо обезличивание ПДн по достижении целей обработки, по требованию субъекта ПДн в случаях, предусмотренных Федеральным законом № 152-ФЗ, в том числе при отзыве субъектом ПДн согласия на обработку его ПДн.
8.6. Банк осуществляет мероприятия по прекращению обработки ПДн и их уничтожению с составлением Акта об уничтожении персональных данных (далее – Акт об уничтожении ПДн) (приложение № 2 к настоящей Политике) либо обезличиванию в сроки, установленные Федеральным законом № 152-ФЗ, в следующих случаях:
- по достижении цели обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
- отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
- если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- выявления неправомерной обработки ПДн, осуществляемой Банком или оператором, действующим по его поручению, если обеспечить правомерность обработки ПДн невозможно;
- выявления неправомерной обработки ПДн без согласия субъекта ПДн.
- В случае если обработка ПДн осуществляется автоматизированным способом, кроме оформления Акта об уничтожении ПДн осуществляется выгрузка из «Журнала регистрации событий в информационной системе персональных данных» (приложение № 3 к настоящей Политике).
8.7. С целью неограниченного доступа к настоящей Политике, а также к сведениям о реализуемых требованиях по обеспечению безопасности ПДн, Банк раскрывает настоящую Политику на Сайте Банка в сети Интернет и в Сервисах, принадлежащих Банку, в виде ссылки на Сайт Банка либо в качестве самостоятельного документа.
8.8. При работе с материальными носителями ПДн должно обеспечиваться:
- установление, выполнение и контроль выполнения порядка хранения (архивации), в том числе машинных носителей ПДн и доступа к ним;
- назначение сотрудников, ответственных за организацию хранения материальных носителей ПДн;
- установление и выполнение порядка уничтожения (стирания) информации с машинных носителей ПДн с составлением Акта об уничтожении ПДн.
Хранение (архивация) ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной выгодоприобретателем или поручителем, по которому является субъект ПДн.
8.9. Поручение обработки ПДн третьему лицу (далее - обработчик) должно осуществляться на основании договора. В договоре определяются перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться обработчиком, цели их обработки, должна быть установлена обязанность обработчика соблюдать конфиденциальность ПДн, требования, предусмотренные ч.5 ст.18, ст.18.1 Федерального закона № 152-ФЗ, обязанность по запросу Банка в течение срока действия поручения Банка, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Банка требований, установленных ст.6 Федерального закона № 152-ФЗ, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн, в том числе требование об уведомлении Банка о случаях, предусмотренных ч.3.1 ст.21 Федерального закона № 152-ФЗ.
При поручении обработки ПДн обработчику Банк должен получить согласие субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
9. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ
9.1. Защита ПДн сотрудников от неправомерного их использования или утраты обеспечивается Банком за счет собственных средств в порядке, установленном федеральными законами, и представляет собой жестко регламентированный и динамически-технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ПДн и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Банка.9.2. Основным виновником несанкционированного доступа к ПДн является, как правило, сотрудники, работающие с документами и базами данных. Регламентация доступа сотрудников к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами Банка.
9.3. Для обеспечения защиты ПДн сотрудников необходимо соблюдать ряд мер:
- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа сотрудниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- не допускается выдача личных дел сотрудников на рабочие места руководителей структурных подразделений Банка. Личные дела могут выдаваться на рабочие места только Президенту Банка, сотрудникам общего отдела и в исключительных случаях, по письменному разрешению Президента Банка, - руководителю структурного подразделения (например, при подготовке материалов для аттестации сотрудника).
9.4. Посторонние лица (любое лицо, не имеющее непосредственного отношения к деятельности Банка, посетители, сотрудники других организационных структур) не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в общем отделе.
9.5. При увольнении или изменении должностных обязанностей сотрудников Банка, имевших доступ к ПДн клиентов, в соответствии с распорядительным документом по Банку проводятся процедуры пересмотра прав доступа.
9.6. Для обеспечения внешней защиты ПДн сотрудников необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим Банка;
- учет и порядок выдачи удостоверений;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
9.7. Все лица, связанные с получением, обработкой и защитой ПДн, обязаны подписывать обязательство о неразглашении ПДн сотрудников по форме, утвержденной Должностным регламентом обработки персональных данных в Банке «Йошкар-Ола» (ПАО).
9.8. Банк вправе обрабатывать ПДн сотрудников только с их письменного согласия.
9.9. ПДн сотрудников (соискателей), не подлежащие дальнейшему хранению в личном деле сотрудников Банка, уничтожаются по Акту об уничтожении ПДн.
10. ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТОВ
10.1. Получение ПДн осуществляется преимущественно путем представления их самим клиентом, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.10.2. Информация персонального характера клиента обрабатывается с соблюдением требований действующего законодательства Российской Федерации о защите персональных данных.
10.3. Выбор средств защиты информации для системы защиты ПДн осуществляется Банком в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение ч.4 ст.19 Федерального закона № 152-ФЗ.
10.4. Передача ПДн клиентов третьим лицам осуществляется Банком только с письменного согласия клиента, с подтверждающей визой Президента Банка, за исключением случаев, если:
- передача необходима для защиты жизни и здоровья клиента, либо других лиц, и получение его согласия невозможно;
- по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Федеральным законом от 12.08.1995 № 144-ФЗ «Об оперативно-розыскной деятельности»;
- при наличии оснований, позволяющих полагать, что права и интересы клиента могут быть нарушены противоправными действиями других лиц;
- в иных случаях, прямо предусмотренных законодательством РФ.
10.5. ПДн клиентов, содержащиеся на материальных носителях, уничтожаются с составлением Акта об уничтожении ПДн.
11. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. ПДн субъектов могут быть получены как на бумажных носителях, так и в электронном виде и должны проходить дальнейшую обработку и впоследствии передаваться на хранение.11.2. При получении ПДн не от субъекта информационных отношений (за исключением случаев, если ПДн являются общедоступными) оператор до начала обработки таких ПДн обязан предоставить субъекту следующую информацию:
– цель обработки ПДн и ее правовое основание;
– предполагаемые пользователи ПДн.
11.3. При передаче ПДн сотрудника оператор ПДн должен соблюдать следующие требования:
11.3.1. Не сообщать ПДн сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья сотрудника, а также в случаях, установленных федеральными законами.
11.3.2. Не сообщать ПДн сотрудника в коммерческих целях без его письменного согласия. Обработка ПДн сотрудника в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
11.3.3. Передавать ПДн сотрудника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
11.3.4. Предупредить лиц, получивших ПДн сотрудника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПДн сотрудника, обязаны соблюдать режим секретности (конфиденциальности).
11.4. Разрешать доступ к ПДн сотрудника только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретной функции.
11.5. Не запрашивать информацию о состоянии здоровья сотрудника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции.
11.6. ПДн сотрудников на бумажных носителях обрабатываются и хранятся в общем отделе и в управлении бухгалтерского учета и отчетности, на электронных носителях в соответствующей ИСПДн.
12. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
12.1. Закрепление прав сотрудника, регламентирующих защиту его ПДн, обеспечивает сохранность полной и точной информации о нем.12.2. Сотрудники и их представители должны быть ознакомлены под роспись с документами Банка, устанавливающими порядок обработки ПДн сотрудников, требования к защите ПДн, а также об их правах и обязанностях в этой области. Факт ознакомления с такими документами фиксируется в Листе ознакомления сотрудников (приложение № 4 к настоящей Политике).
12.3. В целях защиты ПДн, хранящихся в Банке, сотрудник имеет право:
- требовать исключения или исправления неверных или неполных ПДн;
- на свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн;
- ПДн оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих ПДн;
- на сохранение и защиту своей личной и семейной тайны.
12.4. Сотрудник обязан:
- передавать уполномоченному сотруднику Банка по работе с ПДн сотрудников комплекс достоверных, документированных ПДн, перечень которых установлен Трудовым кодексом РФ.
- своевременно сообщать уполномоченному сотруднику Банка по работе с ПДн сотрудников об изменении своих ПДн.
12.5. Сотрудники своевременно уведомляют уполномоченного сотрудника Банка по работе с ПДн сотрудников об изменении фамилии, имени, отчества, реквизитов документа, удостоверяющего личность, данных об образовании, профессии, специальности и других данных, что получает отражение в трудовой книжке на основании представленных документов.
12.6. В целях защиты частной жизни, личной и семейной тайны сотрудники не должны отказываться от своего права на обработку ПДн только с их согласия, поскольку это может повлечь причинение морального, материального вреда.
12.7. Клиент Банка имеет право на получение информации, касающейся обработки его ПДн.
12.8. Сведения должны предоставляться субъекту ПДн оператором ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
12.9. Для своевременной и полной реализации своих прав, клиент обязан предоставить оператору ПДн достоверные ПДн.
13. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
13.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.13.2. Банк и его сотрудники, в соответствии со своими полномочиями владеющие информацией о ПДн, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
13.3. Руководитель структурного подразделения Банка, разрешающий доступ сотруднику к конфиденциальному документу на материальном носителе с ПДн, несет персональную ответственность за данное разрешение.
13.4. Каждый сотрудник Банка, получающий для работы конфиденциальный документ с ПДн, а также имеющий доступ к ИСПДн Банка, несет личную ответственность за сохранность носителя и конфиденциальность информации.
13.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн сотрудника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
13.5.1. За неисполнение или ненадлежащее исполнение сотрудником возложенных на него обязанностей по соблюдению настоящей Политике, Банк вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
13.5.2. Должностные лица, в обязанность которых входит ведение ПДн сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации - влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
13.5.3. В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на сотрудников.
13.6. Неправомерность деятельности органов государственной власти, контролирующих и осуществляющих надзор за деятельностью Банка, аудиторов Банка, организаций, которым предоставляется доступ к ПДн и ИСПДн, по сбору и использованию персональных данных может быть установлена в судебном порядке.
13.7. В целях снижения рисков, связанных с утечкой персональных данных и иных конфиденциальных сведений, противоправного их использования проводить на регулярной основе (не реже одного раза в год) мероприятия, направленные на повышение уровня правовой и финансовой грамотности среди работников Банка, а также мероприятий по предупреждению работников Банка о предусмотренной законодательством Российской Федерации административной и уголовной ответственности за неправомерное их использование.
14. Заключительные положения
14.1. Настоящая Политика вступает в силу с момента ее утверждения Правлением Банка.14.2. Настоящая Политика действует в отношении всех Субъектов ПДн, чьи ПДн обрабатывает Банк. Субъекты ПДн могут ознакомиться с настоящей Политикой на сайте Банка по адресу: www.olabank.ru, либо обратившись лично по адресу Банка.
14.3. Субъекты ПДн могут получить разъяснения по вопросам обработки ПДн, а также реализовать свои права и законные интересы, направив соответствующий письменный запрос по почтовому адресу Банка: 424006, Республика Марий Эл, г. Йошкар-Ола, ул. Панфилова, д. 39г, или в электронной форме по адресу: priem@olabank.ru.
14.4. По всем вопросам, возникающим при работе с ПДн, Банк руководствуется действующим законодательством Российской Федерации, требованиями нормативных актов Банка России и внутренних нормативных документов Банка, настоящей Политикой.
14.5. Если в результате изменения законодательства, нормативно-правовых актов Российской Федерации и Банка России отдельные положения вступают в противоречие с ними, данные положения утрачивают силу и положения нормативно-правовых актов действуют до внесения изменений в настоящую Политику напрямую. В этом случае Банк обязан корректировать свои действия в полном соответствии с действующим законодательством Российской Федерации.
14.6. Во всем остальном, не предусмотренном настоящей Политикой, сотрудники Банка обязаны руководствоваться действующим законодательством Российской Федерации, нормативными актами Банка России, распорядительными и внутренними нормативными документами Банка, а также согласовывать свои действия с непосредственным руководителем.
14.7. Настоящая Политика может быть изменена или дополнена по решению Правления Банка при изменениях в действующем законодательстве Российской Федерации, нормативных актах Банка России и внутренних документах Банка, а также в иных случаях по предложению Правления или Президента Банка.
Настоящая Политика может быть изменена Банком с уведомлением Пользователя, в том числе путем размещения новой редакции Политики на Сайте Банка и в Сервисах Банка, в которых Политика размещается в качестве самостоятельного документа.
Изменения в Политике, внесенные Банком, вступают в силу в день, следующий за днем размещения на Сайте Банка новой редакции Политики. Пользователь обязуется самостоятельно проверять настоящую Политику на предмет внесенных изменений.
Неосуществление Пользователем действий по ознакомлению не может служить основанием для неисполнения Пользователем своих обязательств и несоблюдения Пользователем ограничений, установленных настоящей Политикой.
Пользователь вправе отказаться от принятия изменений и дополнений в настоящую Политику, что означает отказ Пользователя от использования Сервисов и всех предоставленных ему ранее прав.
Президент Банка «Йошкар-Ола» (ПАО) | Р.И. Изофатов |
Приложение № 1
к Политике Банка «Йошкар-Ола» (ПАО)
в отношении обработки персональных данных
ПЕРЕЧЕНЬ
ЦЕЛЕЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В БАНКЕ «ЙОШКАР-ОЛА» (ПАО), СОСТАВА ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ КАТЕГОРИЙ, А ТАКЖЕ КАТЕГОРИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Категории субъектов, персональные данные которых обрабатываются: сотрудник и его родственник; бывший сотрудник; соискатель и его родственник; клиент; потенциальный клиент; потребитель финансовых услуг; представитель; третье лицо; участник процедур корпоративного управления, в том числе третьего лица; выгодоприобретатель; бенефициарный владелец.
Собираемые данные: фамилия, имя, отчество; прежние фамилия, имя, отчество (в случае изменения); год, месяц, дата и место рождения; пол; реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии); данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации; данные документа на право пребывания (вид, серия, номер, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации); сведения о водительском удостоверении; реквизиты свидетельства государственной регистрации актов гражданского состояния; гражданство; информация об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании, профессия); сведения о профессиональной переподготовке и (или) повышении квалификации; сведения об ученой степени, ученом звании (когда присвоено, номера дипломов, аттестатов); сведения о состоянии здоровья; информация о владении иностранными языками, степень владения; адрес места жительства (регистрации) или места пребывания, срок фактического проживания, статус жилья по адресу фактического проживания; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); сведения, содержащиеся в свидетельстве о государственной регистрации в налоговом органе (ОГРНИП); СНИЛС; контактная информация (например, номер телефона, факса, адрес электронной почты, почтовый адрес); информация о дополнительном контактном лице, степень родства; сведения о предпринимательской деятельности; имущественное положение, в т.ч. источники происхождения денежных средств и иного имущества, с которыми будут производиться банковские операции, сведения о доходах и расходах, сведения о собственности, сведения о наличии счетов; семейное положение, состав семьи и сведения о близких родственниках, наличие брачного контракта; социальный статус, место работы (предыдущее место работы), сведения о трудовой деятельности, стаж работы, должность; сведения, содержащиеся в трудовой книжке; сведения о трудовом договоре; статус - иностранное публичное должностное лицо, должностное лицо публичной международной организации, публичное должностное лицо РФ, должность, место работы и степень родства по отношению к указанным лицам; сведения о целях установления и предполагаемом характере деловых отношений с Банком, сведения о целях финансово-хозяйственной деятельности; сведения о наличии кредитов, займов, поручительств и залогов; сведения о финансовом положении; сведения о деловой репутации; сведения о воинском учете и реквизиты документов воинского учета, воинское звание; информация об участии в воинах (боевых действиях), ликвидация аварий, катастроф и стихийных действий; информация о социальных льготах, на которые имеется право в соответствии с законодательством; сведения о выгодоприобретателе; сведения о бенефициарном владельце; информация о наградах (поощрениях), почетных званиях; информация о прохождении аттестации; информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; сведения о заработной плате; банковские реквизиты (например, номер расчетного счета, номер корреспондентского счета, БИК, наименование банка, номер текущего (лицевого) счета, номер банковской карты); номера приказов и даты о приеме на работу (увольнении), о переводе, о предоставлении отпуска сотрудника; в отношении представителя клиента - наименование, дата выдачи, срок действия, номер документа, подтверждающего наличие у лица полномочий представителя клиента; иные персональные данные, необходимые для достижения целей, предусмотренных Федеральным законом № 152-ФЗ.
Цель 2: ведение кадрового и бухгалтерского учета сотрудников.
Категории субъектов, персональные данные которых обрабатываются: сотрудник и его родственник; бывший сотрудник.
Собираемые данные: фамилия, имя, отчество; прежние фамилия, имя, отчество (в случае изменения); год, месяц, дата и место рождения; пол; реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии); данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации; данные документа на право пребывания (вид, серия, номер, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации); сведения о водительском удостоверении; реквизиты свидетельства государственной регистрации актов гражданского состояния; гражданство; информация об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании, профессия); сведения о профессиональной переподготовке и (или) повышении квалификации; сведения об ученой степени, ученом звании (когда присвоено, номера дипломов, аттестатов); сведения о состоянии здоровья; информация о владении иностранными языками, степень владения; адрес места жительства (регистрации) или места пребывания, срок фактического проживания; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); СНИЛС; контактная информация (например, номер телефона, факса, адрес электронной почты, почтовый адрес); семейное положение, состав семьи и сведения о близких родственниках, наличие брачного контракта; социальный статус, место работы (предыдущее место работы), сведения о трудовой деятельности, стаж работы, должность; сведения, содержащиеся в трудовой книжке; сведения о трудовом договоре; статус - иностранное публичное должностное лицо, должностное лицо публичной международной организации, публичное должностное лицо РФ, должность, место работы и степень родства по отношению к указанным лицам; сведения о деловой репутации; сведения о воинском учете и реквизиты документов воинского учета, воинское звание; информация об участии в воинах (боевых действиях), ликвидация аварий, катастроф и стихийных действий; информация о социальных льготах, на которые имеется право в соответствии с законодательством; информация о наградах (поощрениях), почетных званиях; информация о прохождении аттестации; информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; сведения о заработной плате; банковские реквизиты (например, номер расчетного счета, номер корреспондентского счета, БИК, наименование банка, номер текущего (лицевого) счета, номер банковской карты); номера приказов и даты о приеме на работу (увольнении), о переводе, о предоставлении отпуска сотрудника; иные персональные данные, необходимые для достижения целей, предусмотренных Федеральным законом № 152-ФЗ.
Цель 3: подбор персонала (соискателей) на вакантные должности Банка.
Категории субъектов, персональные данные которых обрабатываются: соискатель и его родственник.
Собираемые данные: фамилия, имя, отчество; прежние фамилия, имя, отчество (в случае изменения); год, месяц, дата и место рождения; пол; реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии); данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации; данные документа на право пребывания (вид, серия, номер, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации); сведения о водительском удостоверении; реквизиты свидетельства государственной регистрации актов гражданского состояния; гражданство; информация об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании, профессия); сведения о профессиональной переподготовке и (или) повышении квалификации; сведения об ученой степени, ученом звании (когда присвоено, номера дипломов, аттестатов); сведения о состоянии здоровья; информация о владении иностранными языками, степень владения; адрес места жительства (регистрации) или места пребывания, срок фактического проживания, статус жилья по адресу фактического проживания; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); СНИЛС; контактная информация (например, номер телефона, факса, адрес электронной почты, почтовый адрес); информация о дополнительном контактном лице, степень родства; сведения о доходах и расходах, сведения о собственности, сведения о наличии счетов; семейное положение, состав семьи и сведения о близких родственниках, наличие брачного контракта; социальный статус, место работы (предыдущее место работы), сведения о трудовой деятельности, стаж работы, должность; сведения, содержащиеся в трудовой книжке; сведения о трудовом договоре; статус - иностранное публичное должностное лицо, должностное лицо публичной международной организации, публичное должностное лицо РФ, должность, место работы и степень родства по отношению к указанным лицам; сведения о деловой репутации; сведения о воинском учете и реквизиты документов воинского учета, воинское звание; информация об участии в воинах (боевых действиях), ликвидация аварий, катастроф и стихийных действий; информация о наградах (поощрениях), почетных званиях; иные персональные данные, необходимые для достижения целей, предусмотренных Федеральным законом № 152-ФЗ.
Цель 4: рассмотрение обращений граждан.
Категории субъектов, персональные данные которых обрабатываются: клиент; потенциальный клиент; потребитель финансовых услуг; представитель; третье лицо.
Собираемые данные: фамилия, имя, отчество; год, месяц, дата и место рождения; реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии); данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации; данные документа на право пребывания (вид, серия, номер, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации); гражданство; адрес места жительства (регистрации) или места пребывания; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); СНИЛС; контактная информация (например, номер телефона, факса, адрес электронной почты, почтовый адрес); информация о дополнительном контактном лице, степень родства; статус - иностранное публичное должностное лицо, должностное лицо публичной международной организации, публичное должностное лицо РФ, должность, место работы и степень родства по отношению к указанным лицам; сведения о целях установления и предполагаемом характере деловых отношений с Банком, сведения о целях финансово-хозяйственной деятельности; сведения о наличии кредитов, займов, поручительств и залогов; в отношении представителя клиента - наименование, дата выдачи, срок действия, номер документа, подтверждающего наличие у лица полномочий представителя клиента; иные персональные данные, необходимые для достижения целей, предусмотренных Федеральным законом № 152-ФЗ.
Цель 5: обеспечение пропускного режима на территорию Банка.
Категории субъектов, персональные данные которых обрабатываются: сотрудник и его родственник; бывший сотрудник; соискатель и его родственник; клиент; потенциальный клиент; потребитель финансовых услуг; представитель; третье лицо; участник процедур корпоративного управления, в том числе третьего лица; выгодоприобретатель; бенефициарный владелец.
Собираемые данные: фамилия, имя, отчество.
Цель 6: исполнение требований законодательства Российской Федерации и нормативных актов Банка России, предъявляемых к деятельности Банка.
Категории субъектов, персональные данные которых обрабатываются: сотрудник и его родственник; бывший сотрудник; соискатель и его родственник; клиент; потенциальный клиент; потребитель финансовых услуг; представитель; третье лицо; участник процедур корпоративного управления, в том числе третьего лица; выгодоприобретатель; бенефициарный владелец.
Собираемые данные: фамилия, имя, отчество; прежние фамилия, имя, отчество (в случае изменения); год, месяц, дата и место рождения; пол; реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии); данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации; данные документа на право пребывания (вид, серия, номер, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации); сведения о водительском удостоверении; реквизиты свидетельства государственной регистрации актов гражданского состояния; гражданство; информация об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании, профессия); сведения о профессиональной переподготовке и (или) повышении квалификации; сведения об ученой степени, ученом звании (когда присвоено, номера дипломов, аттестатов); сведения о состоянии здоровья; информация о владении иностранными языками, степень владения; адрес места жительства (регистрации) или места пребывания, срок фактического проживания, статус жилья по адресу фактического проживания; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); сведения, содержащиеся в свидетельстве о государственной регистрации в налоговом органе (ОГРНИП); СНИЛС; контактная информация (например, номер телефона, факса, адрес электронной почты, почтовый адрес); информация о дополнительном контактном лице, степень родства; сведения о предпринимательской деятельности; имущественное положение, в т.ч. источники происхождения денежных средств и иного имущества, с которыми будут производиться банковские операции, сведения о доходах и расходах, сведения о собственности, сведения о наличии счетов; семейное положение, состав семьи и сведения о близких родственниках, наличие брачного контракта; социальный статус, место работы (предыдущее место работы), сведения о трудовой деятельности, стаж работы, должность; сведения, содержащиеся в трудовой книжке; сведения о трудовом договоре; статус - иностранное публичное должностное лицо, должностное лицо публичной международной организации, публичное должностное лицо РФ, должность, место работы и степень родства по отношению к указанным лицам; сведения о целях установления и предполагаемом характере деловых отношений с Банком, сведения о целях финансово-хозяйственной деятельности; сведения о наличии кредитов, займов, поручительств и залогов; сведения о финансовом положении; сведения о деловой репутации; сведения о воинском учете и реквизиты документов воинского учета, воинское звание; информация об участии в воинах (боевых действиях), ликвидация аварий, катастроф и стихийных действий; информация о социальных льготах, на которые имеется право в соответствии с законодательством; сведения о выгодоприобретателе; сведения о бенефициарном владельце; информация о наградах (поощрениях), почетных званиях; информация о прохождении аттестации; информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; сведения о заработной плате; банковские реквизиты (например, номер расчетного счета, номер корреспондентского счета, БИК, наименование банка, номер текущего (лицевого) счета, номер банковской карты); номера приказов и даты о приеме на работу (увольнении), о переводе, о предоставлении отпуска сотрудника; в отношении представителя клиента - наименование, дата выдачи, срок действия, номер документа, подтверждающего наличие у лица полномочий представителя клиента; иные персональные данные, необходимые для достижения целей, предусмотренных Федеральным законом № 152-ФЗ.
Цель 7: предоставление доступа в Сервисы Банка и осуществление действий в этих Сервисах (регистрация, в том числе через внешние сервисы, заполнение форм и т.п.), использование Сервисов Банка, направление запросов через Сервисы Банка, в том числе через форму обратной связи.
Категории субъектов, персональные данные которых обрабатываются: сотрудник и его родственник; бывший сотрудник; соискатель и его родственник; клиент; потенциальный клиент; потребитель финансовых услуг; представитель; третье лицо; участник процедур корпоративного управления, в том числе третьего лица; выгодоприобретатель; бенефициарный владелец; пользователь.
Собираемые данные: фамилия, имя, отчество; прежние фамилия, имя, отчество (в случае изменения); год, месяц, дата и место рождения; пол; реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии); данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации; данные документа на право пребывания (вид, серия, номер, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации); сведения о водительском удостоверении; реквизиты свидетельства государственной регистрации актов гражданского состояния; гражданство; информация об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании, профессия); сведения о профессиональной переподготовке и (или) повышении квалификации; сведения об ученой степени, ученом звании (когда присвоено, номера дипломов, аттестатов); информация о владении иностранными языками, степень владения; адрес места жительства (регистрации) или места пребывания, срок фактического проживания, статус жилья по адресу фактического проживания; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); сведения, содержащиеся в свидетельстве о государственной регистрации в налоговом органе (ОГРНИП); СНИЛС; контактная информация (например, номер телефона, факса, адрес электронной почты, почтовый адрес); информация о дополнительном контактном лице, степень родства; сведения о предпринимательской деятельности; имущественное положение, в т.ч. источники происхождения денежных средств и иного имущества, с которыми будут производиться банковские операции, сведения о доходах и расходах, сведения о собственности, сведения о наличии счетов; семейное положение, состав семьи и сведения о близких родственниках, наличие брачного контракта; социальный статус, место работы (предыдущее место работы), сведения о трудовой деятельности, стаж работы, должность; сведения, содержащиеся в трудовой книжке; сведения о трудовом договоре; статус - иностранное публичное должностное лицо, должностное лицо публичной международной организации, публичное должностное лицо РФ, должность, место работы и степень родства по отношению к указанным лицам; сведения о целях установления и предполагаемом характере деловых отношений с Банком, сведения о целях финансово-хозяйственной деятельности; сведения о наличии кредитов, займов, поручительств и залогов; сведения о финансовом положении; сведения о деловой репутации; сведения о воинском учете и реквизиты документов воинского учета, воинское звание; информация об участии в воинах (боевых действиях), ликвидация аварий, катастроф и стихийных действий; информация о социальных льготах, на которые имеется право в соответствии с законодательством; сведения о выгодоприобретателе; сведения о бенефициарном владельце; информация о наградах (поощрениях), почетных званиях; информация о прохождении аттестации; информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; сведения о заработной плате; банковские реквизиты (например, номер расчетного счета, номер корреспондентского счета, БИК, наименование банка, номер текущего (лицевого) счета, номер банковской карты); номера приказов и даты о приеме на работу (увольнении), о переводе, о предоставлении отпуска сотрудника; в отношении представителя клиента - наименование, дата выдачи, срок действия, номер документа, подтверждающего наличие у лица полномочий представителя клиента; иные персональные данные, необходимые для достижения целей, предусмотренных Федеральным законом № 152-ФЗ; сведения о безопасности (секретный вопрос и ответ на него); адрес страницы в (социальной) сети; пользовательские идентификаторы, сведения о привязанных учетных записях; настройки учетной записи (языковые настройки, настройки часового пояса, иные настройки учетной записи); информация об интересах.
Цель 8: сбор данных с целью аналитики поведения пользователей на сайте посредством внедрения на Сайтах и/или Сервисах Банка специализированного сервиса Яндекс.Метрика и получение файлов cookie.
Категории субъектов, персональные данные которых обрабатываются: пользователи Сайта/Сервиса.
Собираемые данные: персональная информация, предоставленная пользователем при регистрации (создании учетной записи), такая как имя, фамилия, отчество, номер телефона, адрес и возраст; электронные данные (HTTP-заголовки, IP-адрес, файлы cookie, веб-маяки/пиксельные теги, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении, данные сети wi-fi); дата и время осуществления доступа к Сайтам и/или Сервисам; информация об активности пользователя во время использования Сайтов и/или Сервисов (например, история поисковых запросов, данные о покупках в Сервисах, данные о посещенных организациях, лайки и предпочтения, адреса электронной почты тех, с кем пользователь ведет переписку, данные телефонной книги, информация о взаимодействии с другими пользователями, а также файлы и контент, хранящиеся в системах Яндекса); информация о геолокации; иная информация о пользователе, необходимая для обработки в соответствии с условиями, регулирующими использование конкретных Сайтов или Сервисов Яндекса; информация о пользователе, которую мы получаем от наших Партнеров в соответствии с условиями соглашений, заключенных между пользователем и соответствующим Партнером, и соглашений, заключенных между Яндексом и Партнером; данные платежных карт пользователя, иная платежная информация, предоставленная пользователем, а также полученная от Партнеров или иных лиц, участвующих в проведении платежной операции с использованием Сайтов или Сервисов Яндекса и/или в связи с оказанием Яндексом платных услуг. Также Яндекс использует файлы cookie и веб-маяки (включая пиксельные теги) для сбора персональной информации и связывания такой информации с устройством и веб-браузером пользователя.
Цель 9: оказание консультационных и информационных услуг.
Категории субъектов, персональные данные которых обрабатываются: сотрудник и его родственник; бывший сотрудник; соискатель и его родственник; клиент; потенциальный клиент; потребитель финансовых услуг; представитель; третье лицо; участник процедур корпоративного управления, в том числе третьего лица; выгодоприобретатель; бенефициарный владелец.
Собираемые данные: фамилия, имя, отчество.
Приложение № 2
к Политике Банка «Йошкар-Ола» (ПАО)
в отношении обработки персональных данных
Банк «Йошкар-Ола» (ПАО) 424006, РМЭ, г. Йошкар-Ола, ул. Панфилова, д.39г | Утверждаю Президент Банка «Йошкар-Ола» (ПАО) ___________ _______________ «___»_____________ 20___ г. |
АКТ № _____
об уничтожении персональных данных
Комиссия, созданная на основании приказа от «___» ________20__г. отобрала к уничтожению
материалы, утратившие документальную ценность, материальные носители, содержащие ПДн:
(нужное подчеркнуть)
№ п/п | Фамилия, Имя, Отчество, чьи ПДн были уничтожены | Перечень категорий, уничтоженных ПДн (персональные данные, специальные категории ПДн, ПДн, подлежащие опубликованию или обязательному раскрытию) | Наименование ИСПДн, из которой были уничтожены ПДн (заполняется в случае обработки ПДн с использованием средств автоматизации) | Наименование уничтоженного материального носителя, содержащего ПДн, количество листов (заполняется в случае обработки ПДн без использования средств автоматизации) | Причина уничтожения ПДн | Дата уничтожения ПДн | Примечание |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
Всего подлежит уничтожению _________________________ материалов, носителей.
(цифрами и прописью) (нужное подчеркнуть)
Уничтожение произведено путем: ________________________________________________________
(сжигания, деформирование, уничтожения с помощью бумагорезательной машины (шредирование) (указывается в случае обработки ПДн без использования средств автоматизации))
ПДн уничтожены в ИСПДн средствами встроенных функций информационной системы: ________________________________________________________________________________________________
(указывается в случае обработки ПДн с использованием средств автоматизации)
Председатель комиссии: ___________________/________________/
(подпись) (ФИО)
Члены комиссии: __________________/________________/
(подпись) (ФИО)
_________________ /________________/
(подпись) (ФИО)
_________________/________________/
(подпись) (ФИО)
_________________/________________/
(подпись) (ФИО)
_________________/________________/
(подпись) (ФИО)
«____» __________20___г.
Приложение № 3
к Политике Банка «Йошкар-Ола» (ПАО)
в отношении обработки персональных данных
Журнал регистрации событий в информационной системе
персональных данных
№ п/п | Дата уничтожения ПДн | Фамилия, Имя, Отчество, чьи ПДн были уничтожены | Категория персональных данных, подлежащих уничтожению | Наименование ИСПДн, из которой были уничтожены ПДн | Причина уничтожения ПДн | Номер, дата акта об уничтожении |
Ответственное лицо
за организацию обработки персональных данных: ________________/_________________/
(подпись) (ФИО)
Приложение № 4
к Политике Банка «Йошкар-Ола» (ПАО)
в отношении обработки персональных данных
Лист ознакомления сотрудников
____________________________________________________________________________
(законодательный документ/нормативный акт/организационно-распорядительный документ)
№ п/п | Ф.И.О. | Дата | Должность | Подпись |