| Банк «Йошкар-Ола» (публичное акционерное общество) | УТВЕРЖДЕНО Правлением Банка «Йошкар-Ола» (ПАО) (протокол от 29.03.2024 № 03) |
П О Л О Ж Е Н И Е
об обработке и защите персональных данных
в Банке «Йошкар-Ола» (ПАО)
Положение об обработке и защите персональных данных в Банке «Йошкар-Ола» (ПАО) разработано в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ (ред. от 06.02.2023) «О персональных данных», Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных документов ФСТЭК и ФСБ России в целях обеспечения защиты прав и свобод граждан при обработке их персональных данных в информационных системах персональных данных.
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящим Положением устанавливаются цели и задачи, основные принципы, правила и правовые основания обработки персональных данных сотрудников и клиентов Банка «Йошкар-Ола» (ПАО), а также определяются основные меры по обеспечению безопасности при обработке и хранении персональных данных. Положение разработано в целях исполнения требований Федерального закона № 152-ФЗ и обеспечения защиты прав физических лиц при обработке их персональных данных.В Положении используются следующие основные понятия:
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом № 152-ФЗ.
Оператор ПДн - Банк, самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку ПДн, а также определяющий цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ПДн.
Сотрудник – физическое лицо, состоящее с Банком в трудовых отношениях на основании заключенного трудового договора.
Бывший сотрудник - физическое лицо, ранее состоявшее с Банком в трудовых отношениях на основании заключенного трудового договора.
Родственник - близкие родственники: супруг, супруга, родители, дети, усыновители, усыновленные, родные братья и родные сестры (полнородные и не полнородные (имеющие общих отца и мать) братья и сестры), дедушка, бабушка, внуки.
Соискатель - физическое лицо, претендующее на вакантные должности Банка.
Клиент:
- физическое лицо;
- юридическое лицо;
- физическое лицо, осуществляющее предпринимательскую деятельность без образования юридического лица (индивидуальный предприниматель);
- физическое лицо, занимающееся частной практикой в порядке, установленном законодательством РФ;
- физическое лицо, применяющее специальный налоговый режим (самозанятый), заключившее договор, на основании и во исполнение которого Банк предоставляет Клиенту продукты и/или сервисы, и/или услуги.
Потенциальный клиент:
- физическое лицо, которое обратилось за продуктами и/или сервисами, и/или услугами Банка, в том числе за консультацией относительно условий договора, преимуществ продуктов и/или сервисов, и/или услуг, и/или заинтересовано в получении/приобретении указанных продуктов, сервисов, услуг, но еще не заключило договор, на основании которого может получить указанные продукты и/или сервисы, и/или услуги;
- физическое лицо, которое обратилось в Банк в рамках процессов урегулирования проблемной и/или просроченной задолженности.
Потребитель финансовых услуг:
- физическое лицо, являющееся стороной договора, либо лицом, в пользу которого заключен договор, либо лицом, которому оказывается финансовая услуга в целях, не связанных с осуществлением предпринимательской деятельности;
- физическое лицо, обращающееся в Банк с заявлением, обращением, предложением, жалобой и/или с целью получения иного разъяснения о деятельности Банка и предоставляемых им услугах/продуктах/сервисах;
- физическое лицо, использующее интернет-сайт, мессенджеры и системы дистанционного банковского обслуживания Банка.
Представитель:
- законный представитель недееспособного, ограниченно дееспособного или не обладающего дееспособностью в полном объеме субъекта персональных данных (родители, усыновители, опекуны, попечители или иные лица, которые признаются представителями указанных субъектов персональных данных в соответствии с законодательством РФ);
- представитель субъекта персональных данных, действующий на основании доверенности;
- представитель в соответствии с требованиями применимых нормативных правовых актов РФ (адвокат, арбитражный управляющий и пр.);
- работник Клиента (юридического лица, индивидуального предпринимателя, лица, занимающегося частной практикой), третьего лица;
- физическое лицо, являющееся членом органа управления (в том числе единоличного органа управления) Клиента (юридического лица), третьего лица
(юридического лица).
Третье лицо:
- юридическое лицо;
- индивидуальный предприниматель;
- физическое лицо, применяющее специальный налоговый режим (самозанятый);
- физическое лицо, занимающееся частной практикой (нотариус, адвокат и прочие физические лица, которые в соответствии с применимым законодательством РФ являются лицами, занимающимися частной практикой), вступившее с Банком в договорные отношения, не связанные с предоставлением Банком продуктов, сервисов, услуг, и/или взаимодействующие по вопросам сотрудничества, не связанного с предоставлением Банком
продуктов, сервисов, услуг.
Участник процедур корпоративного управления:
- член органа управления Банка, в том числе член совета директоров, член исполнительного органа, единоличный исполнительный орган;
- акционер;
- физическое лицо, являющееся кандидатом на назначение (избрание) в состав органов управления Банка;
- член ревизионной комиссии;
- связанное с Банком лицо, определяемое в соответствии с законодательством РФ.
Выгодоприобретатель – лицо, к выгоде которого действует Клиент, в том числе на основании агентского договора, договоров поручения, комиссии и доверительного управления, при проведении операций с денежными средствами и иным имуществом.
Бенефициарный владелец – физическое лицо, которое в конечном счете прямо или косвенно (через третьих лиц) владеет (имеет преобладающее участие более 25 процентов в капитале) Клиентом - юридическим лицом либо имеет возможность контролировать действия Клиента. Бенефициарным владельцем клиента - физического лица считается это лицо, за исключением случаев, если имеются основания полагать, что бенефициарным владельцем является иное физическое лицо.
Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
Материальный носитель - бумажный или машинный носитель информации, предназначенный для фиксирования, передачи и хранения персональных данных.
Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.
Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах.
Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы ПДн или использующее результаты ее функционирования.
Правила разграничения доступа к информационным системам персональных данных – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
Распространение персональных данных – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление персональных данных – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Блокирование персональных данных – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
Угроза безопасности информации - совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к ПДн при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители ПДн.
Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
Конфиденциальность персональных данных – операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
Трансграничная передача персональных данных – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Несанкционированный доступ (несанкционированные действия) к информационным системам персональных данных – доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами ПДн.
Защита информации – комплекс организационно-технических мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к данным, при этом предусматривается:
- разграничение полномочий доступа к данным;
- авторизация, контроль и учет действий с данными (регистрация событий);
- контроль копирования, печати, обмена данными по каналам связи;
- межсетевое экранирование и защита от вирусов;
- учет внешних носителей данных;
- резервное копирование / восстановление данных;
- раздельное хранение носителей данных с резервными копиями;
- контроль доступа в помещения и к компьютерам;
- применение устройств идентификации пользователей для доступа.
Ресурс ПДн – совокупность ПДн, обрабатываемых в организации банковской системы РФ с использованием или без использования средств автоматизации и АБС, в том числе ИСПДн, объединенных общими целями обработки.
2. ЦЕЛИ И ЗАДАЧИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Целью обработки сведений, содержащих ПДн, является исполнение требований законодательства РФ и нормативных актов Банка России, оказание банковских услуг и осуществление уставной деятельности, ведение кадрового и бухгалтерского учета сотрудников, подбор персонала, рассмотрение обращений, жалоб, предложений физических лиц, обеспечение пропускного режима. Перечень целей обработки персональных данных в Банке, состава персональных данных и их категорий, а также категорий субъектов персональных данных предусмотрен приложением 1 к данному Положению.Задачей обеспечения безопасности информации в ИСПДн является защита интересов субъектов ПДн, что достигается посредством постоянного поддержания следующих свойств информации в процессе ее обработки, хранения и передачи:
- целостность информации;
- доступность обрабатываемой информации для зарегистрированных пользователей;
- конфиденциальность информации.
3. ПРИНЦИПЫ ОРГАНИЗАЦИИ И ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Банк обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ. В целях соблюдения требований ч.1 ст.22 Федерального закона № 152-ФЗ Банк осуществляет уведомление уполномоченного органа по защите прав субъектов ПДн о своем намерении осуществлять обработку ПДн путем своевременного направления указанного уведомления, за исключением случаев, предусмотренных ч.2 ст.22 Федерального закона № 152-ФЗ.3.1. Под обработкой ПДн понимается получение, хранение, комбинирование, передача или любое другое использование.
Разделяют два вида информации с ПДн: на бумажных носителях и в электронном виде. Обработка ПДн осуществляется смешанным путем:
- неавтоматизированный способ (личные дела, трудовые книжки, другие документы, имеющиеся в Банке, в которых содержатся ПДн).
- автоматизированный способ с использованием средств вычислительной техники, с возможностью дальнейшей передачи ПДн по сети Интернет.
Исходя из указанного, при обработке ПДн применяют различные способы обработки и защиты ПДн.
При неавтоматизированном способе обработке ПДн в качестве мер защиты применяют:
- ограничение доступа лиц в помещение, где обрабатываются ПДн;
- металлические шкафы (сейфы);
- охранно-пожарную сигнализацию.
При автоматизированном способе в качестве мер защиты используются:
- парольный доступ в ИСПДн;
- средства криптографической защиты информации, в том числе при передаче ПДн по компьютерным сетям;
- антивирусная защита.
3.2. В целях обеспечения прав субъектов ПДн при их обработке должны соблюдаться следующие требования:
3.2.1. Обработка ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
3.2.2. При определении объема и содержания обрабатываемых ПДн оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом и иными нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Банка (при их наличии).
3.2.3. Получение ПДн может осуществляться как путем представления их самим субъектом ПДн, так и путем получения из иных источников.
3.3. Доступ к обработке, передаче и хранению ПДн сотрудника в зависимости от способа обработки и вида ИСПДн могут иметь различные подразделения оператора. Список лиц, имеющих доступ к ПДн, определяется правами доступа к соответствующей ИСПДн.
3.4. Использование ПДн возможно только в соответствии с целями, определившими их получение.
3.5. Передача ПДн сотрудника возможна только с согласия сотрудника или в случаях, предусмотренных законодательством РФ.
3.6. Все меры конфиденциальности при сборе, обработке и хранении ПДн субъектов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
3.7. Не допускается отвечать на запросы, связанные с передачей персональной информации по телефону или факсу.
3.8. Хранение ПДн должно происходить в порядке, исключающем их утрату или неправомерное использование.
3.9. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
4. Принципы и правила обработки персональных данных
4.1. Субъектами ПДн являются сотрудники (бывшие сотрудники), их родственники, соискатели, клиенты, в том числе потенциальные клиенты, потребитель финансовых услуг, представители, третьи лица, участники процедур корпоративного управления, выгодоприобретатели, бенефициарные владельца. Перечень субъектов ПДн представлен в главе 1 настоящего Положения.4.2. Обработка ПДн в Банке осуществляется с соблюдением следующих принципов и правил:
1) обработка осуществляется на законной и справедливой основе;
2) обработка ограничивается достижением конкретных, заранее определенных и законных целей;
3) обработке подлежат ПДн, отвечающие целям обработки, при обязательном соответствии их объема и содержания заявленным целям обработки;
4) не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
5) при обработке обеспечиваются точность и достаточность ПДн и, при необходимости, актуальность по отношению к целям обработки с принятием мер по удалению или уточнению неполных или неточных данных либо обеспечением принятия таких мер;
6) хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;
7) обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством Российской Федерации.
4.3. При обработке ПДн Банк обеспечивает:
- конфиденциальность (сохранения в тайне) и безопасность информации в соответствии с требованиями российского законодательства;
- достоверность (полноты, точности, адекватности, целостности) информации;
- защиту от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации);
- своевременный доступ (за приемлемое для них время) к необходимой им информации;
- разграничение ответственности за нарушения законных прав (интересов) других субъектов ПДн и установленных правил обращения с информацией;
- возможность осуществления непрерывного контроля и управления процессами обработки и передачи информации;
- защиту информации от незаконного ее тиражирования (защиты ПДн, защиты авторских прав, прав собственника информации).
5. ВИДЫ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫМ ДАННЫМ
Основные виды угроз:
1. Угрозы конфиденциальности данных и программ, реализуемые при несанкционированном доступе к программам, данным, каналам связи, при анализе трафика.
2. Угрозы целостности данных, программ, аппаратуры, реализуемые при несанкционированном уничтожении, модификации данных, порождении фальсифицированных данных, задержке и нарушении маршрутизации данных в каналах связи.
3. Угрозы доступности данных, когда оператор ПДн не получает своевременного доступа к данным или ресурсам системы, каналам связи.
Угрозами безопасности ПДн, разрешенных субъектом персональных данных для их распространения, актуальными при их обработке в ИСПДн, являются в том числе угрозы нарушения целостности (подмены) и нарушения доступности ПДн, разрешенных субъектом ПДн для их распространения.
6. ОБЩИЕ ТРЕБОВАНИЯ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ В РАМКАХ БАНКОВСКИХ ТЕХНОЛОГИЧЕСКИХ ПРОЦЕССОВ
6.1. Для обеспечения выполнения требований к защите ПДн рекомендуется обеспечивать соответствующие уровни защищенности ПДн при их обработке в ИСПДн, установленные Постановлением № 1119.6.2. В соответствии со стандартом Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» и с учетом специфики обработки и обеспечения безопасности ПДн в Банке, угрозы утечки ПДн по техническим каналам, а также угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в ИСПДн, рекомендуется признавать неактуальными для Банка.
6.3. Результатом оценки рисков нарушения безопасности ПДн в Банке является «Модель угроз безопасности Банка «Йошкар-Ола» (ПАО)», утвержденная Правлением Банка, содержащая актуальные для Банка угрозы безопасности ПДн, на основе которой вырабатываются требования, учитывающие особенности обработки ПДн в Банке.
6.4. В Банке реализована защита периметров сегментов вычислительной сети, в которых расположены ИСПДн, и контроль информационного взаимодействия между сегментами вычислительных сетей, а также определены и контролируются правила информационного взаимодействия различных ИСПДн как между собой, так и иными АБС.
6.5. Для программных компонентов АБС, реализующих банковский платежный технологический процесс и предназначенных для обработки ПДн или иной информации, в отношении которой законодательством РФ или решением Банка установлено требование об обеспечении безопасности, рекомендуется перед проведением предварительных испытаний осуществлять контроль исходного кода с целью выявления типовых ошибок программирования и иных дефектов, приводящих к возникновению уязвимостей.
6.6. Использование в ИСПДн сертифицированных по требованиям безопасности информации средств защиты информации осуществляется в соответствии с требованиями приказа Федеральной службы по техническому и экспортному контролю от 18.02.2013 № 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
7. ОБЩИЕ ТРЕБОВАНИЯ ПРИ ПРОВЕДЕНИИ РАБОТ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Обработка ПДн осуществляется в зависимости от вида информации содержащей ПДн.7.2. Для ресурсов ПДн, обрабатываемых в АБС Банка, в том числе ИСПДн, порядок обработки ПДн может являться частью эксплуатационной документации на АБС.
7.3. Для ресурсов ПДн, обрабатываемых в неавтоматизированном режиме АБС порядок обработки ПДн определяется соблюдением требований, предусмотренных Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
7.4. Банк осуществляет мероприятия по регистрации и контролю учета ресурсов ПДн, в том числе учета ИСПДн.
7.5. Для каждого ресурса ПДн обеспечивается:
- установление цели обработки ПДн;
установление и соблюдение сроков хранения ПДн и условий прекращения их обработки;
- определение перечня и категории обрабатываемых ПДн (специальные категории ПДн, ПДн, подлежащие опубликованию или обязательному раскрытию, ПДн, полученные из общедоступных источников, или иные ПДн);
- выполнение ограничения обработки ПДн достижением цели обработки ПДн;
- соответствие содержания и объема обрабатываемых ПДн установленным целям обработки;
- точность, достаточность и актуальность ПДн, в том числе по отношению к целям обработки ПДн;
- выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на обработку их ПДн, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона № 152-ФЗ;
- выполнение установленных процедур получения согласия субъектов ПДн (их законных представителей) на распространение их ПДн неограниченному кругу лиц, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона № 152-ФЗ;
- выполнение установленных процедур получения согласия субъектов ПДн на передачу обработки их ПДн третьим лицам, в случае если получение такого согласия необходимо в соответствии с требованиями Федерального закона № 152-ФЗ;
- прекращение обработки ПДн и уничтожение либо обезличивание ПДн по достижении целей обработки, по требованию субъекта ПДн в случаях, предусмотренных Федеральным законом № 152-ФЗ, в том числе при отзыве субъектом ПДн согласия на обработку его ПДн.
7.6. Банк осуществляет мероприятия по прекращению обработки ПДн и их уничтожению с составлением Акта об уничтожении персональных данных, содержащихся на материальных носителях (приложение № 2 к настоящему Положению) либо обезличиванию в сроки, установленные Федеральным законом № 152-ФЗ, в следующих случаях:
- по достижении цели обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
- отзыва субъектом ПДн согласия на обработку его ПДн и в случае, если сохранение ПДн более не требуется для целей обработки ПДн (если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между организацией БС РФ и субъектом ПДн);
- если ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки;
- выявления неправомерной обработки ПДн, осуществляемой Банком или оператором, действующим по его поручению, если обеспечить правомерность обработки ПДн невозможно;
- выявления неправомерной обработки ПДн без согласия субъекта ПДн.
В случае если обработка ПДн осуществляется автоматизированным способом, кроме оформления Акта об уничтожении ПДн осуществляется выгрузка из «Журнала регистрации событий в информационной системе персональных данных» (приложение № 3 к настоящему Положению).
7.7. С целью неограниченного доступа к внутреннему нормативному документу Банка, определяющему политику в отношении обработки ПДн, а также к сведениям о реализуемых требованиях по обеспечению безопасности ПДн, Банк раскрывает настоящее Положение на официальной странице Банка в сети Интернет.
7.8. При работе с материальными носителями ПДн должно обеспечиваться:
- установление, выполнение и контроль выполнения порядка хранения (архивации), в том числе машинных носителей ПДн и доступа к ним;
- назначение сотрудников, ответственных за организацию хранения материальных носителей ПДн;
установление и выполнение порядка уничтожения (стирания) информации с машинных носителей ПДн с составлением Акта об уничтожении ПДн.
Хранение (архивация) ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной выгодоприобретателем или поручителем по которому является субъект ПДн.
7.9. Поручение обработки ПДн третьему лицу (далее - обработчик) должно осуществляться на основании договора. В договоре определяются перечень ПДн, перечень действий (операций) с ПДн, которые будут совершаться обработчиком, цели их обработки, должна быть установлена обязанность обработчика соблюдать конфиденциальность ПДн, требования, предусмотренные ч.5 ст.18, ст.18.1 Федерального закона № 152-ФЗ, обязанность по запросу Банка в течение срока действия поручения Банка, в том числе до обработки ПДн, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Банка требований, установленных ст.6 Федерального закона
№ 152-ФЗ, обязанность обеспечивать безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн, в том числе требование об уведомлении Банка о случаях, предусмотренных ч.3.1 ст.21 Федерального закона № 152-ФЗ.
При поручении обработки ПДн обработчику Банк должен получить согласие субъекта ПДн, если иное не предусмотрено законодательством Российской Федерации.
8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ СОТРУДНИКОВ
8.1. Защита ПДн сотрудников от неправомерного их использования или утраты обеспечивается Банком за счет собственных средств в порядке, установленном федеральными законами, и представляет собой жестко регламентированный и динамически-технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ПДн и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности Банка.8.2. Основным виновником несанкционированного доступа к ПДн является, как правило, сотрудники, работающие с документами и базами данных. Регламентация доступа сотрудников к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами Банка.
8.3. Для обеспечения защиты ПДн сотрудников необходимо соблюдать ряд мер:
- ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между сотрудниками;
- рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа сотрудниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
- не допускается выдача личных дел сотрудников на рабочие места руководителей структурных подразделений Банка. Личные дела могут выдаваться на рабочие места только Президенту Банка, сотрудникам общего отдела и в исключительных случаях, по письменному разрешению Президента Банка, - руководителю структурного подразделения (например, при подготовке материалов для аттестации сотрудника).
8.4. Посторонние лица (любое лицо, не имеющее непосредственного отношения к деятельности Банка, посетители, сотрудники других организационных структур) не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в общем отделе.
8.5. При увольнении или изменении должностных обязанностей сотрудников Банка, имевших доступ к ПДн клиентов, в соответствии с распорядительным документом по Банку проводятся процедуры пересмотра прав доступа.
8.6. Для обеспечения внешней защиты ПДн сотрудников необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- пропускной режим Банка;
- учет и порядок выдачи удостоверений;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений, транспортных средств;
- требования к защите информации при интервьюировании и собеседованиях.
8.7. Все лица, связанные с получением, обработкой и защитой ПДн, обязаны подписывать обязательство о неразглашении ПДн сотрудников по форме, утвержденной Должностным регламентом обработки персональных данных в Банке «Йошкар-Ола» (ПАО).
8.8. Банк вправе обрабатывать ПДн сотрудников только с их письменного согласия.
8.9. ПДн сотрудников (соискателей), не подлежащие дальнейшему хранению в личном деле сотрудников Банка уничтожаются по Акту об уничтожении первичных документов по достижении целей обработки ПДн (приложение № 4 к настоящему Положению).
9. ПЕРСОНАЛЬНЫЕ ДАННЫЕ КЛИЕНТОВ
9.1. Получение ПДн осуществляется преимущественно путем представления их самим клиентом, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.9.2. Информация персонального характера клиента обрабатывается с соблюдением требований действующего законодательства Российской Федерации о защите персональных данных.
9.3. Выбор средств защиты информации для системы защиты ПДн осуществляется Банком в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение ч.4 ст.19 Федерального закона № 152-ФЗ.
9.4. Передача ПДн клиентов третьим лицам осуществляется Банком только с письменного согласия клиента, с подтверждающей визой Президента Банка, за исключением случаев, если:
- передача необходима для защиты жизни и здоровья клиента, либо других лиц, и получение его согласия невозможно;
- по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Федеральным законом от 12.08.1995 № 144-ФЗ (ред. от 29.12.2022) «Об оперативно-розыскной деятельности»;
- при наличии оснований, позволяющих полагать, что права и интересы клиента могут быть нарушены противоправными действиями других лиц;
- в иных случаях, прямо предусмотренных законодательством РФ.
9.5. ПДн клиентов, содержащиеся на материальных носителях, уничтожаются с составлением Акта об уничтожении ПДн.
10. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. ПДн субъектов могут быть получены как на бумажных носителях, так и в электронном виде и должны проходить дальнейшую обработку и впоследствии передаваться на хранение.10.2. При получении ПДн не от субъекта информационных отношений (за исключением случаев, если ПДн являются общедоступными) оператор до начала обработки таких ПДн обязан предоставить субъекту следующую информацию:
- цель обработки ПДн и ее правовое основание;
- предполагаемые пользователи ПДн.
10.3. При передаче ПДн сотрудника оператор ПДн должен соблюдать следующие требования:
10.3.1. Не сообщать ПДн сотрудника третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровья сотрудника, а также в случаях, установленных федеральным законом.
10.3.2. Не сообщать ПДн сотрудника в коммерческих целях без его письменного согласия. Обработка ПДн сотрудника в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
10.3.3. Передавать ПДн сотрудника его законным, полномочным представителям в порядке, установленном Трудовым кодексом РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
10.3.4. Предупредить лиц, получивших ПДн сотрудника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие ПДн сотрудника, обязаны соблюдать режим секретности (конфиденциальности).
10.4. Разрешать доступ к ПДн сотрудника только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн, которые необходимы для выполнения конкретной функции.
10.5. Не запрашивать информацию о состоянии здоровья сотрудника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения сотрудником трудовой функции.
10.6. ПДн сотрудников на бумажных носителях обрабатываются и хранятся в общем отделе и в управлении бухгалтерского учета и отчетности, на электронных носителях в соответствующей ИСПДн.
11. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1. Закрепление прав сотрудника, регламентирующих защиту его ПДн, обеспечивает сохранность полной и точной информации о нем.11.2. Сотрудники и их представители должны быть ознакомлены под роспись с документами Банка, устанавливающими порядок обработки ПДн сотрудников, требования к защите ПДн, а также об их правах и обязанностях в этой области. Факт ознакомления с такими документами фиксируется в Листе ознакомления сотрудников (приложение № 5 к настоящему Положению).
11.3. В целях защиты ПДн, хранящихся в Банке, сотрудник имеет право:
- требовать исключения или исправления неверных или неполных ПДн;
- на свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн;
- ПДн оценочного характера дополнить заявлением, выражающим его собственную точку зрения;
- определять своих представителей для защиты своих ПДн;
- на сохранение и защиту своей личной и семейной тайны.
11.4. Сотрудник обязан:
- передавать уполномоченному сотруднику Банка по работе с ПДн сотрудников комплекс достоверных, документированных ПДн, перечень которых установлен Трудовым кодексом РФ.
- своевременно сообщать уполномоченному сотруднику Банка по работе с ПДн сотрудников об изменении своих ПДн.
11.5. Сотрудники своевременно уведомляют уполномоченного сотрудника Банка по работе с ПДН сотрудников об изменении фамилии, имени, отчества, реквизитов документа, удостоверяющего личность, данные об образовании, профессии, специальности, присвоении нового разряда (класс, категория, группа допуска) и других данных, что получает отражение в трудовой книжке на основании представленных документов.
11.6. В целях защиты частной жизни, личной и семейной тайны сотрудники не должны отказываться от своего права на обработку ПДн только с их согласия, поскольку это может повлечь причинение морального, материального вреда.
11.7. Клиент имеет право на получение информации, касающейся обработки его ПДн.
11.8. Сведения должны предоставляться субъекту ПДн оператором ПДн в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
11.9. Для своевременной и полной реализации своих прав, клиент обязан предоставить оператору ПДн достоверные ПДн.
12. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
12.1. Персональная ответственность - одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
12.2. Банк и его сотрудники, в соответствии со своими полномочиями владеющие информацией о ПДн, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
12.3. Руководитель структурного подразделения Банка, разрешающий доступ сотруднику к конфиденциальному документу на материальном носителе с ПДн, несет персональную ответственность за данное разрешение.
12.4. Каждый сотрудник Банка, получающий для работы конфиденциальный документ с ПДн, а также имеющий доступ к ИСПДн Банка, несет личную ответственность за сохранность носителя и конфиденциальность информации.
12.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн сотрудника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
12.5.1. За неисполнение или ненадлежащее исполнение сотрудником возложенных на него обязанностей по соблюдению настоящего Положения, Банк вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания.
12.5.2. Должностные лица, в обязанность которых входит ведение ПДн сотрудника, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Неправомерный отказ в предоставлении собранных в установленном порядке документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации - влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.
12.5.3. В соответствии с Гражданским кодексом лица, незаконными методами получившие информацию, составляющую служебную тайну, обязаны возместить причиненные убытки, причем такая же обязанность возлагается и на сотрудников.
12.6. Неправомерность деятельности органов государственной власти, контролирующих и осуществляющих надзор за деятельностью Банка, аудиторов Банка, организаций, которым предоставляется доступ к ПДн и ИСПДн, по сбору и использованию персональных данных может быть установлена в судебном порядке.
13. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
13.1. Настоящее Положение вступает в силу с момента его утверждения Правлением Банка.13.2. По всем вопросам, возникающим при работе с ПДн, Банк руководствуется действующим законодательством Российской Федерации, требованиями нормативных актов Банка России и внутренних нормативных документов Банка, настоящим Положением.
13.3. Если в результате изменения законодательства, нормативно-правовых актов Российской Федерации и Банка России отдельные положения вступают в противоречие с ними, данные положения утрачивают силу и положения нормативно-правовых актов действуют до внесения изменений в настоящее Положение напрямую. В этом случае Банк обязан корректировать свои действия в полном соответствии с действующим законодательством Российской Федерации.
13.4. Во всем остальном, не предусмотренном настоящим Положением, сотрудники Банка обязаны руководствоваться действующим законодательством Российской Федерации, нормативными актами Банка России, распорядительными и внутренними нормативными документами Банка, а также согласовывать свои действия с непосредственным руководителем.
13.5. В связи с введением в действие настоящего Положения, ранее принятые внутренние нормативные документы Банка, в части работы с ПДн не применяются.
13.6. Настоящее Положение может быть изменено или дополнено по решению Совета директоров Банка при изменениях в действующем законодательстве Российской Федерации, нормативных актах Банка России и внутренних документах Банка, а также в иных случаях по предложению Правления или Президента Банка, за исключением изменений и дополнений, указанных в подпункте 13.6.1 настоящего Положения.
13.6.1. Изменения и дополнения в приложения 1 – 5 к настоящему Положению могут вноситься по решению Правления Банка.
| Президент Банка «Йошкар-Ола» (ПАО) | Р.И. Изофатов |
Приложение № 1
ПЕРЕЧЕНЬ
ЦЕЛЕЙ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В БАНКЕ «ЙОШКАР-ОЛА» (ПАО), СОСТАВА ПЕРСОНАЛЬНЫХ ДАННЫХ И ИХ КАТЕГОРИЙ, А ТАКЖЕ КАТЕГОРИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Nп/п | Цели обработки персональных данных | Категории персональных данных | Категории субъектов персональных данных | |
общие | специальные | |||
11. | Оказание банковских услуг и осуществление уставной деятельности | фамилия, имя, отчество; прежние фамилия, имя, отчество (в случае изменения); год, месяц, дата и место рождения; пол; реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии); данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации; данные документа на право пребывания (вид, серия, номер, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации); сведения о водительском удостоверении; реквизиты свидетельства государственной регистрации актов гражданского состояния; гражданство; информация об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании, профессия); сведения о профессиональной переподготовке и (или) повышении квалификации; сведения об ученой степени, ученом звании (когда присвоено, номера дипломов, аттестатов); информация о владении иностранными языками, степень владения; адрес места жительства (регистрации) или места пребывания, срок фактического проживания, статус жилья по адресу фактического проживания; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); сведения, содержащиеся в свидетельстве о государственной регистрации в налоговом органе (ОГРНИП); СНИЛС; контактная информация (например, номер телефона, факса, адрес электронной почты, почтовый адрес); информация о дополнительном контактном лице, степень родства; сведения о предпринимательской деятельности; имущественное положение, в т.ч. источники происхождения денежных средств и иного имущества, с которыми будут производиться банковские операции, сведения о доходах и расходах, сведения о собственности, сведения о наличии счетов; семейное положение, состав семьи и сведения о близких родственниках, наличие брачного контракта; социальный статус, место работы (предыдущее место работы), сведения о трудовой деятельности, стаж работы, должность; сведения, содержащиеся в трудовой книжке; сведения о трудовом договоре; статус - иностранное публичное должностное лицо, должностное лицо публичной международной организации, публичное должностное лицо РФ, должность, место работы и степень родства по отношению к указанным лицам; сведения о целях установления и предполагаемом характере деловых отношений с Банком, сведения о целях финансово-хозяйственной деятельности; сведения о наличии кредитов, займов, поручительств и залогов; сведения о финансовом положении; сведения о деловой репутации; сведения о воинском учете и реквизиты документов воинского учета, воинское звание; информация об участии в воинах (боевых действиях), ликвидация аварий, катастроф и стихийных действий; информация о социальных льготах, на которые имеется право в соответствии с законодательством; сведения о выгодоприобретателе; сведения о бенефициарном владельце; информация о наградах (поощрениях), почетных званиях; информация о прохождении аттестации; информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; сведения о заработной плате; банковские реквизиты (например, номер расчетного счета, номер корреспондентского счета, БИК, наименование банка, номер текущего (лицевого) счета, номер банковской карты); номера приказов и даты о приеме на работу (увольнении), о переводе, о предоставлении отпуска сотрудника; в отношении представителя клиента - наименование, дата выдачи, срок действия, номер документа, подтверждающего наличие у лица полномочий представителя клиента; иные персональные данные, необходимые для достижения целей, предусмотренных Федеральным законом № 152-ФЗ | сведения о состоянии здоровья | сотрудник и его родственник; бывший сотрудник; соискатель и его родственник; клиент; потенциальный клиент; потребитель финансовых услуг; представитель; третье лицо; участник процедур корпоративного управления, в том числе третьего лица; выгодоприобретатель; бенефициарный владелец |
22. | Ведение кадрового и бухгалтерского учета сотрудников | фамилия, имя, отчество; прежние фамилия, имя, отчество (в случае изменения); год, месяц, дата и место рождения; пол; реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии); данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации; данные документа на право пребывания (вид, серия, номер, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации); сведения о водительском удостоверении; реквизиты свидетельства государственной регистрации актов гражданского состояния; гражданство; информация об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании, профессия); сведения о профессиональной переподготовке и (или) повышении квалификации; сведения об ученой степени, ученом звании (когда присвоено, номера дипломов, аттестатов); информация о владении иностранными языками, степень владения; адрес места жительства (регистрации) или места пребывания, срок фактического проживания; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); СНИЛС; контактная информация (например, номер телефона, факса, адрес электронной почты, почтовый адрес); семейное положение, состав семьи и сведения о близких родственниках, наличие брачного контракта; социальный статус, место работы (предыдущее место работы), сведения о трудовой деятельности, стаж работы, должность; сведения, содержащиеся в трудовой книжке; сведения о трудовом договоре; статус - иностранное публичное должностное лицо, должностное лицо публичной международной организации, публичное должностное лицо РФ, должность, место работы и степень родства по отношению к указанным лицам; сведения о деловой репутации; сведения о воинском учете и реквизиты документов воинского учета, воинское звание; информация об участии в воинах (боевых действиях), ликвидация аварий, катастроф и стихийных действий; информация о социальных льготах, на которые имеется право в соответствии с законодательством; информация о наградах (поощрениях), почетных званиях; информация о прохождении аттестации; информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; сведения о заработной плате; банковские реквизиты (например, номер расчетного счета, номер корреспондентского счета, БИК, наименование банка, номер текущего (лицевого) счета, номер банковской карты); номера приказов и даты о приеме на работу (увольнении), о переводе, о предоставлении отпуска сотрудника; иные персональные данные, необходимые для достижения целей, предусмотренных Федеральным законом № 152-ФЗ | сведения о состоянии здоровья | сотрудник и его родственник; бывший сотрудник |
33. | Подбор персонала (соискателей) на вакантные должности Банка | фамилия, имя, отчество; прежние фамилия, имя, отчество (в случае изменения); год, месяц, дата и место рождения; пол; реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии); данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации; данные документа на право пребывания (вид, серия, номер, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации); сведения о водительском удостоверении; реквизиты свидетельства государственной регистрации актов гражданского состояния; гражданство; информация об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании, профессия); сведения о профессиональной переподготовке и (или) повышении квалификации; сведения об ученой степени, ученом звании (когда присвоено, номера дипломов, аттестатов); информация о владении иностранными языками, степень владения; адрес места жительства (регистрации) или места пребывания, срок фактического проживания, статус жилья по адресу фактического проживания; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); СНИЛС; контактная информация (например, номер телефона, факса, адрес электронной почты, почтовый адрес); информация о дополнительном контактном лице, степень родства; сведения о доходах и расходах, сведения о собственности, сведения о наличии счетов; семейное положение, состав семьи и сведения о близких родственниках, наличие брачного контракта; социальный статус, место работы (предыдущее место работы), сведения о трудовой деятельности, стаж работы, должность; сведения, содержащиеся в трудовой книжке; сведения о трудовом договоре; статус - иностранное публичное должностное лицо, должностное лицо публичной международной организации, публичное должностное лицо РФ, должность, место работы и степень родства по отношению к указанным лицам; сведения о деловой репутации; сведения о воинском учете и реквизиты документов воинского учета, воинское звание; информация об участии в воинах (боевых действиях), ликвидация аварий, катастроф и стихийных действий; информация о наградах (поощрениях), почетных званиях; иные персональные данные, необходимые для достижения целей, предусмотренных Федеральным законом № 152-ФЗ | сведения о состоянии здоровья | соискатель и его родственник |
44. | Рассмотрение обращений граждан | фамилия, имя, отчество; год, месяц, дата и место рождения; реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии); данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации; данные документа на право пребывания (вид, серия, номер, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации); гражданство; адрес места жительства (регистрации) или места пребывания; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); СНИЛС; контактная информация (например, номер телефона, факса, адрес электронной почты, почтовый адрес); информация о дополнительном контактном лице, степень родства; статус - иностранное публичное должностное лицо, должностное лицо публичной международной организации, публичное должностное лицо РФ, должность, место работы и степень родства по отношению к указанным лицам; сведения о целях установления и предполагаемом характере деловых отношений с Банком, сведения о целях финансово-хозяйственной деятельности; сведения о наличии кредитов, займов, поручительств и залогов; в отношении представителя клиента - наименование, дата выдачи, срок действия, номер документа, подтверждающего наличие у лица полномочий представителя клиента; иные персональные данные, необходимые для достижения целей, предусмотренных Федеральным законом № 152-ФЗ | - | клиент; потенциальный клиент; потребитель финансовых услуг; представитель; третье лицо |
55. | Обеспечение пропускного режима на территорию Банка | фамилия, имя, отчество | - | сотрудник и его родственник; бывший сотрудник; соискатель и его родственник; клиент; потенциальный клиент; потребитель финансовых услуг; представитель; третье лицо; участник процедур корпоративного управления, в том числе третьего лица; выгодоприобретатель; бенефициарный владелец |
66. | Исполнение требований законодательства Российской Федерации и нормативных актов Банка России, предъявляемых к деятельности Банка | фамилия, имя, отчество; прежние фамилия, имя, отчество (в случае изменения); год, месяц, дата и место рождения; пол; реквизиты документа, удостоверяющего личность: серия (при наличии) и номер документа, дата выдачи документа, наименование органа, выдавшего документ, и код подразделения (при наличии); данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации; данные документа на право пребывания (вид, серия, номер, дата начала срока пребывания и дата окончания срока пребывания в Российской Федерации); сведения о водительском удостоверении; реквизиты свидетельства государственной регистрации актов гражданского состояния; гражданство; информация об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании, профессия); сведения о профессиональной переподготовке и (или) повышении квалификации; сведения об ученой степени, ученом звании (когда присвоено, номера дипломов, аттестатов); информация о владении иностранными языками, степень владения; адрес места жительства (регистрации) или места пребывания, срок фактического проживания, статус жилья по адресу фактического проживания; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); сведения, содержащиеся в свидетельстве о государственной регистрации в налоговом органе (ОГРНИП); СНИЛС; контактная информация (например, номер телефона, факса, адрес электронной почты, почтовый адрес); информация о дополнительном контактном лице, степень родства; сведения о предпринимательской деятельности; имущественное положение, в т.ч. источники происхождения денежных средств и иного имущества, с которыми будут производиться банковские операции, сведения о доходах и расходах, сведения о собственности, сведения о наличии счетов; семейное положение, состав семьи и сведения о близких родственниках, наличие брачного контракта; социальный статус, место работы (предыдущее место работы), сведения о трудовой деятельности, стаж работы, должность; сведения, содержащиеся в трудовой книжке; сведения о трудовом договоре; статус - иностранное публичное должностное лицо, должностное лицо публичной международной организации, публичное должностное лицо РФ, должность, место работы и степень родства по отношению к указанным лицам; сведения о целях установления и предполагаемом характере деловых отношений с Банком, сведения о целях финансово-хозяйственной деятельности; сведения о наличии кредитов, займов, поручительств и залогов; сведения о финансовом положении; сведения о деловой репутации; сведения о воинском учете и реквизиты документов воинского учета, воинское звание; информация об участии в воинах (боевых действиях), ликвидация аварий, катастроф и стихийных действий; информация о социальных льготах, на которые имеется право в соответствии с законодательством; сведения о выгодоприобретателе; сведения о бенефициарном владельце; информация о наградах (поощрениях), почетных званиях; информация о прохождении аттестации; информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания; сведения о заработной плате; банковские реквизиты (например, номер расчетного счета, номер корреспондентского счета, БИК, наименование банка, номер текущего (лицевого) счета, номер банковской карты); номера приказов и даты о приеме на работу (увольнении), о переводе, о предоставлении отпуска сотрудника; в отношении представителя клиента - наименование, дата выдачи, срок действия, номер документа, подтверждающего наличие у лица полномочий представителя клиента; иные персональные данные, необходимые для достижения целей, предусмотренных Федеральным законом № 152-ФЗ | сведения о состоянии здоровья | сотрудник и его родственник; бывший сотрудник; соискатель и его родственник; клиент; потенциальный клиент; потребитель финансовых услуг; представитель; третье лицо; участник процедур корпоративного управления, в том числе третьего лица; выгодоприобретатель; бенефициарный владелец |
Приложение № 2
| Банк «Йошкар-Ола» (ПАО) 424006, РМЭ, г. Йошкар-Ола, ул. Панфилова, д.39г | Утверждаю Президент Банка «Йошкар-Ола» (ПАО) ___________ _______________ «___»_____________ 20___ г. |
АКТ № _____
об уничтожении персональных данных,
содержащихся на материальных носителях
Комиссия, созданная на основании приказа от «___» ________20__г. отобрала к уничтожению материальные носители, содержащие ПДн:
№ п/п | Дата уничтожения ПДн | Наименование уничтоженного материального носителя, содержащего ПДн | Наименование ИСПДн, из которой были уничтожены ПДн | Регистрационный номер носителя ПДн
|
Примечание |
|
|
|
|
|
|
|
|
|
|
|
|
Всего подлежит уничтожению ___ _(_____________________) носителей
(цифрами и прописью)
После утверждения акта, перечисленные носители сверены с записями в акте и на указанных носителях ПДн уничтожены путем: __________________________________________________________________.
(стирания на устройстве гарантированного уничтожения информации и т.п.)
После утверждения акта, перечисленные носители сверены с записями в акте и уничтожены путем:________________________________________________
__________________________________________________________________.
(разрезания, сжигания, механического уничтожения, сдачи предприятию по утилизации вторичного сырья и т.п.)
Председатель комиссии: __________________/_______________/
Члены комиссии: __________________/_____________ /
_________________ /______________/
_________________/______________/
_________________/______________/
_________________/_______________/
________________/_______________/
«____» __________20___г.
Примечание: 1. Акт составляется на каждый способ уничтожения носителей.
2. Внесение дополнений и изменений в акт не допустимо.
Приложение № 3
Журнал регистрации событий в информационной системе
персональных данных
№ п/п | Дата уничтожения ПДн | Фамилия, Имя, Отчество, чьи ПДн были уничтожены | Категория персональных данных, подлежащих уничтожению | Наименование ИСПДн, из которой были уничтожены ПДн | Причина уничтожения ПДн | Номер, дата акта об уничтожении |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Ответственное лицо
за организацию обработки персональных данных: ________________/_________________/
(подпись) (ФИО)
Приложение № 4
Банк «Йошкар-Ола» (ПАО) 424006, РМЭ, г. Йошкар-Ола, ул. Панфилова, д.39г | Утверждаю Президент Банка «Йошкар-Ола» (ПАО) ___________ _______________ «___»_____________ 20___ г.
|
АКТ № _____
об уничтожении первичных документов, не подлежащих дальнейшему хранению в личном деле сотрудников Банка «Йошкар-Ола» (ПАО)
Комиссия, созданная на основании приказа от «___» ________20__г. отобрала к уничтожению материалы, утратившие документальную ценность:
№ п/п |
Дата уничтожения ПДн |
Фамилия, Имя, Отчество, чьи ПДн были уничтожены | Категория ПДн, подлежащих уничтожению (персональные данные, биометрические данные, специальные категории ПДн, ПДн, подлежащие опубликованию или обязательному раскрытию) |
Наименование уничтоженного носителя, содержащего ПДн |
Количество листов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Всего подлежит уничтожению_______(______________) наименований документальных материалов, входящих в состав личных дел сотрудников Банка.
Документальные материалы перед уничтожением с записями в акте сверили
и полностью уничтожили путем __________________________________________.
Председатель комиссии: __________________/_______________/
Члены комиссии: __________________/_____________ /
_________________ /______________/
_________________/______________/
_________________/______________/
_________________/_______________/
________________/_______________/
«____» __________20___г.
Приложение № 5
Лист ознакомления сотрудников
____________________________________________________________________________
(законодательный документ/нормативный акт/организационно-распорядительный документ)
№ п/п | Ф.И.О. | Дата | Должность | Подпись |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
