Как и зачем «Россельхозбанк» обрабатывает ваши данные

Защита персональных данных наших клиентов является приоритетной задачей АО «Россельхозбанк». Рассказываем, для чего и на каком основании мы собираем и обрабатываем персональные данные

1. Общие положения

1.1. Политика обработки персональных данных в АО «Россельхозбанк» № 643-П (далее – Политика) разработана на основании Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) в целях обеспечения защиты прав и свобод субъектов персональных данных.

1.2. Целью Политики является установление основных принципов, условий и подходов к обработке и обеспечению безопасности персональных данных при их обработке в Банке.

1.3. Банк, являясь Оператором, обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ и принятыми в соответствии с ним нормативно-правовыми актами.

1.4. Настоящая Политика действует в отношении всех процессов в Банке, связанных с обработкой персональных данных, и распространяется на отношения в области обработки персональных данных, возникшие у Банка как до, так и после утверждения настоящей Политики.

1.5. Персональные данные являются конфиденциальной информацией, охраняемой в соответствии с действующим законодательством Российской Федерации и на них, распространяются все требования, установленные внутренними документами Банка, связанными с обеспечением защиты конфиденциальной информации.

1.6. Обработка, обеспечение конфиденциальности и безопасности персональных данных в Банке осуществляется в соответствии с требованиями действующего законодательства Российской Федерации, нормативными актами Банка России, Роскомнадзора, ФСБ России, ФСТЭК России и иных государственных и регулирующих органов и внутренними документами Банка.

1.7. Внутренние документы, регламентирующие обработку персональных данных в Банке, разрабатываются с учетом положений настоящей Политики.

1.8. Настоящая Политика обязательна для ознакомления и исполнения всеми лицами, допущенными к обработке персональных данных в Банке.

1.9. Настоящая Политика является основополагающим внутренним документом Банка, регламентирующим общие положения по вопросам обработки персональных данных. 


2. Термины и определения

2.1. В настоящей Политике используются следующие термины и определения:

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Банк – АО «Россельхозбанк».

Банковская группа не являющееся юридическим лицом объединение юридических лиц, в котором одно юридическое лицо или несколько юридических лиц (далее участники Банковской группы) находятся под контролем либо значительным влиянием Банка.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных) путем ограничения доступа к персональным данным, а также любых иных видов обработки персональных данных, включая изменение, удаление и передачу персональных данных.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определяемому кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных. 


3. Правовые основания обработки персональных данных

Правовыми основаниями обработки персональных данных, во исполнение которых  и в соответствии с которыми Банк осуществляет обработку персональных данных, являются совокупность нормативных правовых актов, внутренних документов Банка, а также иных документов, в том числе:

-  Трудовой кодекс Российской Федерации;

-  Гражданский кодекс Российской Федерации;

-  Налоговый кодекс Российской Федерации;

-  Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности»;

-  Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»  (далее – Федеральный закон № 115-ФЗ);

-  Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;

-  Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях»;

-  Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон № 149-ФЗ);

-  Федеральный закон от 21.12.2013 № 353-ФЗ «О потребительском кредите (займе)»;

-  Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;

-  Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

-  Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;

-  Федеральный закон от 31.05.2002 № 62-ФЗ «О гражданстве Российской Федерации»;

-  Федеральный закон от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»;

-  Федеральный закон от 23.12.2003 № 177-ФЗ «О страховании вкладов физических лиц в банках Российской Федерации»;

-  Федеральный закон от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)»;

-  Федеральный закон от 10.12.2003 № 173-ФЗ «О валютном регулировании  и валютном контроле»;

-  Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

-   Федеральный закон от 07.05.1998 № 75-ФЗ «О негосударственных пенсионных фондах»;

-  Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;

-  Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;

-  Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;

-  Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;

-  Федеральный закон от 16.07.1998 № 102-ФЗ «Об ипотеке (залоге недвижимости)»;

-  Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;

-  Закон Российской Федерации от    07.02.1992 № 2300-1 «О защите прав потребителей»;

-  Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

-  Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

-  Основы законодательства Российской Федерации о нотариате (утверждены ВС РФ 11.02.1993 № 4462-1);

-  приказ Минтруда России от 19.05.2021 № 320н «Об утверждении формы, порядка ведения и хранения трудовых книжек»;

-  Указание Банка России от 09.08.2004 № 1486-У «О квалификационных требованиях к специальным должностным лицам, ответственным за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и программ его осуществления в кредитных организациях»;

-  согласие субъекта на обработку персональных данных;

-  договоры, заключаемые между Банком и субъектами персональных данных;

-  договоры, заключаемые между Банком и третьими лицами-контрагентами; 

-  Генеральная лицензия на осуществление банковских операций № 3349 (выдана Банком России 12.08.2015);

-  Устав АО «Россельхозбанк». 


4. Цели обработки, объем и категории персональных данных, категории субъектов персональных данных

4.1. Обработка персональных данных в Банке должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.2. Содержание и объем обрабатываемых персональных данных в Банке должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.3. В зависимости от целей обработки персональных данных внутренними документами Банка для каждой категории субъектов персональных данных определен конкретный перечень персональных данных, обрабатываемых Банком. Перечень целей обработки персональных данных субъектов персональных данных и категорий субъектов персональных данных, персональные данные которых обрабатываются в Банке, утверждается приказом Банка и подлежит  размещению на        официальном            сайте   Банка  в информационно-телекоммуникационной сети «Интернет» по адресу: www.rshb.ru.

4.4. Перечень персональных данных, в том числе специальных категорий персональных данных, обрабатываемых в Банке, определяется в соответствии с законодательством Российской Федерации, внутренними документами Банка с учетом целей обработки персональных данных, определяемых в соответствии с п.4.3. настоящей Политики и в соответствии с Уведомлением об обработке персональных данных (далее – Уведомление), направленным Банком в уполномоченный орган по защите прав субъектов персональных данных.

4.5. Обработка специальных категорий персональных данных, касающихся расовой принадлежности, политических взглядов, религиозных или философских убеждений Банком не осуществляется. 

Банк осуществляет обработку специальных категорий персональных данных, касающихся национальной принадлежности, состояния здоровья и судимости физических лиц, в случаях, предусмотренных законодательством Российской Федерации и внутренними документами Банка и при наличии правовых оснований, предусмотренных Федеральным законом № 152-ФЗ1. 

4.6. Обработка биометрических персональных данных осуществляется Банком на основании, определенном законодательством Российской Федерации, с согласия субъекта персональных данных на обработку его персональных данных, получаемого в соответствии  с требованиями Федерального закона № 152-ФЗ.


5. Условия и общие принципы обработки персональных данных

5.1. Обработка персональных данных Банком осуществляется на основе следующих принципов:

-             законности и справедливости целей и способов обработки персональных данных;

-             соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Банка;

-             соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

-             достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

-             недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;

-             хранения персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок не установлен Федеральным законом № 152-ФЗ, либо договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.2.            Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных. Банк вправе обрабатывать персональные данные без согласия субъекта персональных данных в случае, если обработка персональных данных необходима для заключения и исполнения договора, стороной которого, либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем. Обработка персональных данных допускается без согласия субъекта персональных данных для достижения целей, предусмотренных международным договором Российской Федерации или законом, осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей и в иных случаях, установленных законодательством Российской Федерации. 

5.3.            Обработка персональных данных в Банке может осуществляться с помощью средств вычислительной техники (автоматизированная обработка) как в информационных системах, целью создания которых является обработка персональных данных, так и в иных информационных системах, в которых персональные данные обрабатываются совместно с информацией, защищаемой в соответствии с требованиями, установленными для этой информации (включая обеспечение режима защиты сведений конфиденциального характера, в том числе составляющих банковскую и иную охраняемую законом тайну, и соблюдение режима коммерческой тайны и др.), либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

5.4.            В Банке запрещается принятие решений на основании исключительно автоматизированной обработки персональных данных, которые порождают юридические последствия в отношении субъекта персональных данных или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации. 

5.5.            К обработке персональных данных допускаются только те работники Банка, должностные обязанности которых обуславливают обработку персональных данных. Указанные работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

5.6.            Банк осуществляет передачу персональных данных государственным органам в рамках их полномочий в соответствии с законодательством Российской Федерации.

5.7.            Банк обеспечивает конфиденциальность персональных данных субъекта персональных данных, а также обеспечивает использование персональных данных исключительно в целях, соответствующих Федеральному закону № 152-ФЗ, договору или иному соглашению, заключенному с субъектом персональных данных. Банк обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.

5.8.            Обеспечение безопасности обрабатываемых персональных данных осуществляется Банком в рамках единой комплексной системы организационно-технических мероприятий по  обеспечению режима конфиденциальности информации, составляющей банковскую и иную охраняемую законом тайну, с учетом действующего законодательства Российской Федерации о персональных данных, принятых в соответствии с ним нормативных правовых актов, включая нормативные акты государственных и регулирующих органов и требования платежных систем и сервисов, путем применения средств  защиты информации, в том числе прошедших в установленном порядке процедуру оценки. Система информационной безопасности Банка непрерывно развивается и совершенствуется на базе требований международных и национальных стандартов информационной безопасности, а также лучших мировых практик. 

5.9.            Сроки обработки персональных данных определяются в соответствии со сроками, установленными Федеральным законом № 152-ФЗ, сроком действия договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, сроками действия документов, регулирующих хранение архивных документов, образующихся в процессе деятельности, сроками хранения документов акционерных обществ, сроком исковой давности, сроком согласия, данным субъектом персональных данных на их обработку, а также иными требованиями законодательства Российской Федерации и нормативными актами Банка России.

5.10.        В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Банк обязан прекратить их обработку (обеспечить прекращение такой обработки, если обработка персональных данных осуществляется другим лицом по поручению Банка) и уничтожить персональные данные (обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом по поручению Банка) в сроки, установленные Федеральным законом № 152-ФЗ. Банк вправе не уничтожать персональные данные и продолжить их обработку без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе № 152-ФЗ. 

5.11.        Банк вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ. В поручении Банка должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона № 152-ФЗ, обязанность по запросу Банка в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Банка требований, установленных в соответствии с Федеральным законом № 152-ФЗ, обязанность обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ, в том числе требование об уведомлении Банка о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ.

5.12.        В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных Банк, обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

5.13.        При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети «Интернет», Банк обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.14.        В случаях, установленных законодательством Российской Федерации, после проведения идентификации при личном присутствии клиента, являющегося гражданином Российской Федерации, с его согласия и на безвозмездной основе Банк обязан размещать или обновлять в электронной форме в единой системе идентификации и аутентификации сведения, необходимые для регистрации в ней клиента, и сведения, предусмотренные Федеральным законом № 115-ФЗ, а также в единой информационной системе персональных данных, обеспечивающей сбор, обработку, хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным клиента, его биометрические персональные данные.

5.15.        Банк обязан предложить субъекту персональных данных, обратившемуся в целях проведения идентификации без личного присутствия, использовать средства защиты информации, включая шифровальные (криптографические) средства, позволяющие обеспечить безопасность передаваемых данных от угроз безопасности, актуальных при обработке биометрических персональных данных, определенных в соответствии с ч. 14  ст. 14.1 Федерального закона № 149-ФЗ, и имеющие подтверждение соответствия требованиям, установленным в соответствии со ст. 19 Федерального закона № 152-ФЗ, и указать страницу сайта в сети «Интернет», с которой предоставляются эти средства.

5.16.        В случае отказа клиента от использования средств защиты информации, включая шифровальные (криптографические) средства, при предоставлении биометрических персональных данных в целях проведения идентификации без его личного присутствия посредством сети «Интернет», Банк уведомляет клиента о рисках, связанных с таким отказом, и после документального подтверждения клиентом своего решения вправе провести соответствующую идентификацию клиента посредством сети «Интернет» без использования шифровальных (криптографических) средств в случаях, установленных законодательством Российской Федерации.

5.17.        В случае отказа клиента от использования средств защиты информации, включая шифровальные (криптографические) средства, при предоставлении своих биометрических персональных данных в целях проведения идентификации без его личного присутствия посредством сети «Интернет» с использованием мобильного телефона, смартфона или планшетного компьютера, Банк обязан отказать такому клиенту в проведении указанной идентификации в соответствии с Федеральным законом № 149-ФЗ.

5.18.        В ходе осуществления своей деятельности Банк может осуществлять трансграничную передачу персональных данных в порядке и в соответствии с требованиями Федерального закона № 152-ФЗ.

5.19.        При обработке персональных данных Банк принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копировния, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.20.        В случае изменения сведений, указанных в Уведомлении, а также в случае прекращения обработки персональных данных Банк обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных. 

5.21.        Субъект персональных данных имеет право:

5.21.1.       На получение информации, касающейся обработки его персональных данных, в том числе содержащей: подтверждение факта обработки персональных данных Банком; правовые основания и цели обработки персональных данных; применяемые Банком способы обработки персональных данных; наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным и другие сведения, предусмотренные ст. 14 Федерального закона № 152-ФЗ. 

5.21.2.        На отзыв согласия на обработку персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Федеральном законе № 152-ФЗ. 

5.22.        При реалиизации прав, указанных в пункте 6.21 настоящей Политики, субъекту персональных данных рекомендуется использовать шаблоны форм обращений, установленных Приложением к настоящей Политике. 

5.23.        При получении обращения субъекта персональных данных Банк обязан направить субъекту персональных данных письменный ответ в порядке и сроки, установленные законодательством Российской Федерации  и внутренними документами Банка. 


6. Ответственность

6.1. Банк назначает ответственное лицо за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных в Банке, осуществляет управление и методологическое сопровождение обработки персональных данных, включая внутренний контроль за соблюдением законодательства Российской Федерации о персональных данных, доводит до сведения работников Банка положения законодательства Российской Федерации о персональных данных и внутренних документов Банка по вопросам обработки персональных данных, осуществляет контроль за приемом и обработкой обращений и запросов субъектов персональных данных или их представителей.

6.2. Ответственность за нарушение требований законодательства Российской Федерации и внутренних документов Банка в сфере обработки и защиты персональных данных определяется в соответствии с законодательством Российской Федерации. 

6.3. Ответственность за обработку и обеспечение выполнения необходимых мероприятий по организации режима конфиденциальности персональных данных в ССП2  возлагается на руководителей ССП. 

6.4. Ответственность за выполнение необходимых мероприятий по организации режима конфиденциальности персональных данных в региональных филиалах возлагается на директоров региональных филиалов.

6.5. Ответственность работников Банка, имеющих доступ к персональным данным, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных, включая разглашение или утрату персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Банка персонально для каждого работника, имеющего доступ к персональным данным и допустившего такое нарушение. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.


7. Порядок актуализации

7.1. Ответственным за пересмотр настоящей Политики, за рассмотрение предложений работников Банка по ее изменению, актуализации является Департамент  комплаенс-контроля.

7.2. Настоящая Политика подлежит пересмотру в случае изменения законодательства Российской Федерации и специальных нормативных правовых актов по обработке и защите персональных данных, а также по инициативе Банка, но не реже одного раза в три года.


8. Заключительные положения

8.1. Настоящая Политика является общедоступной и подлежит размещению на официальном сайте Банка в информационно-телекоммуникационной сети «Интернет» по адресу: www.rshb.ru .

8.2. Обратная связь:

-       Адрес электронной почты: office@rshb.ru

-       Почтовый адрес: 119034, Москва, Гагаринский пер., д. 3.

-       Контактный телефон: (495) 777-11-00, 787-77-87.  





  1. Банк не осуществляет обработку специальных категорий персональных данных в информационных системах персональных данных..


  2. Термин «Самостоятельные структурные подразделения (ССП)» применяется в настоящей Политике в значении, определенном в Положении о подготовке, утверждении и хранении положений о подразделениях  АО «Россельхозбанк» и должностных инструкций работников АО «Россельхозбанк» № 101-П.