Частная политика ООО «СМЛТ БАНК» в отношении обработки и защиты персональных данных

1. ОБЩИЕ ПОЛОЖЕНИЯ.

1.1. Настоящая Политика разработана в целях реализации требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных») и является основополагающим внутренним документом ООО «СМЛТ Банк» (далее – Банк) в области обработки и защиты персональных данных, оператором которых является Банк.
Настоящая Политика определяет общие принципы, цели, порядок и условия обработки персональных данных работников Банка и иных лиц, чьи персональные данные обрабатываются Банком с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных.
1.2. В целях настоящей Политики и с учетом терминологии, приведенной в Федеральном законе «О персональных данных» используются следующие термины и определения:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность;
персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
оператор – Банк, а также государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц; способ обработки персональных данных – действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.3. Положения настоящей Политики распространяются на отношения по обработке и защите ПДн, полученных Банком как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.
1.4. Если в отношениях с Банком участвуют представители субъектов ПДн, то Банк становится оператором ПДн лиц, представляющих указанных субъектов. Положения Политики и другие внутренние документы Банка распространяются на случаи обработки и защиты ПДн представителей субъектов ПДн, даже если эти лица во внутренних документах прямо не упоминаются, но фактически участвуют в правоотношениях с Банком.
1.5. Действие настоящей Политики распространяется на все процессы по сбору, записи, систематизации, накоплению, хранению, уточнению, извлечению, использованию, передаче (предоставлению, доступу), обезличиванию, блокированию, удалению, уничтожению персональных данных, осуществляемых с использованием средств автоматизации и без использования таких средств. 1.6. С учетом требований статей 18.1 и 19 Федерального закона «О персональных данных» Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, включая:
− издание локальных актов, определяющих процедуры обработки персональных данных и обеспечения их безопасности;
− применение правовых, организационных и технических мер по обеспечению защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

2. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.

2.1. Обработка персональных данных осуществляется Банком на основе соблюдения принципов, установленных статьей 5 Федерального закона «О персональных данных»:

1. Обработка персональных данных осуществляется на законной и справедливой основе.
   
2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Обработка персональных данных, несовместимая с целями сбора персональных данных не допускается.
   
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
   
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
   
5. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
   
6. При обработке персональных данных Банком обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
   Банк принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных данных.
   
7. Хранение персональных данных осуществляется Банком в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

3. ОСНОВАНИЯ, ЦЕЛИ ОБРАБОТКИ И ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ.

3.1. Обработка персональных данных осуществляется Банком с соблюдением принципов и правил, определенных Федеральным законом «О персональных данных» и настоящей Политикой.
Условия обработки Банком персональных данных определяются статьей 6 Федерального закона «О персональных данных», согласно которой обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных либо без его согласия в следующих случаях:
− обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей;
− обработка персональных данных осуществляется в связи с участием Банка в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
− обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
− обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
− обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных», при условии обезличивания персональных данных;
− осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
Особенности обработки биометрических персональных данных устанавливаются статьей 11 Федерального закона «О персональных данных»:
− биометрические персональные данные, которые используются для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных;
− обработка биометрических персональных данных может осуществляться без согласия субъекта персональных данных в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации о безопасности, о противодействии терроризму, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, о гражданстве Российской Федерации, законодательством Российской Федерации о нотариате и иных случаях, определенных частью 2 статьи 11 Федерального закона «О персональных данных».
Обработка специальных категорий персональных данных, предусмотренных статьей 10 Федерального закона «О персональных данных» Банком не осуществляется.
3.2. Обработка ПДн осуществляется Банком для выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей, включая:
− Федеральный закон «О банках и банковской деятельности» от 02.12.1990 № 395-1;
− Федеральный закон «О страховании вкладов в банках Российской Федерации» от 23.12.2003 № 177-ФЗ;
− Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 № 115-ФЗ;
− Федеральный закон «О национальной платежной системе» от 27.06.2011 № 161-ФЗ;
− Федеральный закон «Об исполнительном производстве» от 02.10.2007 № 229-ФЗ;Федеральный закон «О валютном регулировании и валютном контроле» от 10.12.2003 № 173-ФЗ;
− Федеральный закон «О рынке ценных бумаг» от 22.04.1996 № 39-ФЗ, − Трудовой кодекс Российской Федерации;
− Федеральный закон «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» от 01.04.1996 № 27-ФЗ;
− Федеральный закон «Об обществах с ограниченной ответственностью» от 08.02.1998 № 14-ФЗ; Закона РСФСР «О конкуренции и ограничении монополистической деятельности на товарных рынках» от 22.03.1991 № 948-1;
− Федеральный закон от 30.12.2004 № 218-ФЗ «О кредитных историях»;
− Федеральный закон от 21.12.2013 № 353-ФЗ «О потребительском кредите (займе)».
3.3. Банк осуществляет обработку персональных данных в следующих целях:
− ведения заявленных в Уставе Банка видов деятельности, а именно осуществления банковских операций и сделок, ведения профессиональной деятельности на рынке ценных бумаг, предусмотренных лицензиями Банка;
− заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами, а также иными лицами, в случаях, предусмотренных действующим законодательством и Уставом Банка;
− исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц;
− в целях исполнения требований главы 14 Трудового кодекса РФ, Федерального закона «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» и иными федеральными законами по вопросам социального обеспечения; для осуществления и выполнения возложенных законодательством Российской Федерации на Банк как на кредитную организацию функций, полномочий и обязанностей.
3.4. С учетом целей обработки персональных данных, определенных в пункте 3.3 настоящей Политики, Банк осуществляет обработку персональных данных следующих субъектов:
− клиентов, контрагентов, их представителей и контактных лиц, плательщиков и получателей платежей, в составе и сроком, необходимыми для исполнения договора, стороной которого является Банк и/или для достижения целей, предусмотренных законом Российской Федерации, осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей;
− кандидатов на замещение вакантных должностей и работников Банка в составе и сроком, необходимыми для заключения или исполнения трудового договора, стороной которого предполагается/является субъект персональных данных, а также для достижения целей, предусмотренных законом Российской Федерации, осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей;
− членов (кандидатов в члены) органов управления Банка, их родственников и супругов в составе и сроком, необходимыми для достижения целей, предусмотренных законом Российской Федерации, осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей;
− аффилированных лиц Банка в составе и сроком, необходимыми для достижения целей, предусмотренных законом Российской Федерации, осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей;
− лиц, проходящих по судебным делам с участием Банка, в составе и сроком, необходимыми для правового обеспечения и обеспечения законности деятельности Банка, а также защиты законных прав и интересов Банка;
− поручителей/залогодателей по кредитам в составе и сроком, необходимыми для заключения договора, по которому субъект персональных данных будет являться стороной;
− лиц, обращающихся в Банк по вопросам его деятельности;
− участников маркетинговых исследований в составе и сроком, необходимыми для достижения статистических или иных исследовательских целей, при условии обязательного обезличивания персональных данных.
3.5. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя сведения, определенные в статье 9 Федерального закона «О персональных данных».
3.6. Банк вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора с соблюдением требований, установленных статьей 6 Федерального закона «О персональных данных» (далее – поручение Банка).
Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных».
Лицо, осуществляющее обработку персональных данных по поручению Банка, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
3.7. Банк не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Банк предоставляет обрабатываемые им ПДн государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих ПДн, в том числе, в соответствии со статьей 26 Федерального закона «О банках и банковской деятельности».
3.8. Если ПДн получены Банком не от субъекта персональных данных, Банк, за исключением нижеуказанных случаев, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:

1. наименование и адрес Банка;
   
2. цель обработки персональных данных и ее правовое основание;
   
3. перечень персональных данных;
   
4. предполагаемые пользователи персональных данных;
   
5. установленные Федеральным законом «О персональных данных» права субъекта персональных данных;
   
6. источник получения персональных данных.
   Банк освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные в подпунктах 1) – 6) настоящего пункта, в случаях, предусмотренных в пункте 4 статьи 18 Федерального закона «О персональных данных», в том числе, если:
   − субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором ПДн;
   − персональные данные получены Банком на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;
   − обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона «О персональных данных».
   3.9. Банк осуществляет трансграничную передачу персональных данных отдельных категорий субъектов персональных данных.
   Трансграничная передача персональных данных осуществляется Банком при условии уведомления уполномоченного органа по защите прав субъектов персональных данных в соответствии с частями 3 – 14 статьи 12 Федерального закона «О персональных данных».
   Трансграничная передача персональных данных на территории иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и не включенных в перечень, предусмотренный частью 2 статьи 12 Федерального закона «О персональных данных», осуществляется исключительно при условии отсутствия решения уполномоченного органа по защите прав субъектов персональных данных о запрещении или об ограничении Трансграничной передачи персональных данных, в соответствии с частью 12 статьи 12 Федерального закона «О персональных данных».
   Запрещение или ограничение трансграничной передачи персональных данных не применяется при осуществлении платежей с использованием платежных систем и платежной инфраструктуры.

4. ОБРАБОТКА ФАЙЛОВ «COOKIE».

«cookie» в следующих целях:
4.1. На своем официальном сайте (сайтах) в сети «Интернет» Банком могут использоваться файлы − авторизации на сайте Банка в качестве зарегистрированного пользователя, предоставления сервисов Банка;
− выявления и устранения ошибок на сайте Банка;
− обеспечения функционирования, повышения производительности и улучшения качества сайта Банка;
− смягчения рисков предотвращения возможного мошенничества, обеспечения безопасности при использовании сайта Банка;
− хранения персональных предпочтений и настроек пользователей;
− предоставления целевой информации по продуктам и услугам Банка и партнеров Банка;
− усовершенствования продуктов и (или) услуг и для разработки новых продуктов и (или) сервисов;
− ведения аналитики. 4.2. В дополнение к пункту 4.1 настоящей Политики при посещении сайта Банка в сети «Интернет» происходит автоматический сбор иных данных, в том числе: технических характеристик устройства, IP- адреса, информации об используемом браузере и языке, даты и времени доступа к сайту, адресов запрашиваемых страниц сайта и иной подобной информации.
4.3. Банком могут использоваться файлы «cookie» и иные автоматизированные и неавтоматизированные способы обработки пользовательских данных (сведения о действиях, которые совершаются пользователем на официальном сайте Банка, сведения об используемых для этого устройствах, дата и время сессии), а также Банк может передавать их третьим лицам для проведения исследований, выполнения работ или оказания услуг.
4.4. Пользуясь официальным сайтом (сайтами) Банка, пользователь выражает свое согласие на использование Банком файлов «cookie» и обработку своих персональных данных Банком на условиях, предусмотренных настоящей Политикой.
4.5. Пользователь вправе самостоятельно управлять файлами «cookie». Используемый браузер и (или) устройство могут позволять блокировать, удалять или иным образом ограничивать использование файлов «cookie». Чтобы узнать, как управлять файлами «cookie» с помощью используемых браузера или устройства, необходимо воспользоваться инструкцией, предоставляемой разработчиком браузера или производителем используемого устройства.
4.6. При удалении или ограничении использования файлов «cookie» некоторые функции сайта Банка или сервисы Банка могут оказаться недоступны.
4.7. Обрабатываемые файлы «cookie» уничтожаются, либо обезличиваются по достижении указанных выше целей обработки или в случае утраты необходимости в достижении этих целей.

5. ПРАВО СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ЕГО ПЕРСОНАЛЬНЫМ ДАННЫМ.

5.1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в порядке и объеме, предусмотренном статьей 14 Федерального закона «О персональных данных».
Указанные сведения предоставляются субъекту персональных или его уполномоченному представителю Банком при обращении либо при получении запроса субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации и условиями договора, заключенного субъектом персональным данных с Банком.
Банк предоставляет сведения, указанные в части 7 статьи 14 Федерального закона «О персональных данных», субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
5.2. Субъект персональных данных вправе требовать от Банка уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.3. В случае, если указанные в пункте 5.1 сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Банку или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5.4. Субъект персональных данных вправе обратиться повторно к Банку или направить повторный запрос в целях получения указанных в пункте 5.1 сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения указанного в пункте 5.3 срока, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с указанными в пункте 5.2 сведениями должен содержать обоснование направления повторного запроса.
5.5. Банк вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным статьей 14 Федерального закона «О персональных данных».

6. ОБЯЗАННОСТИ БАНКА ПРИ ОБРАЩЕНИИ К НЕМУ СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ЛИБО ПРИ ПОЛУЧЕНИИ ЗАПРОСА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ ИЛИ ЕГО ПРЕДСТАВИТЕЛЯ.

6.1. Банк обязан сообщить в порядке, предусмотренном статьей 14 Федерального закона «О персональных данных», субъекту персональных данных или его уполномоченному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его представителя.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.2. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя Банк предоставляет мотивированный ответ в письменной форме с обоснованием такого отказа в соответствии со статьей 14 Федерального закона «О персональных данных» в срок, не превышающий десяти рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.3. Возможность ознакомления субъекта персональных данных (его представителя) с относящимися к нему персональными данными предоставляется Банком безвозмездно.
6.4. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Банк обязан внести в них необходимые изменения.
6.5. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Банк обязан уничтожить такие персональные данные.
6.6. Банк уведомляет субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах согласно пунктам 6.4 и 6.5 настоящей Политики, принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
6.7. По запросу уполномоченного органа по защите прав субъектов персональных данных Банк обязан сообщить необходимую информацию в течение десяти рабочих дней с даты получения такого запроса.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7. УТОЧНЕНИЕ И БЛОКИРОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. УСТРАНЕНИЕ НАРУШЕНИЙ, ДОПУЩЕННЫХ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.

7.1. При обращении субъекта персональных данных или его уполномоченного представителя либо по запросу субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных (далее – уполномоченный орган) в случае выявления неправомерной обработки персональных данных Банк осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.
7.2. В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом, или иных необходимых документов уточняет персональные данные либо обеспечивает их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
7.3. В случае выявления неправомерной обработки персональных данных, осуществляемой Банком или лицом, действующим по поручению Банка, Банк в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Банка.
В случае, если обеспечить правомерность обработки персональных данных невозможно, Банк в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Банк уведомляет субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

8. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ. УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Обработка персональных данных прекращается в следующих случаях:
− при достижении цели обработки персональных данных или в случае утраты необходимости в достижении цели обработки персональных данных, если иное не предусмотрено Федеральным законом «О персональных данных»;
− при изменении, признании утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
− при выявлении факта неправомерной обработки персональных данных;
− при отзыве субъектом персональных данных согласия, если в соответствии с Федеральным законом «О персональных данных» обработка персональных данных допускается только с согласия.
8.2. Сроки обработки и хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и Банком, сроком исковой давности, сроками хранения документов на бумажных носителях, иными требованиями законодательства Российской Федерации, нормативными документами Банка России, а также сроком действия согласия субъекта на обработку его персональных данных.
Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.
8.3. В случае достижения цели обработки персональных данных Банк прекращает обработку персональных данных или обеспечивает ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) и уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных либо если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами.
8.4. В случае обращения субъекта персональных данных к Банку с требованием о прекращении обработки персональных данных Банк обязан в срок, не превышающий десяти рабочих дней с даты получения Банком соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона «О персональных данных». Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
8.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Банк прекращает их обработку или обеспечивает прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные или обеспечивает их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных либо если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или другими федеральными законами. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пункте 2 статьи 9 Федерального закона «О персональных данных».
8.6. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в настоящем разделе, Банк осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1. Настоящая Политика является общедоступным внутренним документом Банка, содержащим сведения о реализуемых требованиях к защите персональных данных, и подлежит размещению (опубликованию) на официальном сайте Банка в целях предоставления к ней неограниченного доступа.
9.2. Настоящая Политика подлежит изменению в случае изменения законодательства в области обработки и защиты персональных данных, а также подлежит плановому пересмотру не реже одного раза в три года. В случае изменения законодательства настоящая Политика применяется в части, не противоречащей ему, до внесения в неё соответствующих изменений.
9.3. Контроль исполнения требований настоящей Политики осуществляется уполномоченными лицами Банка, ответственными за обеспечение безопасности персональных данных.