01 2015. · 2017-08-11 · «СТО БР ИББС-1.0-2014» (принят и введен в...

УТВЕРЖДЕНО

Правлением Банка «ВБРР» (АО)

протокол от « 30 » сентября 2015г. № 154

Введено в действие с « 01 » октября 2015г.

ПОЛОЖЕНИЕ БАНКА «ВБРР» (АО)

О ПОРЯДКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Регистрационный № 27-П-13

Редакция от «22» июня 2016г.

Версия 2.00

Москва

2016

2

СОДЕРЖАНИЕ

1. ВВОДНЫЕ ПОЛОЖЕНИЯ ................................................................................................................................... 3

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ............................................................................................................................ 4

3. ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ ................................................................................................................... 5

4. ОБЩИЕ ПОЛОЖЕНИЯ ........................................................................................................................................ 6

4.1. Принципы обработки персональных данных ................................................................................................... 6

4.2. Способы обработки персональных данных ...................................................................................................... 6

4.3. Уведомление уполномоченного органа по защите прав субъектов персональных данных ........................ 6

5. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЦЕЛИ ОБРАБОТКИ ................................................................... 7

5.1. Категории субъектов персональных данных .................................................................................................... 7

5.2. Перечень персональных данных. Сроки обработки персональных данных. ................................................. 7

5.3. Цели обработки персональных данных ............................................................................................................ 8

6. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ................................................................................. 8

6.1. Основания обработки персональных данных. Согласие субъекта персональных данных на обработку

своих персональных данных ...................................................................................................................................... 8

6.2. Учет, хранение, прекращение обработки и уничтожение персональных данных ........................................ 8

6.3. Особенности обработки персональных данных без использования средств автоматизации ...................... 9

6.4. Поручение обработки персональных данных третьему лицу ....................................................................... 10

6.5. Обработка специальных категорий персональных данных .......................................................................... 10

6.6. Обработка биометрических персональных данных ....................................................................................... 11

6.7. Обработка персональных данных в целях продвижения услуг .................................................................... 11

6.8. Трансграничная передача персональных данных .......................................................................................... 11

6.9. Включение персональных данных в общедоступные источники ................................................................. 11

6.10. Конфиденциальность персональных данных ................................................................................................. 12

7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ............................................................. 12

7.1. Система защиты персональных данных ......................................................................................................... 12

7.2. Обеспечение безопасности персональных данных при их обработке ......................................................... 12

7.3. Особенности обеспечения безопасности персональных данных при их обработке без использования

средств автоматизации .............................................................................................................................................. 13

8. СОБЛЮДЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ ........................................................... 14

9. УСТРАНЕНИЕ НАРУШЕНИЙ .......................................................................................................................... 15

10. ПОЛНОМОЧИЯ И ОБЯЗАННОСТИ ДОЛЖНОСТНЫХ ЛИЦ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ

ДАННЫХ ................................................................................................................................................................... 15

11. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО ПОЛОЖЕНИЯ ..................... 16

12. ССЫЛКИ .............................................................................................................................................................. 17

Приложение № 1 ........................................................................................................................................................ 18

Приложение № 2 ........................................................................................................................................................ 19

Приложение № 3 ........................................................................................................................................................ 20

Приложение № 4 ........................................................................................................................................................ 21

3

1. ВВОДНЫЕ ПОЛОЖЕНИЯ

1.1. Введение

1.1.1. Положение Банка «ВБРР» (АО) «О порядке обработки персональных данных»

(далее – Положение) определяет политику Банка «ВБРР» (АО) в отношении

обработки и обеспечения безопасности персональных данных.

1.1.2. Положение разработано в соответствие с требованиями:

Конституции Российской Федерации.

Федерального закона от 27.07.2006 г. №152 «О персональных данных» (далее –

Закон № 152-ФЗ).

Постановления Правительства Российской Федерации от 01.11.2012 г. №1119

«Об утверждении требований к защите персональных данных при их обработке

в информационных системах персональных данных».

Постановления Правительства Российской Федерации от 15.09.2008 г. №687 «Об

утверждении Положения об особенностях обработки персональных данных,

осуществляемой без использования средств автоматизации».

Стандарта Банка России «Обеспечение информационной безопасности

организаций банковской системы Российской Федерации. Общие положения

«СТО БР ИББС-1.0-2014» (принят и введен в действие Распоряжением Банка

России от 17.05.2014г. № Р-399).

Приказа ФСТЭК России от 18.02.2013 г. №21 «Об утверждении Состава и

содержания организационных и технических мер по обеспечению безопасности

персональных данных при их обработке в информационных системах

персональных данных».

Приказ ФСБ России от 10.07.2014 г. №378 «Об утверждении состава и

содержания организационных и технических мер по обеспечению безопасности

персональных данных при их обработке в информационных системах

персональных данных с использованием средств криптографической защиты

информации, необходимых для выполнения установленных Правительством

Российской Федерации требований к защите персональных данных для каждого

из уровней защищенности».

1.1.3. Неограниченный доступ к Положению обеспечивается его опубликованием во

внутренней информационно-телекоммуникационной сети, а также на официальном

сайте Банка «ВБРР» (АО) (www.vbrr.ru).

1.2. Цель

Целью разработки настоящего Положения является предотвращение, выявление и

своевременное устранение нарушений законодательства Российской Федерации в

области персональных данных.

1.3. Область действия

1.3.1. Настоящее Положение носит обязательный характер для всех работников Банка

«ВБРР» (АО).

1.3.2. Настоящее Положение не распространяется на отношения, возникающие при

организации хранения, комплектования, учета и использования содержащих

4

персональные данные документов, имеющих статус архивных документов, в

соответствии с законодательством об архивном деле в Российской Федерации.

1.3.3. Настоящее Положение доводится до сведения всех работников Банка «ВБРР» (АО).

1.4. Период действия и порядок внесения изменений

1.4.1. Положение является нормативным документом Банка «ВБРР» (АО) постоянного

действия.

1.4.2. Положение, все изменения к нему утверждаются и вводятся в действие решением

Правления Банка «ВБРР» (АО).

1.4.3. Положение признается утратившим силу на основании решения Правления Банка

«ВБРР» (АО).

1.4.4. Изменения в Положение вносятся в случаях изменения законодательства

Российской Федерации, нормативных документов Банка России, изменения

организационной структуры Банка «ВБРР» (АО), совершенствования порядка

работы с персональными данными, а также их защиты.

1.4.5. В случае если в связи с изменением законодательства Российской Федерации в

области персональных данных Положение вступает в противоречие с новым

законодательством, Положение действует в части, не противоречащей

законодательству Российской Федерации.

1.4.6. Ответственность за поддержание Положения в актуальном состоянии возлагается

на Управление информационной безопасности Банка «ВБРР» (АО).

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Банк – Акционерное общество «Всероссийский банк развития регионов».

Безопасность персональных данных – состояние защищенности персональных данных,

характеризуемое способностью пользователей, технических средств и информационных

технологий обеспечить конфиденциальность, целостность и доступность персональных

данных при их обработке в информационных системах персональных данных.

Биометрические персональные данные – сведения, которые характеризуют

физиологические и биологические особенности человека.

Блокирование персональных данных – временное прекращение обработки

персональных данных (за исключением случаев, если обработка необходима для

уточнения персональных данных).

Информационная система – совокупность содержащейся в базах данных информации и

обеспечивающих ее обработку информационных технологий и технических средств.

Информационная система персональных данных – совокупность содержащихся в

базах данных персональных данных и обеспечивающих их обработку информационных

технологий и технических средств.

Конфиденциальность персональных данных - обязательное для соблюдения Банком

или иным получившим доступ к персональным данным лицом требование не допускать их

5

раскрытия без согласия субъекта персональных данных или наличия иного законного

основания.

Обезличивание персональных данных – действия, в результате которых становится

невозможным без использования дополнительной информации определить

принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - любое действие (операция) или совокупность

действий (операций), совершаемых с использованием средств автоматизации или без

использования таких средств с персональными данными, включая сбор, запись,

систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение,

использование, передачу (распространение, предоставление, доступ), обезличивание,

блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, доступ

неограниченного круга лиц к которым предоставлен с согласия субъекта персональных

данных или на которые в соответствии с федеральными законами не распространяется

требование соблюдения конфиденциальности.

Представитель субъекта персональных данных - лицо, действующее от имени субъекта

персональных данных в силу закона, либо на основании доверенности.

Персональные данные – любая информация, относящаяся к прямо или косвенно

определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные специальных категорий – персональные данные, касающиеся

расовой, национальной принадлежности, политических взглядов, религиозных или

философских убеждений, состояния здоровья и интимной жизни.

Типовая форма документов, характер информации в которых предполагает или

допускает включение в них персональных данных – унифицированная форма

документов, используемая с целью сбора персональных данных.

Трансграничная передача персональных данных – передача персональных данных на

территорию иностранного государства органу власти иностранного государства,

иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится

невозможным восстановить содержание персональных данных в информационной

системе персональных данных и (или) в результате которых уничтожаются материальные

носители персональных данных.

Уровень защищенности - комплексный показатель, характеризующий требования,

исполнение которых обеспечивает нейтрализацию идентифицированных угроз

безопасности персональных данных при их обработке в информационной системе

персональных данных.

3. ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

ИСПДн - Информационная система персональных данных.

ПДн - Персональные данные.

6

4. ОБЩИЕ ПОЛОЖЕНИЯ

4.1. Принципы обработки персональных данных

Обработка ПДн должна осуществляться на законной и справедливой основе.

Обработка ПДн должна ограничиваться достижением конкретных, заранее

определенных и законных целей. Не допускается обработка ПДн, несовместимая

с целями сбора ПДн.

Не допускается объединение баз данных, содержащих ПДн, обработка которых

осуществляется в целях, несовместимых между собой.

Обработке подлежат только ПДн, которые отвечают целям их обработки.

Содержание и объем обрабатываемых ПДн должны соответствовать заявленным

целям обработки. Обрабатываемые ПДн не должны быть избыточными по

отношению к заявленным целям их обработки.

При обработке ПДн должны быть обеспечены точность ПДн, их достаточность,

а в необходимых случаях и актуальность по отношению к целям обработки ПДн.

Банк должен принимать необходимые меры либо обеспечивать их принятие по

удалению или уточнению неполных или неточных данных.

Хранение ПДн должно осуществляться в форме, позволяющей определить

субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок

хранения ПДн не установлен федеральным законом, договором, стороной

которого, выгодоприобретателем или поручителем по которому является

субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо

обезличиванию по достижении целей обработки или в случае утраты

необходимости в достижении этих целей, если иное не предусмотрено

федеральным законом.

4.2. Способы обработки персональных данных

4.2.1. В Банке осуществляется обработка ПДн как с использованием средств

автоматизации, так и без использования таких средств.

4.2.2. В процессе обработки ПДн могут осуществляться следующие действия с ПДн:

сбор;

запись;

систематизация;

накопление;

хранение;

уточнение (обновление, изменение);

извлечение;

использование;

передача (распространение, предоставление, доступ);

обезличивание;

блокирование;

удаление;

уничтожение.

4.3. Уведомление уполномоченного органа по защите прав субъектов

персональных данных

4.3.1. Банк внесен в Реестр операторов, осуществляющих обработку ПДн, за номером 11-

0176614 на основании уведомления Банком уполномоченного органа по защите

прав субъектов ПДн.

7

4.3.2. В случае изменения указанных ниже сведений, а также в случае прекращения

обработки ПДн Банк уведомляет об этом уполномоченный орган по защите прав

субъектов ПДн в течение десяти рабочих дней с даты возникновения таких

изменений или с даты прекращения обработки ПДн. К сведениям, изменение

которых требует уведомления уполномоченного органа по защите прав субъектов

ПДн, относятся:

наименование, адрес Банка;

цель обработки ПДн;

категории ПДн;

категории субъектов, ПДн которых обрабатываются;

правовое основание обработки ПДн;

перечень действий с ПДн, общее описание используемых Банком способов

обработки ПДн;

описание мер, предусмотренных статьями 18.1 и 19 Закона № 152-ФЗ, в том

числе сведения о наличии шифровальных (криптографических) средств и

наименования этих средств;

фамилия, имя, отчество физического лица или наименование юридического

лица, ответственных за организацию обработки ПДн, и номера их контактных

телефонов, почтовые адреса и адреса электронной почты;

срок или условие прекращения обработки ПДн;

сведения о наличии или об отсутствии трансграничной передачи ПДн в процессе

их обработки;

сведения о месте нахождения базы данных информации, содержащей ПДн

граждан Российской Федерации;

сведения об обеспечении безопасности ПДн в соответствии с требованиями к

защите ПДн, установленными Правительством Российской Федерации.

5. ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ЦЕЛИ ОБРАБОТКИ

5.1. Категории субъектов персональных данных

Банком осуществляется обработка ПДн работников, клиентов и иных физических

лиц. Приказом Президента Банка определяются категории физических лиц, ПДн

которых обрабатываются в Банке.

5.2. Перечень персональных данных. Сроки обработки персональных данных.

5.2.1. Перечень обрабатываемых ПДн в Банке утверждается приказом Президента Банка.

5.2.2. Сроки обработки и хранения ПДн определяются в соответствии с

законодательством Российской Федерации и утверждаются нормативными

документами Банка согласно:

срокам, установленным нормативными правовыми актами Российской

Федерации, актами федеральных органов исполнительной власти Российской

Федерации, в т.ч. Перечнем типовых управленческих архивных документов,

образующихся в процессе деятельности государственных органов, органов

местного самоуправления и организаций, с указанием сроков хранения

(утвержденным приказом Минкультуры России от 25.08.2010 года № 558);

нормативным документам Банка России;

положениям договоров с субъектами ПДн;

условиям согласий субъектов ПДн на обработку их ПДн.

8

5.2.3. Банк прекращает обработку ПДн и уничтожает соответствующие ПДн в

установленном порядке в соответствии с законодательством о ПДн в случаях:

неправомерной обработки ПДн (обработки незаконно полученных ПДн,

обработки ПДн без согласия субъекта ПДн, обработки ПДн, не являющихся

необходимыми для заявленной цели обработки, а также, если обеспечить

правомерность обработки ПДн невозможно);

обработки неточных ПДн (неполных, устаревших);

достижения цели обработки ПДн;

отзыва субъектом ПДн согласия на обработку его ПДн.

5.3. Цели обработки персональных данных

Обработка ПДн, осуществляется Банком в целях, устанавливаемых приказом

Президента Банка.

6. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Основания обработки персональных данных. Согласие субъекта

персональных данных на обработку персональных данных

6.1.1. Обработка ПДн допускается в Банке в следующих случаях:

обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;

обработка ПДн необходима для достижения целей, предусмотренных

международным договором Российской Федерации или законом, для

осуществления и выполнения, возложенных законодательством Российской

Федерации на Банк функций, полномочий и обязанностей;

обработка ПДн необходима для исполнения договора, стороной которого либо

выгодоприобретателем или поручителем по которому является субъект ПДн, а

также для заключения договора по инициативе субъекта ПДн или договора, по

которому субъект ПДн будет являться выгодоприобретателем или поручителем;

обработка ПДн необходима для осуществления прав и законных интересов

Банка или третьих лиц при условии, что при этом не нарушаются права и

свободы субъекта ПДн;

осуществляется обработка ПДн, доступ неограниченного круга лиц к которым

предоставлен субъектом ПДн либо по его просьбе;

осуществляется обработка ПДн, подлежащих опубликованию или

обязательному раскрытию в соответствии с федеральным законом.

6.1.2. Согласие на обработку ПДн может быть дано субъектом ПДн или его

представителем в любой позволяющей подтвердить факт его получения форме,

если иное не установлено федеральным законом.

6.1.3. Согласие на обработку ПДн может быть отозвано субъектом ПДн. Форма отзыва

согласия на обработку ПДн (образец) указана в приложении № 1 к Положению. В

случае отзыва субъектом ПДн согласия на обработку ПДн Банк вправе продолжить

их обработку без его согласия при наличии оснований, указанных в Законе № 152-

ФЗ.

6.2. Учет, хранение и уничтожение персональных данных

6.2.1. Учет, хранение и уничтожение носителей ПДн, а также уничтожение ПДн

осуществляется в соответствии с нормативными документами Банка,

9

определяющими требования по защите информации, включая требования к

порядку учета, хранения и уничтожения сведений конфиденциального характера.

6.2.2. Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется

не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не

установлен федеральным законом, договором, стороной которого,

выгодоприобретателем или поручителем по которому является субъект ПДн.

Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении

целей обработки или в случае утраты необходимости в достижении этих целей,

если иное не предусмотрено федеральным законом.

6.2.3. При достижении цели обработки ПДн Банк уничтожает ПДн или обеспечивает их

уничтожение в срок, не превышающий тридцати дней с даты достижения цели

обработки ПДн, если иное не предусмотрено договором, стороной которого,

выгодоприобретателем или поручителем по которому является субъект ПДн, иным

соглашением между Банком и субъектом ПДн либо если Банк не вправе

осуществлять обработку ПДн без согласия субъекта ПДн на основаниях,

предусмотренных федеральными законами. В случае отсутствия возможности

уничтожения ПДн в течение указанного срока Банк осуществляет блокирование

таких ПДн или обеспечивает их блокирование и обеспечивает уничтожение ПДн в

срок не более чем шесть месяцев, если иной срок не установлен федеральными

законами.

6.2.4. Обезличивание ПДн производится следующими методами:

методом введения идентификаторов (замена части сведений (значений ПДн)

идентификаторами с созданием таблицы (справочника) соответствия

идентификаторов исходным данным);

методом изменения состава или семантики (изменение состава или семантики

ПДн путем замены результатами статистической обработки, обобщения или

удаления части сведений);

методом декомпозиции (разбиение множества (массива) ПДн на несколько

подмножеств (частей) с последующим раздельным хранением подмножеств);

методом перемешивания (перестановка отдельных записей, а также групп

записей в массиве ПДн).

6.3. Особенности обработки персональных данных без использования средств

автоматизации

6.3.1. При обработке ПДн без использования средств автоматизации, ПДн обособляются

от иной информации, в частности, путем фиксации их на отдельных материальных

носителях ПДн, в специальных разделах или на полях форм (бланков).

6.3.2. При фиксации ПДн на материальных носителях не допускается фиксация на одном

материальном носителе ПДн, цели обработки которых заведомо не совместимы.

Для обработки различных категорий ПДн, осуществляемой без использования

средств автоматизации, для каждой категории ПДн используется отдельный

материальный носитель.

6.3.3. При использовании типовых форм документов, соблюдаются следующие условия:

типовая форма или связанные с ней документы должна содержать сведения о

цели обработки ПДн, наименование и адрес Банка, фамилию, имя, отчество и

адрес субъекта ПДн, источник получения ПДн, сроки обработки ПДн, перечень

10

действий с ПДн, которые будут совершаться в процессе их обработки, общее

описание используемых оператором способов обработки ПДн;

типовая форма должна предусматривать поле, в котором субъект ПДн может

поставить отметку о своем согласии на обработку ПДн, осуществляемую без

использования средств автоматизации, – при необходимости получения

письменного согласия на обработку ПДн;

типовая форма должна быть составлена таким образом, чтобы каждый из

субъектов ПДн, содержащихся в документе, имел возможность ознакомиться со

своими ПДн, не нарушая прав и законных интересов иных субъектов ПДн;

типовая форма должна исключать объединение полей, предназначенных для

внесения ПДн, цели обработки, которых заведомо не совместимы.

6.3.4. Уточнение ПДн производится путем обновления или изменения данных на

материальном носителе, а если это не допускается техническими особенностями

материального носителя, - путем фиксации на том же материальном носителе

сведений о вносимых в них изменениях либо путем изготовления нового

материального носителя с уточненными ПДн.

6.3.5. Уничтожение или обезличивание части ПДн, если это допускается материальным

носителем, производится способом, исключающим дальнейшую обработку этих

ПДн с сохранением возможности обработки иных данных, зафиксированных на

материальном носителе (удаление, вымарывание).

6.4. Поручение обработки персональных данных третьему лицу

6.4.1. Банк вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если

иное не предусмотрено федеральным законом, на основании заключаемого с этим

лицом договора (далее – Поручение Банка).

6.4.2. Лицо, осуществляющее обработку ПДн по Поручению Банка, обязано соблюдать

принципы и правила обработки ПДн, предусмотренные Законом № 152-ФЗ, а также

заключаемым для исполнения поручения обработки ПДн с Банком договором.

6.4.3. В Поручении Банка должны быть определены перечень действий (операций) с

ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели

обработки, должна быть установлена обязанность такого лица соблюдать

конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а

также должны быть указаны требования к защите обрабатываемых ПДн в

соответствии со статьей 19 Законом № 152-ФЗ.

6.4.4. Лицо, осуществляющее обработку ПДн по Поручению Банка, не обязано получать

согласие субъекта ПДн на обработку его ПДн.

6.4.5. В случае если Банк поручает обработку ПДн другому лицу, ответственность перед

субъектом ПДн за действия указанного лица несет Банк. Лицо, осуществляющее

обработку ПДн по поручению Банка, несет ответственность перед Банком.

6.5. Обработка специальных категорий персональных данных

6.5.1. Обработка специальных категорий ПДн допускается в Банке в следующих случаях:

субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

ПДн сделаны общедоступными субъектом ПДн;

consultantplus://offline/ref=A0197CF46B4B6DAF6B3CFFE32AB1E1054DB505E166734BE746CEA542369ECAEFE4D225D3294A7D4EQDH9I

11

обработка ПДн осуществляется в соответствии с законодательством о

государственной социальной помощи, трудовым законодательством,

пенсионным законодательством Российской Федерации;

обработка ПДн необходима для защиты жизни, здоровья или иных жизненно

важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно

важных интересов других лиц и получение согласия субъекта ПДн невозможно.

6.5.2. Обработка специальных категории ПДн, касающихся расовой, национальной

принадлежности, политических взглядов, религиозных или философских

убеждений, интимной жизни в Банке не осуществляется.

6.5.3. Обработка специальных категорий ПДн в Банке осуществляется без использования

средств автоматизации.

6.6. Обработка биометрических персональных данных

Обработка биометрических ПДн в Банке не осуществляется.

6.7. Обработка персональных данных в целях продвижения услуг

Обработка ПДн в целях продвижения услуг на рынке путем осуществления прямых

контактов с потенциальным потребителем с помощью средств связи допускается

при условии предварительного согласия субъекта ПДн.

6.8. Трансграничная передача персональных данных

6.8.1. Банк в ходе своей деятельности может осуществлять трансграничную передачу

ПДн на территорию иностранных государств, являющихся сторонами Конвенции

Совета Европы о защите физических лиц при автоматизированной обработке ПДн,

а также иных иностранных государств, обеспечивающих адекватную защиту прав

субъектов ПДн.

6.8.2. Трансграничная передача ПДн Банком на территорию иностранных государств, не

обеспечивающих адекватной защиты прав субъектов ПДн, осуществляется в

случаях:

наличия согласия в письменной форме субъекта ПДн на трансграничную

передачу его ПДн;

предусмотренных международными договорами Российской Федерации;

исполнения договора, стороной которого является субъект ПДн;

защиты жизни, здоровья, иных жизненно важных интересов субъекта ПДн или

других лиц при невозможности получения согласия в письменной форме

субъекта ПДн.

6.9. Включение персональных данных в общедоступные источники

6.9.1. В целях информационного обеспечения, а также во исполнение требований

законодательства Российской Федерации, Банк может создавать общедоступные

источники ПДн.

6.9.2. В общедоступные источники ПДн с письменного согласия субъекта ПДн могут

включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский

номер, сведения о профессии и иные ПДн, сообщаемые субъектом ПДн.

12

6.9.3. Сведения о субъекте ПДн должны быть в любое время исключены из

общедоступных источников ПДн по требованию субъекта ПДн либо по решению

суда или иных уполномоченных государственных органов.

6.10. Конфиденциальность персональных данных

Банк и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим

лицам и не распространять ПДн без согласия субъекта ПДн, если иное не

предусмотрено федеральным законом.

7. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

7.1. Система защиты персональных данных

7.1.1. Обеспечение безопасности ПДн в Банке осуществляется в соответствии с

политикой информационной безопасности Банка путем выполнения комплекса

правовых, организационных и технических мероприятий по защите ПДн от

неправомерного или случайного доступа к ним, уничтожения, изменения,

блокирования, копирования, предоставления, распространения ПДн, а также от

иных неправомерных действий в отношении ПДн. Достаточность применяемых

мер по обеспечению безопасности ПДн определяется на основании оценки вреда,

который может быть причинен субъекту ПДн.

7.1.2. В целях координации работ по созданию и совершенствованию системы защиты

ПДн в Банке сформирована Комиссия по организации обработки ПДн (далее -

Комиссия).

7.1.3. В рамках программы обучения и повышения осведомленности проводится

ознакомление работников с положениями законодательства Российской Федерации

и нормативных документов Банка, регламентирующими вопросы обработки ПДн.

7.1.4. В целях своевременного выявления нарушений порядка обработки ПДн Банком

осуществляются контрольные мероприятия. Проведение контрольных мероприятий

регламентировано нормативным документом Банка, определяющим порядок

контроля за обеспечением безопасности обработки сведений конфиденциального

характера.

7.1.5. До начала обработки ПДн назначаются лица, ответственные за организацию

обработки ПДн и обеспечение безопасности ПДн при их обработке в ИСПДн.

7.1.6. Для проведения мероприятий по созданию, совершенствованию системы защиты

ПДн и (или) проведению контрольных мероприятий может привлекаться

организация, имеющая оформленную в установленном порядке лицензию на

осуществление деятельности по технической защите конфиденциальной

информации.

7.2. Обеспечение безопасности персональных данных при их обработке

7.2.1. Обеспечение безопасности ПДн при их обработке в Банке достигается, в частности,

путем:

определения угроз безопасности ПДн при их обработке в ИСПДн;

применения организационных и технических мер по обеспечению безопасности

ПДн при их обработке в ИСПДн;

13

применения прошедших в установленном порядке процедуру оценки

соответствия средств защиты информации;

оценки эффективности принимаемых мер по обеспечению безопасности ПДн до

ввода в эксплуатацию ИСПДн;

учета машинных носителей ПДн;

обнаружения фактов несанкционированного доступа к ПДн и принятием мер

реагирования;

восстановления ПДн, модифицированных или уничтоженных вследствие

несанкционированного доступа к ним;

установления правил доступа к ПДн, обрабатываемым в ИСПДн, а также

обеспечением регистрации и учета действий, совершаемых с ПДн в ИСПДн;

контроля над принимаемыми мерами по обеспечению безопасности ПДн и

уровня защищенности ИСПДн.

7.2.2. С учетом возможного вреда субъекту ПДн, объема и содержания обрабатываемых

ПДн, вида деятельности, при осуществлении которого обрабатываются ПДн,

актуальности угроз безопасности ПДн в Банке для каждой ИСПДн на основании

требований законодательства Российской Федерации определяются и

документально оформляются:

уровень защищенности ПДн при их обработке в ИСПДн;

состав и содержание необходимых для выполнения требований к защите ПДн,

организационных и технических мер по обеспечению безопасности ПДн при их

обработке в ИСПДн

7.2.3. В целях поддержания установленного уровня защищенности ПДн при их обработке

в ИСПДн, в отношении каждой ИСПДн, назначается администратор безопасности.

7.2.4. При передаче ПДн между работниками Банка обеспечивается соблюдение

следующих условий:

передача ПДн необходима для реализации бизнес-процесса и ПДн передаются в

объеме, предусмотренном данным бизнес-процессом;

получающий ПДн работник имеет право обработки передаваемых ПДн в

соответствии с перечнем подразделений и должностей, допущенных к обработке

ПДн.

7.3. Особенности обеспечения безопасности персональных данных при их

обработке без использования средств автоматизации

7.3.1. Обработка ПДн, осуществляемая без использования средств автоматизации,

должна осуществляться таким образом, чтобы в отношении каждой категории ПДн

можно было определить места хранения ПДн (материальных носителей) и

установить перечень лиц, осуществляющих обработку ПДн либо имеющих к ним

доступ.

7.3.2. В отношении ПДн, обработка которых осуществляется в различных целях,

обеспечивается раздельное хранение соответствующих материальных носителей.

7.3.3. При хранении материальных носителей соблюдаются условия, обеспечивающие

сохранность ПДн и исключающие несанкционированный к ним доступ.

7.3.4. Работники Банка, осуществляющие обработку ПДн без использования средств

автоматизации, информируются о факте обработки ими ПДн без использования

consultantplus://offline/ref=CF03C2CC7ADCCE38CE1820A33C49B4F367A73C222E4F81AB04080288FC7837A44C4874417CF3D704Q9K6N

14

средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях

и правилах осуществления такой обработки.

7.3.5. В Банке допускается передача материальных носителей на хранение третьим лицам

только на основании договора, при этом, существенным условием договора

является обязанность обеспечения указанной организацией конфиденциальности

ПДн и обеспечение безопасности ПДн при их обработке (хранении).

8. СОБЛЮДЕНИЕ ПРАВ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

8.1. Субъект ПДн имеет право на получение информации, касающейся обработки

Банком его ПДн, в том числе содержащей:

подтверждение факта обработки ПДн;

правовые основания и цели обработки ПДн;

цели и применяемые способы обработки ПДн;

наименование и место нахождения Банка, сведения о лицах (за исключением

работников Банка), которые имеют доступ к ПДн или которым могут быть

раскрыты ПДн на основании договора с Банком;

обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн,

источник их получения;

сроки обработки ПДн, в том числе сроки их хранения;

порядок осуществления субъектом персональных данных своих прав,

предусмотренных Законом № 152-ФЗ;

информацию об осуществленной или о предполагаемой трансграничной

передаче ПДн;

наименование или фамилию, имя, отчество и адрес лица, осуществляющего

обработку ПДн по поручению Банка, если обработка поручена или будет

поручена такому лицу;

иные сведения, предусмотренные федеральными законами.

Данные сведения предоставляются субъекту ПДн при его обращении либо при

получении от него запроса Банком в доступной форме. Обращение субъекта ПДн

оформляется в форме запроса на предоставление сведений об обработке ПДн.

Форма запроса на предоставление сведений об обработке ПДн (образец) указана в

приложении 2 к Положению.

8.2. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с

федеральными законами, в частности, если:

обработка ПДн осуществляется в соответствии с законодательством о

противодействии легализации (отмыванию) доходов, полученных преступным

путем, и финансированию терроризма;

доступ нарушает права и законные интересы третьих лиц.

8.3. Субъект ПДн вправе требовать от Банка уточнения его ПДн, их блокирования или

уничтожения в случае, если ПДн являются неполными, устаревшими, неточными,

незаконно полученными или не являются необходимыми для заявленной цели

обработки. Формы запросов (образец) на уточнение и уничтожение ПДн указаны в

приложениях 3, 4 к Положению.

8.4. Порядок действий Банка при получении запроса субъекта ПДн, его представителя

или уполномоченного органа по правам субъектов ПДн, описан во внутренних

15

нормативных документах Банка, определяющих порядок работы с документами,

поступающими от третьих лиц.

9. УСТРАНЕНИЕ НАРУШЕНИЙ

9.1. Факты нарушений обработки ПДн, в том числе: неправомерной обработки ПДн

(незаконно полученных ПДн, не являющихся необходимыми для заявленной цели

обработки, без согласия субъекта ПДн), обработки неточных ПДн (неполных,

устаревших), выявляются:

При получении запросов субъектов ПДн, их представителей, уполномоченного

органа по защите прав субъектов ПДн. Устранение нарушений осуществляется в

соответствии с разделом «Соблюдение прав субъектов персональных данных»

Положения.

При проведении в Банке контрольных мероприятий в рамках контроля за

обеспечением безопасности обработки сведений конфиденциального характера.

Устранение нарушений осуществляется в описанном ниже порядке.

9.2. При выявлении неправомерной обработки ПДн, Банк предпринимает меры,

направленные на обеспечение правомерности обработки ПДн. В случае, если

обеспечить правомерность обработки ПДн невозможно, Банк в срок, не

превышающий десяти рабочих дней с даты выявления неправомерной обработки

ПДн, уничтожает такие ПДн или обеспечивает их уничтожение.

9.3. При выявлении факта неточности ПДн Банк запрашивает у субъекта ПДн

информацию для уточнения неточных ПДн. На основании сведений,

представленных субъектом персональных данных или его представителем, Банк

уточняет ПДн либо обеспечивает их уточнение в течение семи рабочих дней со дня

представления таких сведений.

9.4. Уничтожение ПДн производится в соответствии с порядком уничтожения сведений

конфиденциального характера. В случае отсутствия возможности уничтожения

ПДн в течение сроков, указанных в настоящем разделе, Банк осуществляет

блокирование таких ПДн или обеспечивает их блокирование и обеспечивает

уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не

установлен федеральными законами.

10. ПОЛНОМОЧИЯ И ОБЯЗАННОСТИ ДОЛЖНОСТНЫХ ЛИЦ ПРИ

ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

10.1. Ответственный за организацию обработки персональных данных

10.1.1. В целях обеспечения выполнения Банком обязанностей, предусмотренных

законодательством Российской Федерации о ПДн, в Банке назначено лицо,

ответственное за организацию обработки ПДн.

10.1.2. Лицо, ответственное за организацию обработки ПДн, получает указания

непосредственно от Президента Банка и подотчетно ему.

10.1.3. На ответственного за организацию обработки ПДн возложены следующие

обязанности:

16

осуществление внутреннего контроля за соблюдением Банком и его

работниками законодательства Российской Федерации о ПДн, в том числе

требований к защите ПДн;

доведение до сведения работников Банка положений законодательства

Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн,

требований к защите ПДн;

осуществление внутреннего контроля за приемом и обработкой обращений и

запросов субъектов ПДн, их представителей или уполномоченного органа по

правам субъектов ПДн;

10.2. Ответственный за обеспечение безопасности персональных данных при их

обработке в информационных системах персональных данных

10.2.1. В целях организации и проведения работ по обеспечению безопасности ПДн при их

обработке в ИСПДн, в Банке назначено лицо, ответственное за обеспечение

безопасности персональных данных при их обработке в ИСПДн.

10.2.2. На ответственного за обеспечение безопасности ПДн при их обработке в ИСПДн

возложены следующие обязанности:

организация работ по созданию и дальнейшему совершенствованию системы

защиты ПДн, обеспечивающей нейтрализацию угроз безопасности ПДн при их

обработке в ИСПДн, с учетом требований по обеспечению соответствующего

уровня защищенности ПДн;

осуществление внутреннего контроля за соблюдением работниками Банка

установленных требований по обеспечению безопасности ПДн при их обработке

в ИСПДн;

разработка предложений по совершенствованию системы защиты ПДн;

согласование условий договоров о передаче и поручении обработки ПДн

третьим лицами.

11. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ НАСТОЯЩЕГО

ПОЛОЖЕНИЯ

Лица, виновные в нарушении требований настоящего Положения, несут

дисциплинарную, административную, гражданско-правовую или уголовную

ответственность в соответствии с законодательством Российской Федерации.

17

12. ССЫЛКИ

1. Федеральный закон от 27.07.2006 г. №152 «О персональных данных».

2. Постановление Правительства Российской Федерации от 15.09.2008 г. №687 «Об

утверждении Положения об особенностях обработки персональных данных,

осуществляемой без использования средств автоматизации».

3. Постановление Правительства Российской Федерации от 01.11.2012 г. №1119 «Об

утверждении требований к защите персональных данных при их обработке в

информационных системах персональных данных».

4. Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013

г. №21 «Об утверждении состава и содержания организационных и технических мер

по обеспечению безопасности персональных данных при их обработке в

информационных системах персональных данных».

5. Приказ Федеральной службы безопасности от 10.07.2014 г. №378 «Об утверждении

состава и содержания организационных и технических мер по обеспечению

безопасности персональных данных при их обработке в информационных системах

персональных данных с использованием средств криптографической защиты

информации, необходимых для выполнения установленных Правительством

Российской Федерации требований к защите персональных данных для каждого из

уровней защищенности».

6. Стандарт Банка России «Обеспечение информационной безопасности организаций

банковской системы Российской Федерации. Общие положения «СТО БР ИББС-1.0-

2014» (принят и введен в действие Распоряжением Банка России от 17.05.2014г. № Р-

399).

18

Приложение № 1

к Положению Банка «ВБРР» (АО) «О порядке обработки персональных данных»

НАЧАЛО ФОРМЫ

Акционерное общество «Всероссийский банк развития регионов»

129594, Москва, Сущевский вал, д. 65, корп. 1

Тел. (495) 933-0343, Факс (495) 933-0344

От: (фамилия, имя, отчество)

Паспорт: № выдан « » 20 г.

(наименование органа, выдавшего документ)

Зарегистрированного(ой) по адресу: (индекс, край/область,

город/населенный пункт, улица, № дома, № квартиры/комнаты)

Контактный телефон: ( )

(номер договора, его дата, либо сведения, иным

образом подтверждающие факт обработки персональных данных Банком)

ЗАПРОС

на отзыв согласия на обработку персональных данных

В соответствии с Федеральным законом «О персональных данных» прошу Вас

прекратить обработку моих персональных данных: (перечень персональных данных)

осуществляемую в целях:

(цели обработки персональных данных, в отношении которых отзывается согласие)

,

по причине: (причина отзыва согласия)

Ответ на настоящий запрос прошу направить в письменной форме по следующему

адресу: (индекс, край/область,


«____» ________________ 20___ г. ______________/____________________________

(дата) (подпись) (имя, отчество, фамилия)

КОНЕЦ ФОРМЫ

19






Тел. (495) 933-0343, Факс (495) 933-0344









ЗАПРОС

на предоставление сведений по обработке персональных данных


предоставить мне следующую информацию:

☐ осуществляется ли Вами обработка моих персональных данных;

☐ перечень обрабатываемых Вами моих персональных данных;

☐ правовые основания и цели обработки моих персональных данных;

☐ применяемые способы обработки моих персональных данных;

☐ какие лица (за исключением работников Банка) имеют доступ или могут

получить доступ к моим персональным данным;

☐ сроки обработки моих персональных данных, в том числе сроки их хранения;

☐ информацию об осуществленной или о предполагаемой трансграничной

передаче моих персональных данных;

☐ наименование или фамилию, имя, отчество и адрес лица, осуществляющего

обработку моих персональных данных по поручению Банка, если обработка

поручена или будет поручена такому лицу;

☐ иные сведения: .




«____» ________________ 20___ г. ______________/____________________________



20






Тел. (495) 933-0343, Факс (495) 933-0344









ЗАПРОС

на уточнение персональных данных


внести изменения в мои персональные данные: Наименование

персональных данных Исходные персональные данные Корректные персональные данные

обрабатываемые в целях:

,

в связи с: (причина внесения изменений)




«____» ________________ 20___ г. ______________/____________________________



21






Тел. (495) 933-0343, Факс (495) 933-0344









ЗАПРОС

на уничтожение персональных данных


уничтожить мои персональные данные: (перечень персональных данных)

обрабатываемые в целях:

,

по причине: (причина уничтожения персональных данных)




«____» ________________ 20___ г. ______________/____________________________



01 2015. · 2017-08-11 · «СТО БР ИББС-1.0-2014» (принят и введен в...

Documents

Transcript of 01 2015. · 2017-08-11 · «СТО БР ИББС-1.0-2014» (принят и введен в...