ГлавнаяПолитика АО "Россельхозбанк" в отношении обработки персональных данных

Политика АО "Россельхозбанк" в отношении обработки персональных данных

1. Общие положения

1.1. Настоящая Политика АО «Россельхозбанк» в отношении обработки персональных данных (далее – Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» и применяется в отношении всех персональных данных, к которым АО «Россельхозбанк» (далее – Банк) может получить доступ от субъекта персональных данных.

1.2.  Политика распространяется на персональные данные, полученные как до, так и после утверждения настоящей Политики.

1.3. Важнейшим условием реализации целей деятельности Банка является обеспечение необходимого и достаточного уровня безопасности активов, к которым в том числе относятся персональные данные и банковские технологические процессы, в рамках которых они обрабатываются, в связи с чем обеспечение безопасности персональных данных является одной из приоритетных задач Банка.

1.4. Обработка и обеспечение безопасности информации, отнесенной к персональным данным, в Банке осуществляется в соответствии с законодательством Российской Федерации, нормативными актами Банка России и иными требованиями регуляторов и внутренними документами Банка и позволяет обеспечить защиту персональных данных, в том числе обрабатываемых как с использованием средств автоматизации в информационных системах персональных данных, т.е. в системах, целью создания которых является обработка персональных данных и к защите которых предъявляют требования и рекомендации по обеспечению безопасности персональных данных Федеральная служба безопасности Российской Федерации (ФСБ России), Федеральная служба по техническому и экспортному контролю (ФСТЭК России), так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (включая обеспечение режима защиты сведений конфиденциального характера, в т.ч. составляющих банковскую тайну, а также соблюдение режима коммерческой тайны и др.), а также без использования таких средств или систем.

1.5. Настоящая Политика определяет принципы и условия обработки Банком персональных данных работников Банка и иных лиц, чьи персональные данные обрабатываются Банком, в целях обеспечения защиты прав и свобод человека и гражданина, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.6. Персональные данные являются конфиденциальной информацией, охраняемой в соответствии с действующим законодательством Российской Федерации, и на них распространяются все требования, установленные внутренними документами Банка, связанными с обеспечением защиты конфиденциальной информации.

2. Понятие и состав персональных данных

2.1. Перечень персональных данных, обрабатываемых в Банке, формируется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Уставом АО «Россельхозбанк» и требованиями внутренних документов Банка.

2.2. Сведениями, составляющими персональные данные1, в Банке является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

2.3. В зависимости от субъекта персональных данных, Банк обрабатывает персональные данные следующих категорий субъектов персональных данных:

- персональные данные работника Банка – информация, необходимая Банку в связи с трудовыми отношениями и касающаяся конкретного работника;

- персональные данные практиканта – информация, необходимая Банку в связи с прохождением студентами учебных заведений практики в Банке и касающаяся конкретного практиканта;

- персональные данные кандидата на работу в Банк – информация, необходимая Банку для проведения подбора персонала на работу в Банк и касающаяся конкретного кандидата на должность;

- персональные данные аффилированного лица, инсайдера или персональные данные руководителя, участника (акционера) или работника юридического лица, являющегося аффилированным лицом по отношению к Банку – информация, необходимая Банку для отражения в отчетных документах о деятельности Банка в соответствии с требованиями федеральных законов, нормативных документов Банка России и иных нормативно-правовых актов;

- персональные данные клиента, руководителя, участника (акционера) или работника юридического лица, являющегося клиентом Банка, выгодоприобретателя, бенефициарного владельца – информация, необходимая Банку для выполнения своих обязательств в рамках договорных отношений с клиентом и для выполнения требований законодательства Российской Федерации;

- персональные данные потенциального клиента, контрагента, заемщика, созаемщика, выгодоприобретателя, бенефициарного владельца – информация, необходимая Банку в целях рассмотрения вопроса о заключении договорных отношений/проведении операций и сделок с потенциальным клиентом, контрагентом, заемщиком, созаемщиком и для выполнения требований законодательства Российской Федерации;

- персональные данные представителя клиента, поручителя клиента, родственников клиента – информация, необходимая Банку для выполнения своих обязательств в рамках договорных отношений с клиентом, поручителем клиента и для выполнения требований законодательства Российской Федерации;

- персональные данные посетителя – информация, необходимая Банку в связи с обеспечением пропускного режима при посещении Банка посетителем и касающаяся конкретного посетителя.

3. Цели обработки персональных данных

Банк осуществляет обработку персональных данных в следующих целях:

- осуществление банковских операций и иной деятельности, предусмотренной Уставом и лицензиями Банка, нормативными актами Банка России, действующим законодательством Российской Федерации, в том числе следующими Федеральными законами: от 02.12.1990 № 395-1 «О банках и банковской деятельности», от 30.12.2004 № 218-ФЗ «О кредитных историях», от 27.06.2011 № 161-ФЗ «О национальной платежной системе», от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле», от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг», от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)», от 23.12.2003 № 177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации», от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», от 31.05.2002 № 62-ФЗ «О гражданстве Российской Федерации», от 27.07.2006 № 152-ФЗ «О персональных данных», от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;

- заключение, исполнение и прекращение гражданско-правовых договоров с физическими, юридическим лицами, индивидуальными предпринимателями и иными лицами, в том числе на основании сведений, полученных в результате удаленной идентификации, в случаях, предусмотренных действующим законодательством Российской Федерации и Уставом Банка;

- сбор и передача биометрических персональных данных оператору единой биометрической системы в соответствии с требованиями законодательcтва Российской Федерации;

- организация кадрового учета и кадрового делопроизводства по работникам Банка, организация и прохождение практики студентов учебных заведений, проведение подбора персонала на работу в Банк, обеспечение соблюдения трудового законодательства и иных нормативно-правовых актов, содержащих нормы трудового права, заключение трудовых договоров и исполнение обязательств по ним, содействие в трудоустройстве, повышение квалификации работников и продвижение их по службе, пользование различного вида льготами, исполнение требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование, и обеспечение заполнения первичной статистической документации в соответствии, в том числе, с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральным законодательством, в частности: Федеральными законами от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» и от 27.07.2006 № 152-ФЗ «О персональных данных», а также Уставом Банка и внутренними документами Банка.

4. Сроки обработки персональных данных

4.1. Сроки обработки персональных данных определяются в соответствии со сроками, установленными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», сроком действия договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, сроками действия документов, установленными приказом Министерства культуры Российской Федерации от 25.08.2010 № 558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», и постановлением Федеральной комиссии по рынку ценных бумаг от 16.07.2003      № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, сроком согласия, данным субъектом персональных данных на их обработку, а также иными требованиями законодательства Российской Федерации и нормативными документами Банка России.

4.2. В Банке создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Банке данных документов установлены постановлением Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5. Права и обязанности

5.1. Права и обязанности Банка

5.1.1. Банк, как оператор персональных данных, имеет право:

-  отстаивать свои интересы в суде;

- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

- отказывать в предоставлении персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

- использовать персональные данные субъекта без его согласия в случаях, предусмотренных законодательством Российской Федерации.

5.1.2. Банк, как оператор персональных данных, обязан:

- уведомить в установленном порядке уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

- в случае изменения сведений, указанных в Уведомлении АО «Россельхозбанк» об обработке (намерении осуществлять обработку) персональных данных, а также в случае прекращения обработки персональных данных уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных;

- представить по запросу уполномоченного органа по защите прав субъектов персональных данных документы и локальные акты, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, необходимые для обеспечения выполнения обязанностей Банка, как оператора персональных данных;

- не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации;

- в случаях, установленных законодательством Российской Федерации, после проведения идентификации при личном присутствии клиента, являющегося гражданином Российской Федерации, с его согласия и на безвозмездной основе размещать или обновлять в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней клиента, и сведения, предусмотренные Федеральным законом от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», а также в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным клиента, его биометрические персональные данные;

- предложить субъекту персональных данных, обратившемуся в целях проведения идентификации без личного присутствия, использовать средства защиты информации, включая шифровальные (криптографические) средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных, определенных в соответствии с ч. 14 ст. 14.1 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», и имеющие подтверждение соответствия требованиям, установленным в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», и указать страницу сайта в сети «Интернет», с которой предоставляются эти средства;

- в случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Банк, как оператор персональных данных, обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка, как оператора персональных данных) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц;

- по требованию субъекта персональных данных прекратить обработку его персональных данных, за исключением случаев, предусмотренных законодательством Российской Федерации;

- обеспечить уведомление субъекта персональных данных или его представителя или уполномоченного органа по защите прав субъектов персональных данных об устранении допущенных нарушений или об уничтожении персональных данных в соответствии с требованиями законодательства Российской Федерации;

- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» и иными законодательными актами Российской Федерации, в т.ч. ограничивать доступ к информации, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, в порядке, установленном законодательством Российской Федерации;

- при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.2. Права и обязанности субъекта персональных данных

5.2.1. Субъект/представитель субъекта персональных данных имеет право:

- требовать уточнения/исправления своих персональных данных (субъекта персональных данных), их блокирования или уничтожения в случае, если персональные данные являются неполными, неточными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав (прав субъекта персональных данных);

-  требовать предоставления перечня своих персональных данных (субъекта персональных данных), обрабатываемых Банком, и информации об источнике их получения, если иное не предусмотрено законодательством Российской Федерации;

- получать информацию о сроках обработки своих персональных данных (субъекта персональных данных), в том числе о сроках их хранения;

- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные/неточные/неактуальные его персональные данные (субъекта персональных данных), обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Банка при обработке его персональных данных (субъекта персональных данных);

- на защиту своих прав (субъекта персональных данных) и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

- отозвать согласие на обработку своих персональных данных (субъекта персональных данных), за исключением случаев, предусмотренных законодательством Российской Федерации.

5.2.2. Субъект/представитель субъекта персональных данных обязан:

- своевременно предоставлять Банку сведения об изменении своих персональных данных (субъекта персональных данных), если такая обязанность предусмотрена договором между субъектом персональных данных и Банком, законодательством или внутренними документами Банка.

1.3. Банк и субъект персональных данных вправе воспользоваться своими правами, не указанными в данной Политике, но предоставленными им законом либо договором.

6. Принципы и условия обработки персональных данных

6.1. Обработка персональных данных Банком осуществляется на основе принципов:

- законности и справедливости целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Банка;

- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

- хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок не установлен федеральным законом либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;

- уничтожения либо обезличивания по достижении целей обработки персональных данных или в случае утраты необходимости в их достижении.

6.2. Обработка персональных данных, в т.ч. биометрических персональных данных, осуществляется Банком на основании условий, определенных законодательством Российской Федерации, с согласия субъекта персональных данных на обработку его персональных данных, получаемого в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

7. Обеспечение безопасности персональных данных

7.1. Банк предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

7.2. Банк принимает меры для ознакомления работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных и нормами международного права2, в том числе с требованиями к защите персональных данных, документами, определяющими политику Банка в отношении обработки персональных данных, локальными актами Банка по вопросам обработки персональных данных, и (или) обучение указанных работников.

7.3. При предоставлении биометрических персональных данных клиента по каналам связи в целях проведения его идентификации без личного присутствия посредством сети «Интернет» должны применяться средства защиты информации, включая шифровальные (криптографические) средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных, определенных в соответствии с ч. 14 ст. 14.1 Федерального закона от 27.07.2006 № 149-ФЗ
«Об информации, информационных технологиях и о защите информации», и имеющие подтверждение соответствия требованиям, установленным в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

7.4. В случае отказа клиента от использования средств защиты информации, включая шифровальные (криптографические) средства, при предоставлении биометрических персональных данных в целях проведения идентификации без его личного присутствия посредством сети «Интернет», Банк уведомляет клиента о рисках, связанных с таким отказом, и после документального подтверждения клиентом своего решения вправе провести соответствующую идентификацию клиента посредством сети «Интернет» без использования шифровальных (криптографических) средств в случаях, установленных законодательством Российской Федерации.

7.5. В случае отказа клиента от использования средств защиты информации, включая шифровальные (криптографические) средства, при предоставлении своих биометрических персональных данных в целях проведения идентификации без его личного присутствия посредством сети «Интернет» с использованием мобильного телефона, смартфона или планшетного компьютера, Банк обязан отказать такому клиенту в проведении указанной идентификации в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

7.6. Ответственность за организацию, управление и методологическое сопровождение обработки персональных данных в Банке, включая внутренний контроль соблюдения законодательства Российской Федерации о персональных данных, возлагается на директора Департамента комплаенс-контроля Банка в соответствии с приказом Банка. Ответственность за выполнение необходимых мероприятий по организации режима конфиденциальности персональных данных в структурных подразделениях возлагается на руководителей структурных подразделений. Ответственность за выполнение необходимых мероприятий по организации режима конфиденциальности персональных данных в региональных филиалах возлагается на директоров региональных филиалов.

8. Заключительные положения

8.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Банка.

8.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, а также по инициативе Банка, но не реже одного раза в три года.

8.3. Ответственность работников Банка, имеющих доступ к персональным
данным, за невыполнение требований норм, регулирующих обработку и защиту
персональных данных, определяется в соответствии с законодательством Российской
Федерации и внутренними документами Банка.

8.4. Банк имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции.

8.5. Действующая редакция хранится в месте нахождения АО «Россельхозбанк» по адресу: г. Москва, Гагаринский пер., д. 3. Электронная версия Политики размещается на сайте АО «Россельхозбанк»: www.rshb.ru.

8.6. К настоящей Политике и отношениям между субъектами персональных данных и АО «Россельхозбанк» подлежит применению право Российской Федерации, если иное не предусмотрено действующим законодательством.

8.7. Обратная связь

8.7.1. Адрес электронной почты: office@rshb.ru.

8.7.2. Почтовый адрес: 119034, Москва, Гагаринский пер., д. 3.

8.7.3. Контактный телефон: (495) 777-11-00, 787-77-87.

 

1 В том числе, сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Банком для установления личности субъекта персональных данных.

2 Регламент № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (утв. от 27.04.2016 № 2016/679 Брюссель), Конвенция о защите физических лиц при автоматизированной обработке персональных данных (заключена 28.01.1981 в г. Страсбург).





АО "Россельхозбанк" использует cookie (файлы с данными о прошлых посещениях сайта) для персонализации сервисов и удобства пользователей. Вы можете запретить сохранение cookie в настройках своего браузера. Обработка Ваших персональных данных производится в соответствии с требованиями Федерального закона от 27.07.2008 № 152-Ф3 "О персональных данных".