КБ «Крокус-Банк» (ООО) ▴ Политика конфиденциальности

ПОЛИТИКА КБ «КРОКУС-БАНК» (ООО) В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1 Общие положения


1.1 Назначение политики

Настоящий документ (далее – Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в КБ «Крокус-Банк» (ООО) (далее – Банк). Политика является общедоступным документом Банка и предусматривает возможность ознакомления с ней неограниченного круга лиц.

1.2 Основные понятия

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

Биометрические персональные данные - сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются для установления личности субъекта персональных данных;

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Единая биометрическая система (ЕБС) — государственная информационная система, обеспечивающая сбор биометрических персональных данных, их хранение и использование для аутентификации и идентификации пользователей.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые
с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению
и техническим характеристикам;

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных,
а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;

Предоставление персональных данных – действия, направленные
на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных – действия, направленные
на раскрытие персональных данных неопределенному кругу лиц;

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации;

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Угрозы безопасности персональных данных – совокупность условий
и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при
их обработке в информационной системе персональных данных;

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных
в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3 Основные права Банка как оператора персональных данных

Обработка персональных данных осуществляется на законной и справедливой основе, а также с соблюдением принципов и правил, предусмотренных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) на основании согласия субъекта персональных данных на обработку его персональных данных, кроме случаев, предусмотренных Федеральным законом № 152-ФЗ.

Банк оставляет за собой право проверить полноту и точность предоставленных персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. В случае выявления ошибочных или неполных персональных данных, Банк имеет право прекратить все отношения с субъектом персональных данных.

В случае получения согласия на обработку персональных данных
от представителя субъекта персональных данных, полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Банком.

Персональные данные могут быть получены Банком от лица,
не являющегося субъектом персональных данных, при условии предоставления Банком подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона № 152-ФЗ.

Банк вправе отказать субъекту персональных данных в выполнении запроса на доступ к своим персональным данным, не соответствующего условиям, предусмотренным частями 4 и 5 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Банке.

Банк вправе поручить обработку персональных данных иному лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение Банка). В случаях, когда Банк поручает обработку персональных данных третьему лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Банк. Лицо, осуществляющее обработку персональных данных по поручению Банка, несет ответственность перед Банком.

1.4 Основные обязанности Банка как оператора ПДн

Банк не собирает персональные данные, не обрабатывает
и не передаёт персональные данные субъектов персональных данных третьим лицам, без согласия субъекта персональных данных, если иное
не предусмотрено законодательством Российской Федерации.

Банк обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона № 152-ФЗ, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение 10 рабочих дней с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных или его законного представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных, Банк осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется иным лицом, действующим по поручению Банка)
с момента такого обращения или получения указанного запроса на период проверки.

В случае выявления неточных персональных данных при обращении субъекта персональных данных или его законного представителя либо
по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных, Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется иным лицом, действующим по поручению Банка)
с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права
и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом
по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется иным лицом, действующим по поручению Банка) в течение 7 рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой Банком или лицом, действующим по поручению Банка, Банк в срок, не превышающий 3-х рабочих дней с даты выявления неправомерной обработки персональных данных, осуществляет прекращение неправомерной обработки персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по поручению Банка.

В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав субъектов персональных данных, Банк обязан с момента выявления такого инцидента Банком, уполномоченным органом по защите прав субъектов персональных данных или иным заинтересованным лицом уведомить уполномоченный орган по защите прав субъектов персональных данных:

  • в течение 24-х часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, и предполагаемом вреде, нанесенном правам субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном Банком на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;

  • в течение 72-х часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).

В случае, если обеспечить правомерность обработки персональных данных невозможно, Банк в срок, не превышающий 10 рабочих дней
с даты выявления неправомерной обработки персональных данных, осуществляет уничтожение таких персональных данных или обеспечивает
их уничтожение. Решение о неправомерности обработки персональных данных и необходимости уничтожения персональных данных принимает ответственный за организацию обработки персональных данных, который доводит соответствующую информацию до руководства. Об устранении допущенных нарушений или об уничтожении персональных данных Банк уведомляет субъекта персональных данных или его законного представителя,
а в случае, если обращение субъекта персональных данных или его законного представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае достижения цели обработки персональных данных, Банк прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется иным лицом, действующим по поручению Банка) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется иным лицом, действующим по поручению Банка) в срок, не превышающий 30 дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных, либо если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных
на основаниях, предусмотренных Федеральным законом № 152-ФЗ или иными федеральными законами.

В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Банк прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется иным лицом, действующим по поручению Банка) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется иным лицом, действующим по поручению Банка) в срок, не превышающий 30 дней с даты поступления указанного отзыва, если иное
не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных либо если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом № 152-ФЗ или иными федеральными законами.

В срок, не превышающий 7 рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Банк вносит в них необходимые изменения.

В срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Банк уничтожает такие персональные данные. При этом, Банк уведомляет субъекта персональных данных или его законного представителя
о внесенных изменениях и предпринятых мерах и принимает меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.

Банк обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 рабочих дней в случае направления Банком в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

В случае отсутствия возможности уничтожения персональных данных
в течение срока, указанные выше по тексту, Банк осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется иным лицом, действующим по поручению Банка) и обеспечивает уничтожение персональных данных в срок не превышающий 6 месяцев, если иной срок
не установлен федеральными законами.

1.5 Основные права субъекта ПДн

Субъект персональных данных принимает решение о предоставлении Банку своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

В целях обеспечения своих законных интересов субъекты персональных данных или его представители имеют право:

  • получать полную информацию о своих персональных данных
    и обработке этих данных (в том числе автоматизированной);

  • осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;

  • требовать уточнение его персональных данных, их блокирование или уничтожения в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. Субъект персональных данных при отказе Банка исключить или исправить, блокировать или уничтожить его персональные данные, имеет право заявить в письменной форме о своем несогласии, обосновав соответствующим образом такое несогласие. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;

  • требовать от Банка уведомления всех лиц, которым ранее были сообщены неверные или неполные, устаревшие, неточные, незаконно полученные или не являющиеся необходимыми для заявленной цели обработки персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них, в том числе блокирование или уничтожение этих данных третьими лицами;

  • обжаловать в суде или в уполномоченном органе по защите прав субъектов персональных данных любые неправомерные действия или бездействие Банка при обработке и защите персональных данных субъекта персональных данных, если субъект персональных данных считает, что Банк осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Банком;

  • правовые основания и цели обработки персональных данных;

  • цели и применяемые Банком способы обработки персональных данных;

  • наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона;

  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

  • сроки обработки персональных данных, в том числе сроки их хранения;

  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;

  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;

  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу;

  • информацию о способах исполнения Банком обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ;

  • иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае, если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Банку или направить ему повторный запрос в целях получения сведений,
и ознакомления с персональными данными не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым
в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

Субъект персональных данных вправе обратиться повторно до истечения 30-ти дневного срока в случае, если сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.

Банк вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренные частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Обществе.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если:

  • обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

  • обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональных данных;

  • обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

  • доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

  • обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, Банка и государства в сфере транспортного комплекса от актов незаконного вмешательства.

2 Субъекты персональных данных и цели обработки персональных данных

Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Обработке подлежат только те персональные данные, которые отвечают целям их обработки и не должны быть избыточными по отношению
к заявленным целям.

2.1. В Банке обрабатываются персональные данные следующих субъектов ПДн:

- физических лиц, состоящих с Банком в трудовых, гражданско-правовых и иных договорных отношениях (сотрудников, клиентов, контрагентов, акционеров, аффилированных лиц Банка) и их законных представителей;

- членов семей сотрудников Банка;

- соискателей на занятие вакантных должностей;

- физических лиц, являющихся уполномоченными лицами клиентов – юридических лиц;

- физических лиц, направивших заявку на получение кредита в Банке;

- физических лиц, персональные данные которых предоставляются Банку

государственными органами РФ в рамках исполнения законодательства РФ либо содержатся в запросах от государственных органов РФ о предоставлении им информации о физических лицах;

- посетителей Банка, не являющихся его сотрудниками или клиентами;

- посетителей Интернет-ресурсов Банка;

2.2. В ИСПДн Банка обрабатываются данные, которые не могут быть отнесены к специальным категориям персональных данных.
2.3. Обработка персональных данных субъектов ПДн, являющихся

сотрудниками Банка, осуществляется в связи с трудовыми отношениями в целях обеспечения соблюдения требований законов и иных нормативных правовых актов РФ, содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества, выполнения договорных отношений.

2.4. Обработка персональных данных субъектов ПДн, являющихся членами семей сотрудников Банка, осуществляется в целях обеспечения соблюдения требований законов и иных нормативных правовых актов РФ.
2.5. Обработка персональных данных субъектов ПДн, являющихся соискателями на занятие вакантных должностей, осуществляется с целью принятия решения о возможности заключения с ними трудового договора.
2.6. Обработка персональных данных субъектов ПДн - посетителей Интернет ресурсов Банка осуществляется с целью предоставления им информации о Банке и его услугах, а также предоставления им возможности оформления онлайн-заявок на предоставление услуг и возможности задать вопросы Банку.
2.7. Обработка персональных данных субъектов ПДн, направивших заявку на получение кредита в Банке, осуществляется с целью принятия решения о выдаче им кредита.
2.8. Обработка персональных данных субъектов ПДн, являющихся посетителями Банка, осуществляется в целях обеспечения безопасности и нормальной деятельности сотрудников Банка (а также клиентов, контрагентов, посетителей Банка), обеспечения безопасности информации, обрабатываемой на объектах и в помещениях Банка.
2.9. Обработка персональных данных субъектов ПДн - физических лиц,

состоящих с Банком в гражданско-правовых и иных договорных отношениях (клиентов, контрагентов, акционеров, аффилированных лиц Банка) и их законных представителей, а также физических лиц, являющихся уполномоченными лицами клиентов - юридических лиц, осуществляется в целях:

- осуществления банковской деятельности в рамках лицензий предусматривающих предоставление услуг субъектам ПДн;

- выполнения договорных и законодательных обязательств Банком перед клиентами, акционерами и контрагентами;

- осуществления депозитарной, дилерской и брокерской деятельности в рамках лицензий, выданных Федеральной службой по финансовым рынкам, Банком России, предусматривающих предоставление услуг субъектам ПДн;

- предоставления субъектам ПДн (и их законным представителям) в их интересах и по их требованию информации о выполнении Банком и субъектом ПДн взаимных гражданско-правовых и договорных обязательств по выполненным/завершённым (прекратившим своё действие) договорам и гражданско-правовым отношениям;

- осуществления возложенных на Банк законодательством Российской Федерации функций в соответствии с Налоговым кодексом Российской Федерации, федеральными законами, в т. ч.: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «Об акционерных обществах», «О рынке ценных бумаг», «О страховании вкладов физических лиц в банках Российской Федерации», «О бухгалтерском учёте», нормативными актами Банка России, а также Уставом и внутренними документами Банка.

2.10. Сбор и передача в ЕБС биометрических ПДн — регистрация биометрических контрольных шаблонов для обеспечения возможности клиентам - физическим лицам проходить в офисах банков биометрическую идентификацию, а также размещение и обновление сведений, полученных в ходе биометрической идентификации (изображение лица и запись голоса), в Единой биометрической системе (ЕБС) и в Единой системе идентификации и аутентификации (ЕСИА).

3 Правовые основания обработки персональных данных Банком

Банк обрабатывает персональные данные в соответствии со следующими нормативными правовыми актами:

  • Конституция Российской Федерации;

  • Трудовой кодекс Российской Федерации;

  • Арбитражный процессуальный кодекс Российской Федерации;

  • Гражданский кодекс Российской Федерации;

  • Гражданский процессуальный кодекс Российской Федерации;

  • Кодекс Российской Федерации об административных правонарушениях;

  • Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

  • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

  • Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

  • Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;

  • Кодекс административного судопроизводства Российской Федерации;

  • Устав КБ «Крокус-Банк» (ООО);

  • согласие на обработку персональных данных;

  • исполнение договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также заключение договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

  • трудовые договоры;

  • локальные акты КБ «Крокус-Банк» (ООО) в области защиты персональных данных.


4 Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Банк осуществляет на законной и справедливой основе обработку персональных данных следующих физических лиц (субъектов персональных данных):

1. Цель «подбор персонала и ведение кадрового резерва» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

  • кандидаты на замещение вакантной должности:

Иные категории: фамилия, имя, отчество, прежние фамилия, имя, отчество (в случае их изменения, дата, место и причина изменения), пол, дата рождения, место рождения, гражданство (в том числе предыдущие гражданства, иные гражданства), паспортные данные, адрес, контактные данные (номер телефона, электронная почта), СНИЛС, ИНН, семейное положение, состав семьи, степень родства, информация о трудовой деятельности, сведения о воинском учете, сведения об образовании, сведения о дополнительном профессиональном образовании, серия и номер диплома, квалификация, ученая степень, ученое звание, владение иностранными языками, фотография, сведения об аттестации, сведения о наличии (отсутствии) судимости, иные сведения, которые субъект персональных данных пожелал сообщить о себе.

  • близкие родственники кандидатов на замещение вакантной должности:

Иные категории: фамилия, имя, отчество, степень родства, дата рождения, место рождения, адрес, место работы и должность, гражданство.

2. Цель «исполнение обязанностей юридического лица как работодателя (кадровый учет и управление персоналом)» достигается посредством обработки персональных данных следующих категорий для следующих субъектов:

  • работники:

Иные категории: фамилия, имя, отчество, прежние фамилия, имя, отчество, дата рождения, год рождения, место рождения, адрес, состав семьи, информация о трудовой деятельности, степень родства, должность, подразделение, сведения о перемещении работника, ИНН, СНИЛС, паспортные данные, пол, семейное положение, имущественное положение, гражданство, доходы, трудовой стаж, контактные данные (номер телефона, электронная почта), сведения об аттестации, банковские реквизиты, место работы, серия и номер диплома, сведения о повышении (присвоении) квалификации, владение иностранными языками, воинское или специальное звание, квалификационный разряд, сведения о наличии (отсутствии) судимости, сведения о воинском учете, данные заграничного паспорта, сведения о дополнительном профессиональном образовании, сведения о профессиональной переподготовке, сведения об образовании, сведения, содержащиеся в автобиографии, сведения о социальных льготах, специальность, сведения о трудовом стаже, учетный номер, сведения о повышении квалификации, профессиональной переподготовке, сведения о заработной плате, иные сведения, содержащие персональные данные, которые субъект персональных данных пожелал сообщить о себе.

  • близкие родственники работников:

Иные категории: фамилия, имя, отчество, адрес, дата рождения, гражданство, имущественное положение, место рождения, пол, степень родства, место работы и должность.

  • уволенные (уволившиеся) работники:

Иные категории: фамилия, имя, отчество, прежние фамилия, имя, отчество, дата рождения, год рождения, место рождения, адрес, состав семьи, информация о трудовой деятельности, степень родства, должность, подразделение, сведения о перемещении работника, ИНН, СНИЛС, паспортные данные, пол, семейное положение, имущественное положение, гражданство, доходы, трудовой стаж, контактные данные (номер телефона, электронная почта), сведения об аттестации, банковские реквизиты, место работы, сведения о наличии (отсутствии) судимости, сведения о воинском учете, сведения о профессиональной переподготовке, сведения об образовании, сведения, содержащиеся в автобиографии, сведения о социальных льготах, специальность, сведения о трудовом стаже, учетный номер, сведения о повышении квалификации, профессиональной переподготовке, сведения о заработной плате, иные сведения, содержащие персональные данные, которые субъект персональных данных пожелал сообщить о себе.

  • близкие родственники уволенных (уволившихся) работников:

Иные категории: фамилия, имя, отчество, адрес, дата рождения, гражданство, имущественное положение, место рождения, пол, степень родства, место работы и должность.

3. Цель «осуществления банковской деятельности в рамках лицензий предусматривающих предоставление услуг, выполняемых в рамках договорных и законодательных обязательств Банка перед клиентами, акционерами и контрагентами» достигается посредством обработки персональных данных следующих категорий:

Иные категории: фамилия, имя, отчество, прежние фамилия, имя, отчество, дата рождения, год рождения, место рождения, адрес, состав семьи, информация о трудовой деятельности, степень родства, должность, подразделение, сведения о перемещении работника, ИНН, СНИЛС, паспортные данные, пол, семейное положение, имущественное положение, гражданство, доходы, контактные данные (номер телефона, электронная почта), банковские реквизиты, место работы, сведения о заработной плате, иные сведения, содержащие персональные данные, которые субъект персональных данных пожелал сообщить о себе.

4. Цель «сбор и передача биометрических персональных данных граждан в ГИС ЕБС» для граждан, оформивших согласие на обработку биометрических персональных данных в письменной форме:

Биометрические персональные данные:

- изображение лица человека, полученное с помощью фотовидеоустройств;

- запись голоса человека, полученная с помощью звукозаписывающих устройств;

Персональные данные о субъекте:

-ФИО;

- паспортные данные;

- ИНН, СНИЛС.

Персональные данные о субъекте и биометрические данные хранятся в разных системах и связаны между собой только идентификационным номером учетной записи.




5 Порядок и условия обработки персональных данных

5.1 Перечень действий с персональными данными субъектов, осуществляемых Банком

Банком осуществляются следующие действия с персональными данными: сбор, запись, хранение, накопление, систематизация, уточнение (обновление, изменение), использование, извлечение, передача (предоставление, доступ), обезличивание, удаление, уничтожение.

Биометрические персональные данные – только сбор и отправка в ЕБС.

5.2 Способы обработки персональных данных

Банком применяются следующие способы обработки персональных данных: смешанная обработка персональных данных с передачей по внутренней сети и сети интернет.

5.3 Передача персональных данных третьим лицам

Условия передачи персональных данных: поручение Банка.

Местонахождение третьего лица: Российская Федерация. Трансграничная передача персональных данных не осуществляется.

Цели передачи персональных данных: определяются в договорах с контрагентами.

Наименование субъекта и перечень передаваемых персональных данных:

  • работники, клиенты Банка

Иные категории персональных данных: фамилия, имя, отчество, должность, подразделение, банковские реквизиты, сведения о заработной плате.

Перечень действий, разрешенных третьему лицу: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача (предоставление, доступ), обезличивание, удаление, уничтожение.

Способы обработки персональных данных третьим лицом: смешанная обработка персональных данных с передачей по внутренней сети и сети интернет.

В случае поручения обработки персональных данных третьему лицу, ему предъявляются требования принимать необходимые организационные, технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных, в том числе: определение угроз безопасности персональных данных при их обработке
в информационных системах; учёт машинных носителей персональных данных; обнаружение фактов несанкционированного доступа к персональным данным и принятием мер; контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищённости информационных систем персональных данных.

Кроме того, Банк вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

5.4 Меры по обеспечению безопасности персональных данных при их обработке

Банк при обработке персональных данных принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обеспечение безопасности персональных данных Банком достигается следующими мерами:

  • оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона «О персональных данных», соотношение указанного вреда и принимаемых защитных мер;

  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных закону «О персональных данных»
    и внутренним документам Банка по вопросам обработки персональных данных;

  • ознакомление работников, осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации
    о персональных данных, политикой Банка в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников;

  • издание политики Банка в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных;

  • учет машинных носителей персональных данных;

  • назначение Ответственного за организацию обработки персональных данных;

  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации (сертифицированные СЗИ);

  • определение угроз безопасности персональных данных при
    их обработке в информационных системах персональных данных;

  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

5.5 Место нахождение баз данных


Базы персональных данных Банка находятся полностью в пределах территории Российской Федерации.

5.6 Сроки обработки персональных данных

Персональные данные субъектов, обрабатываемые Банком, подлежат уничтожению либо обезличиванию в случае:

  • достижения целей обработки персональных данных или утраты необходимости в достижении этих целей;

  • отзыва субъектом персональных данных согласия на обработку его персональных данных;

  • истечения срока действия согласия субъекта персональных данных на обработку его персональных данных;

  • отсутствия возможности обеспечить правомерность обработки персональных данных;

  • прекращения деятельности Банка.

5.7 Условия обработки персональных данных без использования средств автоматизации

При обработке персональных данных, осуществляемой без использования средств автоматизации, в Банке руководствуются требованиями, установленными постановлением Правительства Российской Федерации
от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Персональные данные при такой их обработке обособляются от иной информации, в частности, путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

6 Регламент реагирования на запросы обращения субъектов персональных данных и их представителей

При обращении, запросе в письменной или электронной форме субъекта персональных данных или его законного представителя, на доступ к своим персональным данным Банк руководствуется требованиями статей 14, 18
и 20 Федерального закона № 152-ФЗ.

Субъект или его законный представитель может воспользоваться формами запросов (заявлений), указанными в приложениях 1-12 к данной Политике.

Доступ субъекта персональных данных или его законного представителя к своим персональным данным в Банке предоставляется только под контролем ответственного за организацию обработки персональных данных Банка.

Обращение субъекта персональных данных или его законного представителя фиксируются в журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных.

Запрос в письменной или электронной форме субъекта персональных данных или его законного представителя фиксируются в журнале регистрации письменных запросов граждан на доступ к своим персональным данным.

Ответственный за организацию обработки персональных данных принимает решение о предоставлении доступа субъекта к персональным данным.

В случае, если данных предоставленных субъектом недостаточно для установления его личности или предоставление персональных данных нарушает конституционные права и свободы иных лиц, ответственный
за организацию обработки персональных данных подготавливает мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий 30 рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо от даты получения запроса субъекта персональных данных или его законного представителя.

Для предоставления доступа субъекта персональных данных или его законного представителя к персональным данным субъекта ответственный
за организацию обработки персональных данных привлекает работника (работников) структурного подразделения, обрабатывающего персональные данные субъекта, по согласованию с руководителем этого структурного подразделения.

Сведения о наличии персональных данных Банк предоставляет субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных. Контроль предоставления сведений субъекту или его законному представителю осуществляет ответственный за организацию обработки персональных данных.

Сведения о наличии персональных данных предоставляются субъекту при ответе на запрос в течение 30 дней от даты получения запроса субъекта персональных данных или его законного представителя.

7 Регламент реагирования на запросы обращения уполномоченных органов

В соответствии с частью 4 статьи 20 Федерального закона № 152-ФЗ Банк сообщает в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение 30 дней с даты получения такого запроса.

Сбор сведений для составления мотивированного ответа на запрос надзорных органов осуществляет ответственный за организацию обработки персональных данных, при необходимости с привлечением работников других подразделений Банка.

В течение установленного срока ответственный за организацию обработки персональных данных подготавливает и направляет
в уполномоченный орган мотивированный ответ и иные необходимые документы.




Приложение №1 Запрос на предоставление информации об обработке персональных данных Скачать
Приложение №2 ЗАЯВЛЕНИЕ на уточнение/блокирование/уничтожение персональных данных Скачать
Приложение №3 ЗАЯВЛЕНИЕ на получение доступа к персональным данным Скачать
Приложение №4 ЗАЯВЛЕНИЕ на отзыв согласия Скачать
Приложение №5 ОТКАЗ в предоставлении сведений Скачать
Приложение №6 УВЕДОМЛЕНИЕ Скачать
Приложение №7 УВЕДОМЛЕНИЕ О блокировании персональных данных Скачать
Приложение №8 УВЕДОМЛЕНИЕ об обработке персональных данных Скачать
Приложение №9 УВЕДОМЛЕНИЕ Скачать
Приложение №10 УВЕДОМЛЕНИЕ о прекращении обработки и уничтожении персональных данных Скачать
Приложение №11 УВЕДОМЛЕНИЕ Скачать
Приложение №12 УВЕДОМЛЕНИЕ об уточнении персональных данных Скачать