Утверждено Решением Правления

Азия-Инвест Банка (ЗАО)

Протокол г.

ПОЛИТИКА АЗИЯ-ИНВЕСТ БАНКА (ЗАО)

В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ОБЩИЕ ПОЛОЖЕНИЯ Настоящий документ определяет политику Азия-Инвест Банк (ЗАО) (далее – Банк) в отношении обработки персональных данных (далее – ПДн). Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации о ПДн и нормативно-методическими документами исполнительных органов государственной власти по вопросам безопасности ПДн, в том числе при их обработке в информационных системах ПДн (далее – ИСПДн). Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передачи (распространению, предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без использования таких средств. Настоящая Политика предназначена для опубликования в информационно-телекоммуникационной сети Интернет с целью обеспечения неограниченного доступа к данному документу. Настоящая Политика пересматривается в случае изменений в законодательных и подзаконных актах РФ, регламентирующих обработку ПДн.
ЦЕЛЬ ПОЛИТИКИ Обеспечение легитимности обработки, уровня защищённости и заданных характеристик безопасности (таких как конфиденциальность, целостность, доступность) ПДн при их обработке в Банке.
ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Обработка ПДн осуществляется на основе следующих принципов: обработка ПДн осуществляется на законной и справедливой основе; обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей; не допускается обработка ПДн, несовместимая с целями сбора ПДн; не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместных между собой; обработке подлежат только те ПДн, которые отвечают целям их обработки; содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки; обрабатываемые ПДн не являются избыточными по отношению к заявленным целям обработки; при обработке ПДн обеспечивается точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки. хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн; обрабатываемые ПДн подлежат уничтожению, либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ Обработка ПДн осуществляется с соблюдением принципов и правил, установленных Федеральным законом «О персональных данных». Обработка ПДн допускается в следующих случаях: обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн; обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей; обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве; обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем; обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно; обработка ПДн необходима для осуществления прав и законных интересов Банка или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных; обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн. Исключение составляет обработка ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации, при условии предварительного согласия субъекта персональных данных; осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн, либо по его просьбе; осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом. В следующих случаях (за исключением случаев, указанных в ФЗ «О персональных данных») требуется письменное согласие субъекта на обработку его ПДн: включение ПДн субъекта в общедоступные источники ПДн; обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни; обработка биометрических ПДн (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта ПДн); трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн; принятие на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта ПДн или иным образом затрагивающих его права и законные интересы; обработка ПДн, являющихся сведениями о судимости субъекта ПДн. При отсутствии необходимости письменного согласия субъекта на обработку его ПДн согласие субъекта может быть дано субъектом ПДн или его представителем в любой позволяющей получить факт его получения форме. Банк вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). Лицо, осуществляющее обработку ПДн по поручению Банка, обязано соблюдать принципы и правила обработки ПДн, предусмотренные федеральными законами. В случае, если Банк поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Банк. Лицо, осуществляющее обработку ПДн по поручению Банка, несет ответственность перед Банком. Банк и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
ОБЯЗАННОСТИ БАНКА В соответствии с требованиями Федерального закона «О персональных данных» Банк обязан: предоставлять субъекту ПДн по его запросу информацию, касающуюся обработки его ПДн, либо на законных основаниях предоставить отказ; по требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. вести Журнал учета обращений субъектов ПДн, в котором должны; фиксироваться запросы субъектов ПДн на получение персональных данных, а также факты предоставления персональных данных по этим запросам; уведомлять субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн (за исключением случаев, указанных в ФЗ «О персональных данных»); в случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн осуществить блокирование ПДн, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц; в случае подтверждения факта неточности ПДн на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных; в случае достижения цели обработки ПДн прекратить обработку ПДн или обеспечить её прекращение (если обработка ПДн осуществляется другим лицом по поручению Банка) и уничтожить ПД или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено соглашением (договором) между Банком и субъектом ПДн.; в случае отзыва субъектом ПДн согласия на обработку своих ПДн прекратить обработку ПДн или обеспечить её прекращение (если обработка ПДн осуществляется другим лицом по поручению Банка как оператора) и в случае, если отсутствуют основания, указанные в пунктах 2) – 10) раздела 4.1, уничтожить ПДн или обеспечить их уничтожение в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением (договором) между Банком и субъектом ПДн.; в случае выявления неправомерной обработки ПДн, осуществляемой Банком или лицом, действующим по поручению Банка, в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Банка; в случае, если обеспечить правомерность обработки ПДн невозможно, в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, уничтожить такие ПДн или обеспечить их уничтожение; об устранении допущенных нарушений или об уничтожении ПДн уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган; в случае поступления требования субъекта о прекращении обработки ПДн в целях продвижения товаров, работ, услуг на рынке немедленно прекратить обработку ПДн; до начала обработки ПДн уведомить уполномоченный орган по защите прав субъектов ПДн о своём намерении осуществлять обработку ПДн.
5.2 В случае отсутствия возможности уничтожения ПДн в течение срока, указанного в п. 6) - 8) настоящего раздела, Банк осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом по поручению Банка) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ При обработке ПДн Банк принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн. Обеспечение безопасности ПДн достигается, в частности: определением угроз безопасности ПДн при их обработке в ИСПДн; применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности ПДн; применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации; оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн; учетом машинных носителей ПДн; обнаружением фактов несанкционированного доступа к ПДн и принятием мер; восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета действий, совершаемых с ПДн в ИСПДн; контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.