8 800 250-57-57
Частным лицам 8 495 723-77-77
Бизнесу 8 800 700-77-16
Онлайн звонок
Информация по картам частных лиц
Блокировка утерянных карт, информация об операциях, остатках, пополнениях и снятиях наличных

Платежи и переводы
Кредитные продукты
Карты
Вклады и счета
Инвестиции и страхование
Обслуживание

Обработка персональных данных

УТВЕРЖДЕНО
Приказом Председателя Правления Банка
от 24.04.2019 №514-07

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. ПАО «БАНК УРАЛСИБ» (далее – Банк) при осуществлении своей деятельности уделяет приоритетное внимание вопросам обеспечения информационной безопасности. В Банке принят комплекс правовых, организационных и технических мер, направленных на защиту информации о клиентах, работниках, контрагентах и других Субъектах персональных данных.

1.2. Настоящая Политика Банка в отношении обработки персональных данных (далее – Политика) предоставляет информацию об основных принципах, целях, правовых основаниях, порядке и условиях обработки персональных данных (далее - ПДн), об их объеме и категориях, а также реализуемых требованиях к их защите. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ).

1.3. Банк, его должностные лица и Работники несут гражданско-правовую, административную и иную ответственность за несоблюдение принципов, требований к защите и условий обработки ПДн физических лиц, а также за разглашение или незаконное использование персональных данных в соответствии с законодательством Российской Федерации.

1.4. Настоящая Политика является общедоступным документом, размещаемым на официальном сайте Банка в информационно-телекоммуникационной сети «Интернет», неограниченный доступ к которому предоставляется любому заинтересованному лицу.

2. НОРМАТИВНЫЕ ССЫЛКИ

Конституция Российской Федерации

Федеральный закон Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Федеральный закон №152-ФЗ) Федеральный закон от 02.12.90 №395-1-ФЗ «О банках и банковской деятельности» (далее – Федеральный закон №395-1-ФЗ)

Федеральный закон от 06.04.2011 №63-ФЗ «Об электронной подписи»

Федеральный закон от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации» (далее - Федеральный закон №125-ФЗ)

Приказ Министерства культуры Российской Федерации от 25.08.2010 №558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»

Приказ Роскомнадзора от 05.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных»

3. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Автоматизированная обработка персональных данных
– обработка ПДн с помощью средств вычислительной техники
Биометрические персональные данные
– сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются Банком для установления личности Субъекта ПДн
Близкие родственники
– родственники по прямой восходящей и нисходящей линии (родители и дети, дедушки, бабушки и внуки), полнородные и не полнородные (имеющие общих отца или мать) братья и сестры, супруг или супруга, а также приравненные к ним лица в рамках закона
Блокирование персональных данных
– временное прекращение обработки ПДн (за исключением случаев, когда обработка необходима для уточнения ПДн)
Оператор ПДн
– Публичное акционерное общество «БАНК УРАЛСИБ» (ПАО «БАНК УРАЛСИБ», Банк), организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, и действия (операции), совершаемые с ПДн
Персональные данные (ПДн)
– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (Субъекту персональных данных)
Корпоративный клиент
– индивидуальный предприниматель, а также физическое лицо, занимающееся в установленном законодательством Российской Федерации порядке частной практикой, заключившее или намеревающееся заключить с Банком договор на оказание услуг. В качестве клиента могут выступать заемщик, вкладчик, владелец банковского счета; лицо, вносящее денежные средства на банковский счет, выгодоприобретатель, залогодатель, поручитель или физическое лицо, осуществляющее операцию без открытия счета в рамках одной или нескольких платежных систем РФ и т.п.
Розничный клиент
– физическое лицо, которое заключило или намеревается заключить с Банком договор на оказание услуг (включая получение услуг путем присоединения к условиям публичного договора), и персональные данные которого переданы Банку. В качестве клиента могут выступать заемщик, вкладчик, владелец банковского счета; лицо, вносящее денежные средства на банковский счет, выгодоприобретатель, залогодатель, поручитель или физическое лицо, осуществляющее операцию без открытия счета в рамках одной или нескольких платежных систем РФ и т.п.
Кандидат
– физическое лицо, претендующее на вакантную должность в Банке, персональные данные которого приняты Банком
Клиент
– термин, используемый при совместном упоминании Корпоративного клиента и Розничного клиента
Представитель
– физическое лицо, являющееся представителем физического или юридического лица, полномочия которого основаны на доверенности, договоре, законе либо акте уполномоченного на то государственного органа или органа местного самоуправления
Сведения о посетителях сайта
– перечень данных пользователей, собираемых с помощью аналитических интернет-сервисов с целью анализа их поведения на сайте, а также для анализа эффективности используемых в сети Интернет средств рекламы и продвижения ресурса
Субъект персональных данных
- физическое лицо, которое прямо или косвенно определенное с помощью персональных данных. В рамках настоящего Положения: - клиент, (кроме юридического лица) либо представитель клиента;
- представители либо сотрудники юридических лиц, сведения о которых юридические лица передают в Банк;
- посетители Банка, которым оформляются разовые или временные пропуска при посещении ими офисов Банка
- близкие родственники Клиента, сведения о которых предоставляются в Банк;
- другие физические лица, которые посещают интернет-сайт Банка, и заполняют на нем различные формы с целью получить банковский продукт/услугу, стать клиентом или воспользоваться сервисом (например, переводом с карты на карту)
Доступ к информации
– возможность получения информации и ее использование (в частности копирование, модификация или уничтожение информации; получение Субъектом персональных данных возможности ознакомления с информацией, в том числе при помощи технических средств)
Информационная система персональных данных
– совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий и технических средств
Конфиденциальность персональных данных
– режим ограниченного доступа, включающий в себя требование не раскрывать третьим лицам и не допускать распространение ПДн без согласия Субъекта ПДн или наличия иного основания согласно действующему законодательству Российской Федерации
Материальный носитель персональных данных
– материальный объект, используемый для закрепления и хранения информации. В целях настоящего Положения под материальным носителем понимается бумажный документ, диск, дискета, флэш-карта и т.п.
Обезличивание персональных данных
– действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному Субъекту ПДн, производимые в соответствии с Приказом Роскомнадзора от 05.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных»
Обработка персональных данных
– любое действие (операция) или совокупность действий (операций) Банка, совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
Общедоступные персональные данные
– ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе, в частности, ПДн включенные с письменного согласия Субъекта ПДн в общедоступные источники ПДн, доступ к которым имеет неограниченный круг лиц
Ответственное лицо
– работник Банка, назначенный ответственным в части выполнения бизнес- или функциональным подразделением Банка локальных актов Банка по вопросам обработки персональных данных
Отзыв согласия
– заявление Субъекта ПДн, направленное Оператору ПДн, о прекращении действия ранее данного согласия (согласий) на обработку ПДн
Практикант
– студент учебного учреждения (вуза или ссуза), направленный учебным учреждением в Банк для прохождения ознакомительной, учебной, производственной или преддипломной практики на основании заключенного Соглашения о сотрудничестве между Банком и учебным учреждением.
Подразделение ИБ
– Управление информационной безопасности прикладных систем и Управление информационной безопасности сетевой и системной инфраструктуры Службы безопасности
Предоставление персональных данных
– действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц
Работник Банка
– физическое лицо, заключившее с Банком трудовой договор или приравненное к нему соглашение
Распространение персональных данных
– действия, направленные на раскрытие ПДн неопределенному кругу лиц, в том числе обнародование ПДн в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к ПДн каким-либо иным способом
Роскомнадзор
– уполномоченный орган по защите прав Субъектов ПДн - Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (РКН)
Сайт
– официальная страница Банка в информационно-телекоммуникационной сети «Интернет», доменное имя и (или) по сетевой адрес которой, принадлежат Банку
Согласие
– решение Субъекта персональных данных, принятое свободно, своей волей и в своем интересе, о предоставлении его ПДн и их обработке Оператором ПДн
Стажер
– студент или выпускник учебного учреждения, выполняющий определенный перечень работ в рамках срочного трудового договора (гражданско-правового договора), заключенного c Банком
Страна, обеспечивающая адекватную защиту
– Иностранное государство, являющееся стороной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также государство, не являющееся стороной указанной Конвенции, если оно обеспечивает адекватную защиту прав Субъектов персональных данных на основе местного законодательства. Перечень государств, в которых местное законодательство обеспечивает защиту ПДн утверждается Приказом Роскомнадзора, зарегистрированным в Минюсте РФ, и размещается на официальном интернет-портале правовой информации
Трансграничная передача персональных данных
- передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу. Осуществляется в соответствии с Федеральным законом №152-ФЗ и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства
Уничтожение персональных данных
- действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн
Цель обработки персональных данных
? конкретный конечный результат действий, совершенных с ПДн, вытекающий из требований действующего законодательства Российской Федерации либо договорных отношений сторон, и направленный на исполнение требований законодательства, а также на создание необходимых правовых условий для достижения оптимального учета интересов сторон

4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Обработка персональных данных в Банке осуществляется на основании следующих принципов:

  • законности и справедливости оснований для обработки ПДн, законности целей и способов обработки ПДн;
  • соответствия целей обработки персональных данных целям, конкретизированным и заранее определенным, заявленным при сборе ПДн;
  • соответствие содержания и объема обрабатываемых ПДн, способов обработки ПДн заявленным целям обработки ПДн;
  • обеспечения точности, достоверности, достаточности и, в необходимых случаях, актуальности ПДн по отношению к целям их обработки, недопустимости избыточности обрабатываемых ПДн по отношению к заявленным целям их обработки;
  • недопустимости объединения созданных для несовместимых между собой целей баз данных ПДн.

4.2. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных.

4.3. Банк не осуществляет принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении Субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных, или при условии наличия согласия в письменной форме Субъекта ПДн.

5. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Банк осуществляет обработку ПДн для достижения следующих целей:

  • осуществление банковских операций и заключение/исполнение сделок в соответствии с Уставом Банка и выданными Банку лицензиями на совершение банковских и иных операций;
  • рассмотрение возможности предоставления финансовых или иных услуг Субъекту персональных данных в соответствии с законодательством Российской Федерации;
  • предоставление отчетности государственным надзорным органам, Банку России в соответствии с требованиями действующего законодательства Российской Федерации;
  • предоставление Субъекту персональных данных информации об оказываемых услугах, о разработке Банком новых продуктов и услуг, об услугах партнеров Банка, информирование о предложениях по продуктам и услугам, а также о проводимых акциях, об оценке качества обслуживания клиентов и мероприятиях (по которым имеется предварительное согласие Клиента на их получение);
  • проведение акций, мероприятий, опросов, исследований, заключение, исполнение, изменение и прекращение договоров с Клиентами и контрагентами и/или реализация совместных проектов;
  • проведение мероприятий по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (ПОД ФТ);
  • формирование и получение данных о кредитной истории Клиента;
  • проведение мероприятий, необходимых действий по урегулированию заявлений, претензий; отработке сообщений Клиентов по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж;
  • обработка запросов Субъектов персональных данных (в рамках действующего законодательства);
  • обеспечения пропускного режима на объектах Банка (в том числе для однократного пропуска Субъекта ПДн на территорию Банка);
  • выявления случаев мошенничества, хищения денежных средств со счета Клиента, иных противоправных действий, предотвращения таких противоправных действий в дальнейшем и локализации последствий таких действий;
  • прием на практику студентов и выпускников учебных заведений для прохождения ознакомительной, учебной, производственной или преддипломной практики, а также для ознакомления с работой подразделений Банка и дальнейшее рассмотрение практиканта как кандидата на открытые вакансии Банка;
  • прием на стажировку студентов и выпускников учебных заведений с целью оценки качества выполнения работ стажером в рамках заявленного Банком проекта для рассмотрения как кандидата на открытые вакансии;
  • рассмотрение возможности заключения, заключение и исполнение трудового соглашения/договора с Субъектом персональных данных;
  • регулирование трудовых (гражданско-правовых) отношений Субъекта ПДн с Банком (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества);
  • передача Банком персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством Российской Федерации и установленным в Банке порядком;
  • осуществление функций, полномочий и обязанностей, возложенных на Банк действующим законодательством Российской Федерации;
  • осуществление мероприятий по проверке контрагента / Клиента (лица, осуществляющего функции единоличного исполнительного органа юридического лица/его уполномоченных представителей / учредителей/бенефициарных владельцев) до заключения с ними договора;
  • проверка наличия/отсутствия сведений о банкротстве в Едином федеральном реестре сведений о банкротстве;
  • осуществление телефонной связи с целью информирования о задолженности перед Банком (в том числе о сумме и сроках погашения задолженности);
  • взыскание просроченной / проблемной задолженности;
  • получение и обработка сведений, содержащихся в индивидуальном лицевом счете в Пенсионном Фонде Российской Федерации
  • информирование Клиента о проведенных операциях;
  • регистрация Cубъектов ПДн в Единой биометрической системе;
  • исполнение поручения третьего лица на обработку персональных данных в соответствии с требованиями действующего законодательства,

а также для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.

5.2. В целях анализа поведения посетителей сайта на сайте, а также анализа эффективности используемых в сети Интернет средств рекламы и продвижения ресурса, а также для целей оптимизации Банком своих веб-ресурсов, Банк самостоятельно обрабатывает обезличенные сведения о посетителях сайта (количество посетителей сайта, количество визитов на сайт, среднее время, проведенное на сайте за визит, запрошенный контент сайта, поведение на сайте, глубина просмотра и т.д.), а также с помощью аналитических интернет-сервисов. Посетители сайта заранее уведомляются о такой обработке и, в случае несогласия с ней, могут покинуть сайт Банка. В этом случае их данные не обрабатываются.

6. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Банк осуществляет обработку персональных данных.

6.2. Перечень правовых актов приведен в Приложении №1.

7. ОБЪЕМ И КАТЕГОРИЯ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. При определении состава обрабатываемых персональных данных Субъектов персональных данных Банк руководствуется минимально необходимым перечнем персональных данных для достижения целей обработки ПДн.

7.2. К категориям Субъектов ПДн относятся:

  • Акционеры/участники;
  • физические лица, аффилированные с Банком;
  • физические лица, входящие в органы управления Банка;
  • физические лица, которым оформляются пропуска на территорию мест нахождения Банка, его филиалов, представительств, внутренних структурных подразделений;
  • физические лица и индивидуальные предприниматели, их законные представители, намеревающиеся вступить или состоящие в договорных и иных гражданско-правовых отношениях с Банком, в том числе через партнеров или контрагентов Банка (лица оказывающие услуги Банку, заемщики, залогодатели, поручители, вкладчики, владельцы банковских счетов, лица, арендующие банковские сейфовые ячейки; отправители/получатели платежей, депоненты и иные лица, пользующиеся финансовыми услугами Банка,), иные лица, обработка ПДн которых необходима для возникновения и/или исполнения указанных договорных и иных гражданско-правовых отношений (супруг/супруга заемщика, поручителя, залогодателя, опекун, наследник(-и) и т.п.);
  • физические лица, состоящие в гражданско-правовых отношениях с Клиентом банка, в интересах которого Клиент осуществляет финансовые операции (платежи).
  • физические лица-представители юридических лиц, уполномоченные взаимодействовать с Банком, в т. ч. в связи с намерением вступить или состоящие в договорных и иных гражданско-правовых отношениях с Банком;
  • выгодоприобретатели;
  • бенефициарные владельцы;
  • пользователи сайта;
  • лица, ПДн которых передаются в Банк в рамках оказания финансовых услуг, исполнения договора с третьими лицами, инвестиционной деятельности, прямых сделок купли-продажи имущества;
  • работники Банка;
  • физические лица, осуществляющие выполнение работ по оказанию услуг и заключившие с Банком договор гражданско-правового характера;
  • бывшие работники Банка;
  • кандидаты на замещение вакантных должностей;
  • Стажеры, Практиканты;
  • Близкие родственники работников;
  • физические лица, персональные данные которых включены в общедоступные источники ПДн, а их обработка не нарушает их прав и соответствует требованиям, установленным законодательством РФ о персональных данных;
  • работники, представители федеральных, региональных органов государственной власти РФ, органов местного самоуправления судов, правоохранительных органов и других регуляторов.
  • работники, члены Российских и международных организаций, отраслевых ассоциаций, Международных платежных систем и других коммерческих и некоммерческих организаций, а также представители средств массовой информации;
  • участники конкурсов по выбору поставщиков продукции и услуг;
  • лица, осуществляющие доставку корреспонденции (курьеры, сотрудники спецсвязи, Почты России);
  • иные физические лица, выразившие согласие на обработку Банком их персональных данных или физические лица, обработка персональных данных которых необходима Банку для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.

7.3. При обработке Банком ПДн не допускается сбор избыточных ПДн по отношению к заявленным целям обработки. В состав обрабатываемых ПДн могут входить:

  • фамилия, имя, отчество;
  • пол;
  • число, месяц, год рождения, место рождения, страна рождения;
  • гражданство; статус (резидент/нерезидент); семейное положение;
  • социальное положение (в т.ч. сведения о социальных льготах);
  • сведения о принадлежащем клиенту имуществе;
  • сведения об опеке и попечительстве / об усыновлении;
  • образование, должность, место работы, доходы, сведения о трудовой деятельности, данные документов, удостоверяющих личность; и иных документов, выданных на имя Субъекта ПДн (трудовые книжки, водительские удостоверения, миграционные карты, разрешение на временное проживание и др.);
  • дата и адрес (проживания, регистрации, постановки на учет);
  • сведения о членах семьи;
  • сведения об ИНН, СНИЛС;
  • реквизиты счетов Субъектов ПДн;
  • контактные данные (телефон, адрес электронной почты, почтовый адрес);
  • кредитная история;
  • сведения, содержащиеся в документах, подтверждающих право на льготы;
  • фото и видеоизображения;
  • данные голоса Субъекта ПДн;
  • сведения, указанные в актах гражданского состояния (в том числе в свидетельстве о регистрации / расторжении брака);
  • сведения, указанные в свидетельстве о рождении детей;
  • сведения из трудового договора работника;
  • биометрические ПДн работников и посетителей, обрабатываемые в целях осуществления пропускного режима на территории Банка;
  • биометрические ПДн, обрабатываемые в случаях, предусмотренных ст. 14.1 ч. 9 Федерального закона от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • данные разрешения на работу или патент;
  • данные пользователей социальных сетей (для Субъектов, которые осуществили взаимодействие со страницей Оператора ПДн в одной из сетей: Facebook, ВКонтакте, Twitter);
  • сведения о посетителях сайта, cookie – файлы;
  • IP-адрес в сети Интернет, используемый Субъектом для взаимодействия с Банком, в том числе для подключения к системе дистанционного банковского обслуживания (Интернет-банк, мобильный банк), а также время осуществления взаимодействия;
  • параметры устройства доступа к сервисам Банка (цифровые отпечатки программы просмотра страниц сайта Банка, идентификатор мобильного телефона/сим-карты);
  • информация о местонахождении Субъекта, передаваемая сервисом геолокации;
  • специальные категории ПДн, обрабатываемые в случаях, предусмотренных ст. 7 ч. 1, п.п. 2 Федерального закона от 03.07.2016 N 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»;
  • иные сведения о Субъекте ПДн в зависимости от оказываемых Банком услуг и осуществляемых операций.

7.4. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Банком не осуществляется.

7.5. Банк в праве осуществлять обработку сведений о состоянии здоровья в соответствии с Трудовым кодексом, ФЗ «Об обязательном медицинском страховании в РФ», а также п.2.3 ч.2 ст.10 Федерального закона №152-ФЗ.

7.6. Банк вправе осуществлять обработку биометрических персональных данных с целью идентификации клиентов и работников Банка при оказании банковских услуг и установления личности работников и посетителей при осуществлении пропуска на территорию Банка.

7.7. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав Субъектов ПДн (или при отсутствии возможности оценки адекватности защиты), может осуществляться Банком исключительно в случаях исполнения договора, стороной которого является Субъект ПДн, либо при наличии согласия в письменной форме Субъекта ПДн на трансграничную передачу его ПДн, либо в иных случаях, когда такая передача допускается в соответствии с положениями действующего российского законодательства о персональных данных.

8. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Обработка персональных данных осуществляется с использованием средств автоматизации и без использования таких средств путем следующих действий: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

8.2. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Банка, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами Банка.

8.3. Обработка ПДн с использованием средств автоматизации осуществляется в соответствии с требованиями постановления Правительства Российской Федерации от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и методических документов ФСТЭК и ФСБ России по защите информации, а также Комплекса документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации».

8.4. Обработка персональных данных, осуществляемая без использования средств автоматизации, выполняется таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

8.5. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Оператора ПДн или лица, осуществляющие такую обработку по договору с ОператоромПДн), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором ПДн без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации (при их наличии).

8.6. Срок хранения ПДн ограничивается сроком необходимости их обработки.

8.7. Получение и обработка персональных данных в случаях, предусмотренных Федеральным законом №152-ФЗ, осуществляется Банком с письменного согласия Субъекта персональных данных. Равнозначным содержащему собственноручную подпись Субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в в соответствии с федеральным законом электронной подписью электронной подписью Субъекта ПДн.

8.8. Согласие на обработку персональных данных может быть дано Субъектом персональных данных или его представителем в любой, позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

8.9. Согласие на обработку персональных данных может быть предоставлено Субъектом персональных данных посредством совершения следующих конклюдентных действий, если иное не предусмотрено федеральным законом:

  • При прохождении процедуры регистрации или заполнения заявки на продукты/услуги на любом из сайтов Банка в домене uralsib.ru и проставление в соответствующей форме отметки о согласии на обработку персональных данных в объеме, для целей и в порядке, предусмотренном в тексте, предлагаемом для ознакомления перед осуществлением регистрации. Согласие считается полученным с момента такой регистрации, при условии ее подтверждения Субъектом персональных данных в установленном порядке, и действует до момента отмены Субъектом ПДн регистрации на сайте Оператора или до момента направления Субъектом персональных данных Оператору отзыва согласия на обработку персональных данных.
  • В случае осуществления передачи персональных данных посредством телефонного вызова согласие на обработку персональных данных предоставляется Субъектом в устной форме после прослушивания Субъектом персональных данных текста согласия, воспроизводимого сотрудниками Оператора.

8.10. В случаях, когда предоставление персональных данных является обязательным в соответствии с федеральным законом, Оператор ПДн в рамках своей обязанности разъясняет Субъекту ПДн юридические последствия отказа Субъекта предоставить ПДн.

8.11. Банк вправе обрабатывать ПДн без согласия Субъекта ПДн (в т.ч. при отзыве Субъектом ПДн согласия на обработку ПДн) при наличии оснований, указанных в ч.2 ст.9 Федерального закона №152-ФЗ.

8.12. В случае отсутствия Согласия Субъекта ПДн и оснований, указанных в ч.2 ст.9 Федерального закона обработка ПДн не осуществляется.

8.13. Создание фото- и видеоизображений в помещениях Банка и на прилегающей территории может производиться Банком с целью контроля соблюдения законности и правопорядка, а также предотвращения противоправных действий, экстремистских проявлений и террористических актов, и для последующей передачи в правоохранительные органы в случае необходимости. Указанные фото- и видеоизображения не используются с целью идентификации Субъектов персональных данных и не рассматриваются Банком как биометрические персональные данные.

8.14. Персональные данные Субъекта могут быть получены Банком от лица, не являющегося Субъектом персональных данных, при условии предоставления Банку подтверждения наличия согласия Субъекта персональных данных на обработку его ПДн или наличия оснований, указанных в п.п. 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона №152-ФЗ.

8.15. Если ПДн получены не от Субъекта персональных данных, а от третьих лиц, Оператор ПДн, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона №152-ФЗ, до начала обработки таких ПДн предоставляет Субъекту ПДн следующую информацию:

  • наименование либо фамилия, имя, отчество и адрес Оператора ПДн или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • перечень предполагаемых пользователей персональных данных;
  • об установленных Федеральным законом №152-ФЗ правах Субъекта персональных данных;
  • об источнике получения персональных данных.

8.16. Право доступа к персональным данным Субъектов персональных данных на бумажных и электронных носителях имеют работники Банка в соответствии с их должностными обязанностями.

8.17. Передача персональных данных Субъектов персональных данных третьим лицам осуществляется Банком в соответствии с требованиями действующего законодательства Российской Федерации.

8.18. Банк вправе поручить обработку ПДн третьей стороне с согласия Субъекта ПДн, если иное не предусмотрено действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора.

9. СВЕДЕНИЯ О РЕАЛИЗУЕМЫХ ТРЕБОВАНИЯХ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

9.1. В Договорах, заключенных между Банком и контрагентом, предусматривается обязательство сторон о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона №152-ФЗ, а также информация о принятии сторонами мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона №152-ФЗ.

9.2. Банк при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.3. Меры по обеспечению безопасности персональных данных при их обработке, применяемые Банком, планируются и реализуются в целях обеспечения соответствия требованиям Федерального закона №152-ФЗ.

9.4. Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства Российской Федерации. Банк в частности принял следующие меры:

  • назначен ответственный за организацию обработки ПДн в Банке;
  • в подразделениях Банка назначены должностные лица, ответственные за выполнение подразделениями локальных нормативных документов Банка по вопросам обработки ПДн;
  • разработаны и внедрены локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке ПДн и устранение последствий таких нарушений;
  • применяются правовые, организационные и технические меры по обеспечению безопасности ПДн;
  • осуществляется внутренний контроль соответствия обработки ПДн Федеральному закону №152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Банка в отношении обработки ПДн, локальным актам Банка;
  • работники Банка, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Банка в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.

9.5. В случае передачи документов, содержащих персональные данные, по электронной почте Субъект ПДн может зашифровать их, используя один из предоставленных Оператором ПДн способов. Отказ Субъекта использовать средства защиты персональных данных снимает ответственность с Оператора ПДн за обеспечение конфиденциальности в процессе их передачи от Субъекта ПДн Оператору ПДн.

9.6. В дополнение к требованиям Федерального закона №152-ФЗ в Банке осуществляется комплекс мероприятий, направленных на защиту информации о своих Клиентах, работниках и контрагентах. Банк руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, Банка России, других регулирующих организаций, а также российскими и международными практиками в сфере защиты ПДн.

10. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Хранение персональных данных в Банке осуществляется в форме, позволяющей определить Субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем/залогодателем по которому является Субъект ПДн.

10.2. В случае обработки персональных данных, осуществляемой без использования средств автоматизации, Оператор ПДн обеспечивает раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

10.3. При определении сроков хранения ПДн Банк исходит из требований:

  • законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • гражданского законодательства;
  • законодательства о бухгалтерском учете;
  • налогового законодательства;
  • Трудового Кодекса Российской Федерации;
  • иных нормативно - правовых актов, указанных в Приложении №1 к Политике

10.3.1. В случае если в согласии Субъекта на обработку ПДн указаны более длительные сроки хранения, чем сроки, установленные действующим законодательством Российской Федерации, хранение ПДн осуществляется в соответствии с согласием Субъекта ПДн в течение указанного в нем срока.

10.3.2. В случае решения Субъекта ПДн об Отзыве Согласия на обработку его ПДн, Оператору направляется соответствующее заявление, содержащее ПДн Субъекта, данные документа удостоверяющего личность и подпись Субъекта. В случае если Субъект не указал в отзыве в явном виде ПДн и целей, для которых осуществляется отзыв Согласия, Оператор считает, что согласие отозвано для всех типов ПДн и целей.

10.3.3. ПДн, неиспользуемые в операционной деятельности Банка, и цель обработки которых не достигнута, могут быть переведены на архивное хранение с соблюдением всех необходимых требований, предусмотренных Федеральным законом №125-ФЗ, Приказом Министерства культуры РФ №558 и иными нормативными актами в сфере организации хранения, комплектования, учета и использования архивных документов.

10.3.4. Архивирование документов, содержащих ПДн, осуществляется в установленном в Банке порядке. Обязательным условием архивирования ПДн является обеспечение их конфиденциальности и безопасности.

10.3.5. При осуществлении хранения персональных данных Банк использует базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона №152-ФЗ.

10.4. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Банком;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Банком способы обработки персональных данных;
  • наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему Субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления Субъектом персональных данных прав, предусмотренных Федеральным законом №152-ФЗ;
  • информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом №152-ФЗ или другими федеральными законами.

10.5. Субъект персональных данных вправе требовать от Банка уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.6. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в соответствии с требованиями статьи 14 Федерального закона №152-ФЗ.

10.7. Порядок направления Субъектом персональных данных (его представителем) запросов на предоставление сведений определен требованиями Федерального закона №152-ФЗ. В частности, в соответствии с указанными требованиями запрос на получение информации в Банке должен содержать:

  • серию, номер основного документа, удостоверяющего личность Субъекта персональных данных (его представителя), сведения о дате выдачи указанного документа и выдавшем его органе;
  • сведения, подтверждающие участие Субъекта персональных данных в отношениях с Банком (номер договора, дата заключения договора, условное словесное обозначение и/или иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Банком;
  • подпись Субъекта персональных данных (его представителя).

10.8. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с действующим законодательством Российской Федерации.

10.9. Субъекты персональных данных несут ответственность за предоставление Банку достоверных сведений, а также за своевременное обновление предоставленных данных в случае каких-либо изменений.

10.10. Банк обязан сообщить Субъекту ПДн или его представителю информацию о наличии ПДн, относящихся к соответствующему Субъекту ПДн, а также предоставить возможность ознакомления с этими ПДн при обращении Субъекта ПДн или его представителя либо уничтожить ПДн в течение 30 (тридцати) календарных дней с даты получения запроса Субъекта ПДн или его представителя при условии, что запрос оформлен в соответствии с требованиями п.10.6 настоящей Политики.

10.11. Банк вправе отказать в предоставлении информации Субъекту ПДн или его представителю при их обращении либо при получении запроса. При этом Банк обязан дать в письменной форме мотивированный отказ в срок, не превышающий 30 (тридцати) календарных дней со дня обращения либо с даты получения запроса. Отказ возможен в следующих случаях если:

  • право Субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе, если:
  • обработка ПДн осуществляется в соответствии с действующим законодательством Российской Федерации о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • доступ Субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
  • в иных случаях, предусмотренных частью 8 статьи 14 Федерального закона №152-ФЗ.

10.12. В случае реализации Субъектом ПДн своего права требования в части уточнения своих ПДн, их блокирования или уничтожения на основании того, что ПДн являются неполными, неточными или неактуальными Банк в сроки, установленные законодательством, обязан внести в них необходимые изменения, осуществить блокирование или уничтожение.

10.13. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию в следующих случаях, если иное не предусмотрено соглашением между Оператором ПДн и Субъектом ПДн, договором, выгодоприобретателем или поручителем по которому является Субъект ПДн, или федеральным законом:

  • достижение целей обработки персональных данных;
  • в случае утраты необходимости в достижении целей обработки ПНд, если иное не предусмотрено федеральным законом
  • истечение срока действия согласия или отзыв согласия Субъектом ПДн;
  • выявление неправомерной обработки персональных данных.

10.14. В случае отсутствия возможности уничтожения ПДн в течение сроков, указанных в ч.6 ст.21 Федерального закона №152-ФЗ, Банк осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) и обеспечивает уничтожение персональных данных в срок не более чем 6 (шесть) месяцев, если иной срок не установлен федеральными законами.

Приложение №1

Перечень Федеральных законов и иных нормативных правовых актов Российской Федерации, регулирующих правовые основания деятельность Банка по обработке персональных данных

  • Коституция Российской Федерации;
  • Гражданский кодекс Российской Федерации;
  • Налоговый кодекс Российской Федерации;
  • Трудовой кодекс Российской Федерации;
  • Федеральный закон Российской Федерации от 27.07.2006 №152-ФЗ «О персональных данных» (далее - Федеральный закон №152-ФЗ);
  • Федеральный закон от 30.12.2004 №218 «О кредитных историях»;
  • Федеральный закон от 02.12.90 №395-1-ФЗ «О банках и банковской деятельности» (далее – Федеральный закон №395-1-ФЗ);
  • Федеральный закон от 07.08.2001 №115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • Федеральный закон от  26.12.1995 № 208-ФЗ «Об акционерных обществах»;
  • Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;
  • Федеральный закон от 06.04.2011 №63-ФЗ «Об электронной подписи»;
  • Федеральный закон от 22.10.2004  №125-ФЗ «Об архивном деле в Российской Федерации» (далее - Федеральный закон №125-ФЗ);
  • Федеральный закон от 10.12.2003 №173-ФЗ «О валютном регулировании и валютном контроле»;
  • Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
  • Федеральный закон от 10.07.2002 г. №86-ФЗ «О Центральном банке Российской Федерации (Банке России)»;
  • Закон РСФСР от 22.03.1991 г. №948-1 «О конкуренции и ограничении монополистической деятельности на товарных рынках»;
  • Федеральный закон от 26.07.2006 г. №135-ФЗ «О защите конкуренции»;
  • Федеральный закон от 05.03.1999 г. №46-ФЗ «О защите прав и законных интересов инвесторов на рынке ценных бумаг»;
  • Федеральный закон от 27.07.2010 г. №224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации»;
  • Федеральный закон от 22.12.2008 №262-ФЗ «Об обеспечении доступа к информации о деятельности судов в Российской Федерации»;
  • Федеральный закон от 21.12.2013 №353-ФЗ «О потребительском кредите (займе)»;
  • Федеральный закон от 16.07.1998 г. №102-ФЗ «Об ипотеке (залоге недвижимости)»;
  • Федеральный закон от 03.07.2016 №230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»:
  • Федеральный закон от 28.06.2014 N №173-ФЗ «Об особенностях осуществления финансовых операций с иностранными гражданами и юридическими лицами, о внесении изменений в Кодекс Российской Федерации об административных правонарушениях и признании утратившими силу отдельных положений законодательных актов Российской Федерации»;
  • Федеральный закон от 21.07.1993 № 5485-1 «О государственной тайне»;
  • Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федеральный закон от 27.06.2011 N 161-ФЗ «О национальной платежной системе»;
  • Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
  • Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ Министерства культуры Российской Федерации от 25.08.2010 №558 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения»;
  • Приказ Роскомнадзора от 05.09.2013 №996 «Об утверждении требований и методов по обезличиванию персональных данных»;
  • Положение Банка России от 19.06.2012 г. №383-П «О правилах осуществления перевода денежных средств»;
  • Положение Банка России от 10.04.2006 г. №285-П «О порядке приема и исполнения кредитными организациями, подразделениями расчетной сети Банка России исполнительных документов, предъявляемых взыскателями»;
  • Положение Банка России от 10.02.1992 г. №14-3-20 «О сберегательных и депозитных сертификатах кредитных организаций»;
  • Положение Банка России от 19.08.2004 г. №262-П «Об идентификации кредитными организациями клиентов и выгодоприобретателей в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • Положение Банка России от 30.12.2014 г. №454-П «О раскрытии информации эмитентами эмиссионных ценных бумаг»;
  • Положение Банка России от 20 июля 2007 г. №307-П «О порядке ведения учета и представления информации об аффилированных лицах кредитных организаций»;
  • Положение Банка России от 26 марта 2004 г. №254-П «О порядке формирования кредитными организациями резервов на возможные потери по ссудам, по ссудной и приравненной к ней задолженности»;
  • Положение Банка России от 16.07.2012 г. №385-П «О правилах ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации»;
  • Положение Банка России от 15.10.2015 г. №499-П «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
  • Положение Банка России от 28.06.2017 г. №590-П «О порядке формирования кредитными организациями резервов на возможные потери по ссудам, по ссудной и приравненной к ней задолженности»;
  • Положение Банка России от 27.02.2017 г. №579-П «О Плане счетов бухгалтерского учета для кредитных организаций и порядке его применения», иные нормативные акты Российской Федерации;
    Инструкция Банка России от 30.05.2014 г. №153-И «Об открытии и закрытии банковских счетов, счетов по вкладам (депозитам), депозитных счетов»;
  • Письмо Банка России №115-Т от 30.08.2006 «Об исполнении Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» в части идентификации клиентов, обслуживаемых с использованием технологий дистанционного банковского обслуживания (включая интернет-банкинг)»;
    Устав Банка;
  • Генеральная лицензией Банка России №30 выданной 10.09.2015 г.;
  • лицензия на осуществление банковский операций № 30 выданной 10.09.2015 г. на привлечение во вклады и размещение драгоценных металлов;
  • лицензия профессионального участника рынка ценных бумаг на осуществление депозитарной деятельности, выданной Федеральной службой по финансовым рынкам от 07.03.2003г. №177-06473-000100;
  • лицензия профессионального участника рынка ценных бумаг на осуществление брокерской деятельности, выданной Федеральной службой по финансовым рынкам от 07.03.2003г. №177-06461-100000;
  • лицензия профессионального участника рынка ценных бумаг на осуществление дилерской деятельности, выданной Федеральной службой по финансовым рынкам от 07.03.2003г. №177-06466-010000;
  • лицензия профессионального участника рынка ценных бумаг на осуществление деятельности по управлению ценными бумагами, выданной Федеральной службой по финансовым рынкам от 07.03.2003г. №177-06470-001000;
  • договоры, заключаемые между Банком и Субъектами персональных данных;
  • согласие соискателей на замещение вакантных должностей на обработку персональных данных;
  • согласие работника на обработку персональных данных;
  • согласие работника на обработку общедоступных персональных данных;
  • договоры с контрагентами;
  • согласия на передачу персональных данных третьим лицам;