Положение обработки персональных данных клиентов
advertisement
УТВЕРЖДАЮ Председатель Правления ОАО КБ «МВКБ» ______________ Е.А. Смирнов _______________2014 г. ПОЛОЖЕНИЕ о персональных данных и их обработке в ОАО КБ «МВКБ» Москва 2014 1. ИНФОРМАЦИЯ О ДОКУМЕНТЕ 1.1. Настоящее Положение определяет порядок и условия обработки ПДн в Банке, включая порядок передачи ПДн третьим лицам, задачи подразделений в рамках обеспечения безопасности ПДн, случаи взимания согласий субъектов ПДн и уведомления органа по защите прав субъектов ПДн, особенности обработки ПДн, а также порядок организации внутреннего контроля и ответственность за нарушения при обработке ПДн. Настоящее Положение предназначено для организации в Банке процесса обработки ПДн согласно нормам и принципам действующего Федерального законодательства. 1.2. Вводимые определения терминов и сокращений Персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация; Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных; Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых возможно установить его личность, включая фотографические изображения, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию; Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности; Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных; Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных; Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц; Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства; Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных; Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не 2 допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания; Информационная система персональных данных (ИСПДн) – информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств; Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. 2. ОБЩИЕ ПОЛОЖЕНИЯ 2.1. Настоящее Положение разработано в соответствии с законодательством Российской Федерации о персональных данных (далее ПДн) и нормативнометодическими документами исполнительных органов государственной власти по вопросам безопасности ПДн при их обработке в информационных системах ПДн (далее – ИСПДн), нормативными актами Банка России, а также внутренними документами по информационной безопасности ОАО КБ «МВКБ» (далее - Банк). 2.2. Основными нормативно-правовыми и методическими документами, на которых базируется настоящее Положение являются: Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн. «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства РФ от 01.11.2012 г. № 1119. «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687. «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные Постановлением Правительства РФ от 06.07.2008 г. № 512. Комплекс документов в области стандартизации Банка России СТО БР ИББС. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. зам. директора ФСТЭК России 15.02.2008 г. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утв. зам. директора ФСТЭК России 14.02.2008 г. «Состав и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденное приказом ФСТЭК России № 21 от 18.02.2013 года. 3 3. ОБЛАСТЬ ДЕЙСТВИЯ 3.1. Действие настоящего Положения распространяется на все процессы по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению (в том числе передачу), обезличиванию, блокированию, уничтожению ПДн, осуществляемых с использованием средств автоматизации и без их использования. 3.2. Настоящее Положение вступает в силу с момента его утверждения Председателем Правления Банка и действует бессрочно, до замены его новым Положением. 3.3. Все изменения в Положение вносятся приказами и утверждаются Председателем Правления Банка. 3.4. Положение обязательно для ознакомления и исполнения всеми лицами, допущенными к обработке ПДн (Порядок формирования перечня лиц, допущенных к обработке ПДн изложен в разделе 10.1). 4. ЦЕЛИ ОБРАБОТКИ ПДН 4.1. В соответствии с п.1 ст.5 ФЗ «О персональных данных» в Банке определены следующие цели обработки ПДн: 4.1.1. Осуществление возложенных на Банк законодательством Российской Федерации функций в соответствии с Налоговым кодексом Российской Федерации, Трудовым кодексом Российской Федерации, федеральными законами, в частности: • «О банках и банковской деятельности» • «О кредитных историях» • «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» • «О валютном регулировании и валютном контроле» • «О рынке ценных бумаг» • «О несостоятельности (банкротстве) кредитных организаций» • «О страховании вкладов физических лиц в банках Российской Федерации» • «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования» «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» • «О персональных данных», нормативными актами Банка России, а также Уставом и нормативными актами Банка 4.1.2. Обработка персональных данных клиентов Банка, необходимая для осуществления основного вида деятельности – оказания банковских услуг (включая сбор и накопление необходимой информации о клиентах, ведение клиентской базы для оказания банковских услуг, оформление и печать документов и договоров, осуществление операционной деятельности Банка согласно законодательству РФ). 4.1.3. Организация учета служащих Банка для обеспечения соблюдения законов и иных нормативно-правовых актов, содействия служащему в трудоустройстве, обучении, продвижении по службе, пользования различного вида льготами в соответствии с Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, федеральными законами, в частности: «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования», «О персональных данных», а также Уставом и нормативными актами Банка. 4 4.1.4. Порядок обработки персональных данных работников Банка, производимой в соответствии с трудовым законодательством, определяются отдельным Положением. 5. ПОРЯДОК ОБРАБОТКИ И ЗАЩИТЫ ПДН 5.1. Общие требования к обработке ПДн 5.1.1. Характеристика обрабатываемых в Банке ПДн 5.1.1.1. В Банке обрабатываются ПДн следующих категорий субъектов: Физические лица, состоящие (состоявшие) в трудовых отношениях с Банком; Физические лица, состоящие (состоявшие) в договорных и иных гражданско-правовых отношениях с Банком; Физические лица, обратившиеся к Банку (в том числе с целью получения от Банка какой-либо информации, либо заключения с Банком договора, либо вступления с Банком в иные гражданско-правовые отношения); Иные физические лица, чьи персональные данные обрабатываются Банком в соответствии с требованиями законодательства Российской Федерации. 5.1.1.2. В Банке обрабатываются персональные данные, позволяющие идентифицировать субъекта ПДн и получить о нем дополнительную информацию. 5.1.1.3. данных. В Банке не осуществляется обработка специальных категорий персональных 5.1.1.4. Обрабатываемые персональные данные подлежат правовой охране, как сведения конфиденциального характера в соответствии с федеральным законодательством. 5.1.1.5. лиц. Банк является оператором по обработке персональных данных физических 5.1.1.6. В случае неполноты или изменений сведений, указанных в уведомлении, Оператор обязан уведомить об изменениях уполномоченный орган по защите прав субъектов персональных данных (в настоящее время таковым органом является Роскомнадзор). Шаблон необходимых документов приведен в п.п. 4.1 - 4.2 (Приложение 4). 5.1.2. Обязанности Банка 5.1.2.1. В соответствии с требованиями Федерального Закона №152-ФЗ «О персональных данных» Банк обязан: Уведомить уполномоченный орган по защите прав субъектов ПДн о своем намерении осуществлять обработку персональных данных в соответствии с требованиями статьи 22 Федерального закона «О персональных данных». По письменному запросу субъекта ПДн о реализации его прав, предусмотренных Главой 3, Федерального Закона «О персональных данных» и пунктами 7.1.1, 7.1.2, 7.1.3 настоящего Положения, предоставлять ему необходимые бланки запросов, приведенных в Приложение 2. Ответственным за предоставление необходимых бланков субъекту ПДн является работник подразделения, осуществляющего взаимодействие с клиентами, по первому требованию субъекта ПДн. Предоставлять субъекту ПДн по его запросу информацию, касающеюся обработки его ПДн по форме 3.1 (Приложение 3), либо предоставить отказ по форме 3.3 (Приложение 3). Ответственным за заполнение формы является работник Управления информационной безопасности. Ответственным за предоставление заполненной формы субъекту ПДн является работник Службы защиты информации. 5 Предоставление субъекту заполненной формы должно производиться в течение 7 (Семи) дней с момента получения запроса. Перед предоставлением ответа на запрос субъекту ПДн, он должен быть согласован с Юридическим дирекцией. По запросу субъекта ПДн, направить ему соответствующее разъяснение о том, что в Банке не производится принятие решений, основанных исключительно на автоматизированной обработке ПДн по форме 3.3 (Приложение 3). Ответственным за предоставление разъяснения субъекту ПДн является работник подразделения, осуществляющего взаимодействие с клиентами. Предоставление субъекту заполненной формы производится в течение семи дней с момента получения запроса. По требованию субъекта ПДн уточнять обрабатываемые ПДн, блокировать или удалять, если ПДн являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. Ответственным за выполнение перечисленных процедур является работник подразделения, осуществляющего взаимодействие с клиентами. Перед блокированием и удалением ПДн, решение о совершении данных действий должно быть согласовано со Службой защиты информации и Юридической дирекцией. Блокирование или удаление ПДн должно быть осуществлено в течение 7 (Семи) дней после получения соответствующего требования от субъекта ПДн. По факту совершения данных действия, субъекту ПДн должно быть направлено соответствующее уведомление по форме 3.4 и 3.5 (Приложение 3). Банк ведет журнал учета обращений субъектов ПДн по вопросам связанным с обработкой ПДн, в котором должны фиксироваться запросы субъектов ПДн, а также факты предоставления персональных данных по этим запросам. Ответственность за ведение журнала учета обращений субъектов ПДн возлагается на Службу защиты информации. Учет обращений периодически проверяется Службой внутреннего аудита. Банк уведомляет субъекта ПДн об обработке ПДн в том случае, если ПДн были получены не от субъекта ПДн. Форма уведомления приведена в п. 3.1 (Приложение 3). 5.1.3. Обеспечение конфиденциальности ПДн 5.1.3.1. Банк и иные лица, получающие доступ к ПДн, обеспечивают конфиденциальность таких данных путем реализации комплекса организационных и технических мероприятий по защите ПДн. 5.1.3.2. Для обеспечения защиты персональных данных от неправомочных действий Банком осуществляются следующие организационные меры: Знание работниками требований нормативно–методических документов по защите информации, в том числе персональных данных; Своевременное выявление нарушений работниками подразделений требований режима конфиденциальности; Разделение полномочий пользователей в информационных системах, в зависимости от их должностных обязанностей; Наличие формализованной процедуры по предоставлению доступа к информационным системам персональных данных, а также по регулярному пересмотру (ревизии) прав доступа работников в зависимости от занимаемой ими должности; Все работники, состоящие или вступающие в трудовые отношения с Банком, деятельность которых связана с получением, обработкой и защитой персональных 6 данных, обязаны подписать обязательство о неразглашении персональных данных, а также быть ознакомлены под роспись с настоящим положением. 5.1.3.3. Банк может передавать ПДн своих работников и клиентов на обработку третьим лицам (принимающей стороне), только если это необходимо для достижения целей обработки ПДн и существенным условием договора является обязанность обеспечения третьей стороной конфиденциальности ПДн и безопасности ПДн при их обработке. 5.1.3.4. Передача ПДн третьим лицам без заключенного соглашения о неразглашении и без применения мер технической защиты ПДн, согласно п.3 ст.6 Федерального закона №152-ФЗ «О персональных данных», не допускается. 5.2. Требования к обработке ПДн работников Банка 5.2.1 Не допускается получение и обработка ПДн о политических, религиозных и иных убеждениях работника, его частной жизни, членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом. 5.1.1. К обработке персональных данных штатных работников Банка допускаются Руководители Банка, работники Дирекции по расчетному обслуживанию клиентов, Дирекции кассовых операций, Дирекции персонала, Юридической Дирекции, Дирекции защиты корпоративных интересов, Службы внутреннего аудита, Дирекции кредитных операций, Дирекции бухгалтерского учета и отчетности, Дирекции информационных технологий, Службы защиты информации. 5.1.2. В соответствии с ФЗ «О персональных данных», Банку не требуется получать согласия штатных работников на обработку их ПДн, поскольку обработка ПДн работника осуществляется Банком в целях исполнения трудового или гражданско-правового договора, одной из сторон которого является субъект ПДн. (п/п.5 п.1 ст.6 ФЗ «О персональных данных», обработка ПДн в данном случае осуществляется в рамках трудового договора). 5.1.3. При передаче ПДн работника третьей стороне, Банку необходимо получить письменное согласие работника на передачу его ПДн, за исключением случаев, предусмотренных Федеральным законодательством. Форма согласия приведена в Приложение 1. Существенным условием договора с третьей стороной осуществляющей или планирующей осуществлять обработку ПДн является наличие условий о конфиденциальности ПДн и безопасности ПДн при их обработке (ч. 3 ст.6 ФЗ «О персональных данных» №152-ФЗ). 5.1.4. Обработка специальных категорий ПДн и биометрических категорий ПДн может осуществляться в Банке только с согласия субъектов ПДн (независимо от того, является ли субъект ПДн работником Банка или его клиентом). 5.2. Требования к обработке ПДн клиентов Банка 5.2.1. К обработке, передаче и хранению персональных данных клиентов Банка допускаются в рамках своих полномочий работники следующих подразделений: Руководство Банка, Дирекции персонала, Дирекции по расчетному обслуживанию клиентов, Дирекции кассовых операций, Дирекции персонала, Юридической дирекции, Дирекции защиты корпоративных интересов, Службы внутреннего аудита, Дирекции кредитных операций, Дирекции бухгалтерского учета и отчетности, Дирекции информационных технологий, Службы защиты информации, Дирекции продаж, Операционного офиса «Октябрьское поле», Службы финансового контроля. 5.2.2. ПДн клиента обрабатываются исключительно в целях, указанных в разделе 4 настоящего Положения. 7 5.2.3. Обработка ПДн клиентов Банка (в случае, когда операция осуществляется доверенным лицом клиента) может осуществляться только с их согласия. 5.2.4. В случае передачи ПДн субъектов третьей стороне (например, сервисным компаниям, банкам, другим юридическим структурам и т.п.) передающая сторона должна иметь согласие на передачу персональных данных от субъектов ПДн. 5.2.5. Согласие на передачу ПДн необходимо включать в тексты соответствующих типовых форм документов (анкета, договор), опосредующих юридические отношения клиентов и Банка. УСЛОВИЯ ОБРАБОТКИ ПДН, ОСУЩЕСТВЛЯЕМОЙ ИСПОЛЬЗОВАНИЯ СРЕДСТВ АВТОМАТИЗАЦИИ 6. БЕЗ 6.1. Работники, осуществляющие обработку ПДн без использования средств автоматизации, информируются до начала обработки о категориях ПДн, об особенностях и правилах обработки ПДн, изложенных в настоящем Положении. 6.2. В типовых формах, в которые предполагается внесение ПДн (например, анкеты по сбору ПДн субъектов для оформления договора банковского обслуживания, анкеты претендентов на вакансии при трудоустройстве субъектов и т.п.) должна содержаться следующая информация: Цель обработки ПДн, наименование и адрес Банка, источник получения ПДн, срок обработки ПДн, перечень действий с ПДн, которые будут совершаться в процессе их обработки; Поле для проставления субъектом ПДн отметки о согласии на обработку ПДн без использования средств автоматизации; 6.3. Типовая форма должна заполняться на каждого субъекта в отдельности. 6.4. Ведение реестра, содержащего ПДн, необходимые для однократного пропуска субъекта на территорию, на которой находится Банк может осуществляться после разработки Акта о ведении соответствующего реестра, в котором определены цели обработки ПДн, способы фиксации и состав запрашиваемых у субъекта ПДн, перечень лиц (поименно и по должностям), имеющих доступ к реестру и ответственных за ведение реестра, сроки обработки ПДн. Форма Акта о ведении реестра приведена в Приложение 5. 6.5. Порядок хранения материальных носителей Пдн: Не допускается хранение документов и/или иных материальных носителей, содержащих ПДн в открытом виде на рабочих столах в нерабочее время; Не допускается вынос документов и/или иных материальных носителей, содержащих ПДн за территорию ОАО КБ «МВКБ», если это не предусмотрено соответствующим регламентом; Не допускается несанкционированное копирование материальных носителей, содержащих ПДн; Не допускается передача документов и/или иных материальных носителей, содержащих ПДн, работникам других подразделений, если это не предусмотрено соответствующим регламентом. Хранение материальных носителей ПДн не может осуществляться в открытом доступе; Хранение материальных носителей ПДн должно осуществляться в запираемых металлических ящиках/шкафах/картотеках, исключающих возможность несанкционированного доступа к хранимым материалам. Ключи от соответствующих документов и/или иных 8 ящиков/шкафов/картотек хранятся у руководителя подразделения под его личной ответственностью; Работники Службы защиты информации обязаны вести поэкземплярный учет машинных носителей ПДн; Помещения, в которых осуществляется хранение материальных носителей ПДн должны быть оборудованы системой контроля доступа. 7. ПОРЯДОК ВЗАИМОДЕЙСТВИЯ С ГОСУДАРСТВЕННЫМИ ОРГАНАМИ 7.1. По факту поступления запроса уполномоченного органа по защите прав субъектов ПДн работниками Службы защиты информации проводится регистрация запроса в журнале учета запросов уполномоченного органа по защите прав субъектов ПДн. Работниками Юридического дирекции оценивается правомерность запроса к Банку. В случае правомерности поступившего запроса, Юридическая дирекция разрабатывает проект ответа на поступивший запрос в течение 7 (семи) рабочих дней с даты получения запроса. 7.2. При получении правомерного запроса на исправление выявленных нарушений, Служба защиты информации разрабатывает перечень действий по устранению выявленных нарушений, и согласуют перечень предлагаемых действий с заинтересованными подразделениями Банка. 7.3. В установленных действующим федеральным законодательством случаях Банк обязан предоставлять информацию, содержащую обрабатываемые ПДн, по мотивированному запросу уполномоченных органов государственной власти по предметам их компетенции. Обработка запроса осуществляется по аналогии с пп.1-2 настоящего раздела. 7.4. Запросы на предоставление доступа к обрабатываемым ПДн могут быть обжалованы в судебном порядке в соответствии с действующим законодательством Российской Федерации. 7.5. Контроль и надзор за выполнением требований по обработке ПДн в ИСПДн, установленных Правительством РФ, осуществляются уполномоченными федеральными органами исполнительной власти в пределах их компетенции и без права ознакомления с ПДн, обрабатываемыми в ИСПДн Банка. 8. ПОРЯДОК ОБРАБОТКИ ОБРАЩЕНИЙ СУБЪЕКТОВ ПДН 8.1. Субъект ПДн вправе: 8.1.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей: подтверждение факта обработки ПДн Банком; правовые основания и цели обработки ПДн; цели и применяемые Банком способы обработки ПДн; наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Банком или на основании федерального закона; обрабатываемые ПДн, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом «О персональных данных»; сроки обработки ПДн, в том числе сроки их хранения; порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом «О персональных данных»; 9 информацию об осуществленной или о предполагаемой трансграничной передаче ПДн; наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Банка, если обработка поручена или будет поручена такому лицу; иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами. 8.1.2. Субъект ПДн имеет право на получение сведений, указанных в п/п. 8.1.1. пункта 8, за исключением случаев, предусмотренных п/п. 8.1.3 пункта 8. Субъект ПДн вправе требовать от Банка уточнения его персональных данных, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки. 8.1.3. Право субъекта ПДн на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если: обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; доступ субъекта ПДн к его персональным данным нарушает права и законные интересы третьих лиц; И в иных случаях предусмотренных действующим законодательством. 8.2. Порядок обращения Субъекта ПДн по вопросам, связанным с ПДн: Субъект ПДн вправе обратиться в Банк по вопросам, связанным с обработкой его ПДн, по фактическому адресу местонахождения Банка или филиала Банка; Субъект ПДн вправе передать запрос по вопросам, связанным с обработкой его ПДн в письменном виде (далее запрос) работнику Банка, который в рамках своих должностных обязанностей осуществляет прием запросов от субъектов ПДн. 8.3. Работник Банка, который принял письменное обращение субъекта ПДн, по вопросам, связанным с обработкой его ПДн должен зафиксировать на запросе следующую информацию: Дату поступления запроса; Время поступления запроса; Должность работника принявшего запрос от субъекта ПДн; Фамилию Имя Отчество работника принявшего запрос от субъекта ПДн. 8.4. Работник Банка, принявший запрос от субъекта ПДн, обязан передать запрос в Службу защиты информации в день поступления запроса. В том случае если запрос был принят после 15:00 текущего рабочего дня, работник обязан передать запрос на следующий рабочий день. 8.5. Служба защиты информации регистрирует письменные запросы субъектов ПДн по вопросам, связанным с обработкой ПДн в журнале учета обращений субъектов ПДн в день поступления запроса в Службу защиты информации. Оригиналы запросов от субъектов ПДн хранятся в Службе защиты информации, с обязательным соблюдением требований настоящего Положения к хранению материальных носителей ПДн. 8.6. Служба защиты информации направляет копии запроса субъекта ПДн Председателю Правления Банка, в Юридическую дирекцию. Копии запроса субъекта ПДн должны быть направлены в день регистрации запроса ПДн в журнале учета обращений субъектов ПДн. Дата и время вручения копии запроса от субъекта ПДн фиксируется в журнале. 10 8.7. Юридическая дирекция анализирует правомерность запроса от субъекта ПДн к Банку и направляет результаты анализа в Службу защиты информации не позднее следующего рабочего дня. 8.8. Служба защиты информации регистрирует ответ на запрос субъекта ПДн в журнале учета обращений субъектов ПДн. Служба защиты информации направляет ответ субъекту ПДн следующими способами: Заказным письмом с уведомлением о вручении получателю, в том случае если запрос от субъекта ПДн поступил почтой; Передает ответ на запрос субъекта ПДн работнику Банка, принявшему от субъекта ПДн обращение по вопросам обработки его ПДн. 8.9. Работник Банка при вручении ответа субъекту ПДн или его законному представителю обязан сделать копию данного ответа. На копии ответа субъект ПДн обязан написать дату и время вручения ему ответа, фамилию имя отчество, личную подпись, затем передать копию ответа с отметкой о вручении работнику Банка. 8.10. Работник Банка обязан передать копию ответа на запрос субъекта ПДн с отметкой о вручении в Службу защиты информации. 8.11. Служба защиты информации хранит копии ответов на обращения субъектов ПДн с отметкой о вручении и уведомления о вручении ответов отправленных почтой в соответствии с требованиями к хранению материальных носителей ПДН, установленными п/п 6.5. настоящего Положения. 9. ТРЕБОВАНИЯ К ПОМЕЩЕНИЯМ, В КОТОРЫХ ОСУЩЕСТВЛЯЕТСЯ ОБРАБОТКА ПДН 9.1. Доступ в помещения, в которых располагаются средства обработки ПДн, должен быть ограничен. 9.2. Сетевое оборудование должно располагаться в местах, недоступных для посторонних лиц (в специальных помещениях, шкафах, коробах). 9.3. Уборка помещений и обслуживание технических средств ИСПДн должна осуществляться только авторизованным персоналом под контролем ответственных за данные помещения и технические средства лиц с соблюдением мер, исключающих несанкционированный доступ к ПДн, носителям информации, программным и техническим средствам обработки, передачи и защиты информации ИСПДн. 9.4. Помещения, в которых располагается серверное оборудование ИСПДн, должны быть подключены к системе резервного обеспечения энергоснабжения с целью обеспечения высококачественного бесперебойного электропитания ИСПДн, как в нормальных условиях, так и в случаях нарушения штатного энергоснабжения. 10. ТРЕБОВАНИЯ К РАБОТНИКАМ ПЕРСОНАЛЬНЫХ ДАННЫХ В СВЯЗИ С ОБРАБОТКОЙ Обеспечение конфиденциальности ПДн, обрабатывающихся в Банке, является обязательным требованием для всех работников Банка, которым ПДн стали известны, как в связи со служебной деятельностью, так и по случайности или ошибке. Все лица, допущенные к работе с ПДн, а также связанные с эксплуатацией и техническим сопровождением ИСПДн должны быть ознакомлены с требованиями настоящего Положения под роспись. Ответственность за своевременное ознакомление работников с требованиями настоящего Положения, возлагается на Руководителей структурных подразделений. 11 В Банке организуется процесс обучения (проведение инструктажа) по направлению обеспечения безопасности ПДн. Обучение (проведение инструктажа) осуществляется Службой защиты информации. Обучение (проведение инструктажа) по данному направлению рекомендовано лицам, имеющим постоянный доступ к ПДн, и лицам, эксплуатирующим ИСПДн. В случае нарушения установленного порядка обработки ПДн работники Банка несут ответственность в соответствии с разделом 12 настоящего Положения. 10.1. Предоставление работникам доступа к ПДн 10.1.1. Работникам Банка предоставляется доступ к работе с ПДн исключительно в пределах и объеме, необходимых для выполнения ими своих должностных обязанностей и в соответствии с порядком, установленным настоящим Положением, а также внутренними нормативными документами Банка. 10.1.2. Работники Банка, которые в силу выполняемых служебных обязанностей постоянно работают с ПДн, получают допуск к необходимым категориям ПДн с установленными правами доступа на срок выполнения ими соответствующих должностных обязанностей на основании Списка должностных лиц (должностей), допущенных к работе с ПДн, который утверждается Председателем Правления Банка, по представлению Службы защиты информации. 10.1.3. Временный или разовый допуск к работе с ПДн в связи со служебной необходимостью может быть получен работником Банка по согласованию с непосредственным руководителем и Службой защиты информации, путем подачи заявки на доступ с указанием цели и срока доступа и категорий ПДн, к которым запрашивается доступ. 10.1.4. Доступ к ПДн может быть прекращен или ограничен в случае нарушения требований настоящего Положения, либо в случае перевода или увольнения работника. 10.1.5. В случае, если работник сторонней организации имеет доступ к ПДн Банка необходимо, чтобы в договоре со сторонней организацией были прописаны условия конфиденциальности ПДн и обязанность сторонней организации и ее работников по соблюдению требований текущего законодательства РФ в области защиты ПДн. 11. ОРГАНИЗАЦИЯ ВНУТРЕННЕГО КОНТРОЛЯ ОБРАБОТКИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ И 11.1. Организация внутреннего контроля процесса обработки ПДн в Банке осуществляется в целях изучения и оценки фактического состояния защищенности ПДн, своевременного реагирования на нарушения установленного порядка их обработки, а также в целях совершенствования этого порядка и обеспечения его соблюдения. 11.2. Мероприятия по осуществлению внутреннего контроля обработки и обеспечения безопасности ПДн направлены на решение следующих задач: Обеспечение соблюдения работниками Банка требований настоящего Положения и нормативно-правовых актов, регулирующих деятельность в сфере персональных данных. Оценка компетентности персонала, задействованного в обработке ПДн. Обеспечение работоспособности и эффективности технических средств ИСПДн и средств защиты ПДн, их соответствия требованиям уполномоченных органов исполнительной власти по вопросам безопасности ПДн. Выявление нарушений установленного порядка обработки ПДн и своевременное предотвращение негативных последствий таких нарушений. 12 Принятие корректирующих мер, направленных на устранение выявленных нарушений, как в порядке обработки ПДн, так и в работе технических средств ИСПДн. Разработка рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн по результатам контрольных мероприятий. Осуществление контроля за исполнением рекомендаций и указаний по устранению нарушений. 11.3. Мероприятия по организации внутреннего контроля обработки и обеспечения безопасности ПДн возлагаются на Службу защиты информации и Службу внутреннего аудита. 11.4. Результаты контрольных мероприятий являются основанием для разработки рекомендаций по совершенствованию порядка обработки и обеспечения безопасности ПДн, по модернизации технических средств ИСПДн и средств защиты ПДн, по обучению и повышению компетентности персонала, задействованного в обработке ПДн. 12. ОТВЕТСТВЕННОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ ЗА НАРУШЕНИЯ ПРИ ОБРАБОТКЕ 12.1. Правление Банка несет ответственность за обеспечение конфиденциальности ПДн, а также соблюдение прав и свобод субъектов ПДн в отношении их ПДн, в том числе прав на неприкосновенность частной жизни, личную и семейную тайну. 12.2. Работники Банка несут персональную ответственность за соблюдение требований по обработке и обеспечению безопасности ПДн, установленных настоящим Положением, в соответствии с законодательством Российской Федерации. 12.3. Работник Банка может быть привлечен к ответственности в случаях: Умышленного или неосторожного раскрытия ПДн; Утраты материальных носителей ПДн; Нарушения требований настоящего Положения и других нормативных документов Банка в части вопросов доступа и работы с ПДн. 12.4. В случаях нарушения установленного порядка обработки и обеспечения безопасности ПДн, несанкционированного доступа к ПДн, раскрытия ПДн и нанесения Банку, работникам Банка, клиентам и контрагентам материального или иного ущерба виновные лица несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную действующим законодательством Российской Федерации ответственность. 13 Приложение 1 Форма согласия субъекта ПДн г. Москва «____» _________ 20___г. Я, ______________________________________________________________________, (Ф.И.О. полностью) __________________________ серия:____________________ №:______________________ (вид документа, удостоверяющего личность) выдан:_______________________________________________________________________, (кем и когда выдан) проживающий по адресу:_______________________________________________________ _____________________________________________________________________________, настоящим даю свое согласие на обработку ОАО КБ «МВКБ», адрес местонахождения 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10, Генеральная лицензия на осуществление банковских операций № 2863, (далее «Банк») (включая получение от меня и/или от любых третьих лиц, с учетом требований действующего законодательства Российской Федерации) моих персональных данных и подтверждаю, что, давая такое согласие, я действую своей волей и в своем интересе) Согласие дается мною для целей: заключения с Банком договоров и их дальнейшего исполнения, принятия решений или совершения иных действий, порождающих юридические последствия в отношении меня, предоставления мне информации об оказываемых Банком услугах, осуществление возложенных на Банк законодательством Российской Федерации функций в соответствии с федеральными законами, в частности: «О банках и банковской деятельности», «О кредитных историях», «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма», «О валютном регулировании и валютном контроле», «О рынке ценных бумаг», «О несостоятельности (банкротстве) кредитных организаций», «О страховании вкладов физических лиц в банках Российской Федерации», «О персональных данных», нормативными актами Банка России, а также Уставом и нормативными актами Банка; Другое:__________________________________________________________________ ________ и распространяется на следующую информацию обо мне: Фамилия, имя и (если имеется) отчество. Дата рождения. Место рождения. Гражданство (подданство). 14 Адрес места жительства (регистрации) или места пребывания. Адрес для почтовых уведомлений. Адрес электронной почты. Сведения о документе, удостоверяющем личность: наименование, серия и номер, дата выдачи документа, наименование органа, выдавшего документ, код подразделения (если имеется). Данные миграционной карты: номер карты, дата начала срока пребывания и дата окончания срока пребывания; Данные документа, подтверждающего право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации: серия (если имеется) и номер документа, дата начала срока действия права пребывания (проживания), дата окончания срока действия права пребывания (проживания). ИНН. Должность по месту работы. Реквизиты страхового свидетельства обязательного пенсионного страхования. Номера контактных телефонов. Иная информация, относящаяся к моей личности и составляющая персональные данные, которая может быть предоставлена по требованию Банка в соответствии с условиями заключаемого с Банком (оператором) договора. Настоящее согласие дается до истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством Российской Федерации, после чего может быть отозвано путем направления мною соответствующего письменного уведомления Банку не менее чем за 3 (три) месяца до момента отзыва согласия. Настоящее согласие предоставляется на осуществление следующих действий в отношении моих персональных данных, которые необходимы для достижения указанных выше целей: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, передача, обезличивание, блокирование, уничтожение. 15 Обработка Персональных следующих основных способов: данных1 автоматизированная обработка, неавтоматизированная обработка. осуществляется Банком с применением Настоящим я признаю и подтверждаю, что в случае необходимости предоставления Персональных данных для достижения указанных выше целей третьему лицу (в том числе некредитной и небанковской организации), а равно как при привлечении третьих лиц к оказанию услуг в указанных целях, передачи Банком принадлежащих ему функций и полномочий иному лицу, Банк вправе в необходимом объеме раскрывать для совершения вышеуказанных действий информацию обо мне лично (включая мои Персональные данные) таким третьим лицам, их агентам и иным уполномоченным ими лицам, а также предоставлять таким лицам соответствующие документы, содержащие такую информацию. Также настоящим признаю и подтверждаю, что настоящее согласие считается данным мною любым третьим лицам, указанным выше, с учетом соответствующих изменений, и любые такие третьи лица имеют право на обработку Персональных данных на основании настоящего согласия. Для целей обеспечения соблюдения законов и иных нормативных правовых актов, выражаю согласие на получение и передачу моих персональных данных путем подачи и получения запросов в отношении органов местного самоуправления, государственных органов и организаций (для этих целей дополнительно к общедоступным сведениям могут быть получены или переданы сведения о дате рождения, гражданстве, доходах, паспортных данных, предыдущих местах работы, идентификационном номере налогоплательщика, свидетельстве государственного пенсионного страхования, социальных льготах и выплатах, на которые я имею право в соответствии с действующим законодательством). Оператор, осуществляющий обработку по поручению Банка: Наименование:_________________________________________________ Адрес:________________________________________________________ Подпись: ________________________ Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных 1 16 Приложение 2 2.1 Запрос на предоставление сведений об операторе Оператору персональных данных: ОАО КБ «МВКБ» Адрес: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. От (фамилия, имя, отчество) паспорт выдан (номер) (дата выдачи) (место выдачи паспорта) Адрес: (адрес места жительства) Являюсь клиентом ОАО КБ «МВКБ»__________________________ (Укажите какими услугами Банка пользовались/пользуетесь) Не являюсь клиентом ОАО КБ «МВКБ» Запрос на предоставление сведений об операторе персональных данных В соответствии со Статьей 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» прошу подтвердить факт обработки моих персональных данных и предоставить следующие сведения: способы обработки моих персональных данных; сведения о лицах, которые имеют доступ к моим персональным данным или которым может быть предоставлен такой доступ; перечень относящихся ко мне персональных данных и источник их получения; сроки обработки моих персональных данных, в том числе сроки их хранения; сведения о том, какие юридические последствия может повлечь за собой обработка моих персональных данных. ( Отметьте необходимые Вам сведения) Указанные сведения прошу предоставить: на бумаге по адресу:________________________________________________________ по адресу электронной почты:_______________________________________________ (дата) (подпись) 17 2.2 Уведомление об отзыве согласия Оператору персональных данных: ОАО КБ «МВКБ» Адрес: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. От (фамилия, имя, отчество) паспорт выдан (номер) (дата выдачи) (место выдачи паспорта) Адрес: (адрес места жительства) Являюсь клиентом ОАО КБ «МВКБ»__________________________ (Укажите какими услугами Банка пользовались/пользуетесь) Не являюсь клиентом ОАО КБ «МВКБ» Уведомление об отзыве согласия на обработку персональных данных Настоящим уведомляю Вас о том, что не менее чем через три месяца, с даты получения Вами данного уведомления, мною, в Ваш адрес, будет направлено заявление об отзыве согласия на обработку персональных данных. (подпись) (дата) 2.3 Отзыв согласия Оператору персональных данных: ОАО КБ «МВКБ» Адрес: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. От (фамилия, имя, отчество) паспорт выдан (номер) (дата выдачи) 18 (место выдачи паспорта) Адрес: (адрес места жительства) Являюсь клиентом ОАО КБ «МВКБ»__________________________ (Укажите какими услугами Банка пользовались/пользуетесь) Не являюсь клиентом ОАО КБ «МВКБ» ЗАЯВЛЕНИЕ об отзыве согласия на обработку персональных данных Прошу прекратить обработку моих персональных данных, осуществляемую в целях: (цели обработки персональных данных, в отношении которых отзывается согласие) по причине: (НЕОБЯЗАТЕЛЬНО: указать причину отзыва согласия) (дата) (подпись) 19 2.4 Требование о блокировании ПДн Оператору персональных данных: ОАО КБ «МВКБ» Адрес: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. От (фамилия, имя, отчество) паспорт выдан (номер) (дата выдачи) (место выдачи паспорта) Адрес: (адрес места жительства) Являюсь клиентом ОАО КБ «МВКБ»__________________________ (Укажите какими услугами Банка пользовались/пользуетесь) Не являюсь клиентом ОАО КБ «МВКБ» Требование о блокировании персональных данных В соответствии с положениями ст. 14 и ст. 21 Федерального закона от 27.07.2006 г. № 152ФЗ «О персональных данных» прошу осуществить блокирование моих персональных данных в связи с тем, что: (указать причину: персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; с персональными данными совершаются неправомерные действия – указать какие; иная причина – указать) (дата) (подпись) 20 2.5 Требование об уничтожении ПДн Оператору персональных данных: ОАО КБ «МВКБ» Адрес: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. От (фамилия, имя, отчество) паспорт выдан (номер) (дата выдачи) (место выдачи паспорта) Адрес: (адрес места жительства) Являюсь клиентом ОАО КБ «МВКБ»__________________________ (Укажите какими услугами Банка пользовались/пользуетесь) Не являюсь клиентом ОАО КБ «МВКБ» Требование об уничтожении персональных данных В соответствии с положениями ст. 14 и ст. 21 Федерального закона от 27.07.2006 г. № 152ФЗ «О персональных данных» прошу уничтожить мои персональные данные в связи с тем, что: (указать причину: я отзываю согласие на обработку своих персональных данных; персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; с персональными данными совершаются неправомерные действия – указать какие; иная причина – указать) (дата) (подпись) 21 2.6 Требование об уточнении персональных данных Оператору персональных данных: ОАО КБ «МВКБ» Адрес: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. От (фамилия, имя, отчество) паспорт выдан (номер) (дата выдачи) (место выдачи паспорта) Адрес: (адрес места жительства) Являюсь клиентом ОАО КБ «МВКБ»__________________________ (Укажите какими услугами Банка пользовались/пользуетесь) Не являюсь клиентом ОАО КБ «МВКБ» Требование об уточнении персональных данных В соответствии с положениями ст. 14 и ст. 21 Федерального закона от 27.07.2006 г. № 152ФЗ «О персональных данных» и на основании: (документ(ы) на основании которого(ых) оператор обязан уточнить персональные данные) Прошу произвести уточнение моих персональных данных согласно представленным документам. (дата) (подпись) 22 Приложение 3 3.1 Уведомление субъекта об обработке ПДн Субъекту персональных данных: _______________________________________________ Адрес: _______________________________________________ УВЕДОМЛЕНИЕ об обработке персональных данных Оператор персональных данных: ОАО КБ «МВКБ» находящийся по адресу: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. руководствуясь: (правовое основание обработки персональных данных) с целью: (цель обработки персональных данных) осуществляет обработку Ваших персональных данных, включая: (перечисление персональных данных, находящихся в обработке: ФИО, адрес, телефон…) полученные: (источник получения персональных данных) Обработка вышеуказанных персональных данных осуществляется путем: (перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных) К персональным данным имеют или могут получить доступ следующие лица: (перечень конкретных должностей) Обработка указанных персональных данных будет являться основанием для: (решения, принимаемые на основании обработки; возможные юридические последствия обработки) Дата начала обработки персональных данных: Срок или условие прекращения обработки персональных данных: (должность) «__» _____________ 201_ г. (подпись) (Ф.И.О.) 23 3.2 Отказ в предоставлении сведений Субъекту персональных данных: ___________________________________________ Адрес: ___________________________________________ ОТКАЗ в предоставлении сведений Оператор персональных данных: ОАО КБ «МВКБ» находящийся по адресу: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 64200-10. Вам отказано в предоставлении сведений по запросу от (дата запроса) на основании (ссылка на нормы ФЗ «О персональных данных» или иных федеральных законов) (должность) (подпись) (Ф.И.О.) «__» _____________ 201_ г. 24 3.3. Разъяснение порядка принятия решений на основании исключительно автоматизированной обработки ПДн Субъекту персональных данных: ___________________________________________ Адрес: ___________________________________________ РАЗЪЯСНЕНИЕ порядка принятия решений на основании исключительно автоматизированной обработки персональных данных Оператор персональных данных: ОАО КБ «МВКБ» находящийся по адресу: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. руководствуясь: (правовое основание обработки персональных данных) с целью: (цель обработки персональных данных) осуществляет обработку Ваших персональных данных, включая: (перечисление персональных данных, находящихся в обработке: ФИО, адрес, телефон…) Указанные персональные данные обрабатываются в информационных системах оператора как с использованием средств автоматизации, так и без их использования. В ходе автоматизированной обработки персональных данных могут совершаться следующие действия: (действия с персональными данными, которые совершаются в ходе автоматизированной обработки) При выполнении указанных действий, Оператор не принимает решений, порождающих юридические последствия для субъекта персональных данных, основываясь исключительно на автоматизированной обработке персональных данных. (должность) «__» _____________ 201_ г. (подпись) (Ф.И.О.) 25 3.4 Уведомление субъекта о блокировании ПДн Субъекту персональных данных: ___________________________________________ Адрес: ___________________________________________ УВЕДОМЛЕНИЕ о блокировании персональных данных Оператор персональных данных: ОАО КБ «МВКБ»» находящийся по адресу: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. осуществил блокирование Ваших персональных данных, включая: (перечисление блокированных персональных данных: ФИО, адрес, телефон…) которые обрабатывались в целях: (цель обработки указанных персональных данных) Указанные персональные данные были заблокированы (дата блокирования) в связи с: (причина блокирования персональных данных) (должность) (подпись) (Ф.И.О.) «__» _____________ 201_ г. 26 3.5 Уведомление субъекта о прекращении обработки и уничтожении ПДн Субъекту персональных данных: ___________________________________________ Адрес: ___________________________________________ УВЕДОМЛЕНИЕ о прекращении обработки и уничтожении персональных данных Оператор персональных данных: ОАО КБ «МВКБ» находящийся по адресу: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. руководствуясь: (правовое основание обработки персональных данных) с целью: (цель обработки персональных данных) осуществлял обработку Ваших персональных данных, включая: (перечисление персональных данных, находящихся в обработке: ФИО, адрес, телефон…) с: по: (дата начала обработки) (дата окончания обработки) Обработка указанных персональных данных была прекращена в связи с: (причина окончания обработки персональных данных) Указанные персональные данные уничтожены. (должность) (подпись) (Ф.И.О.) «__» _____________ 201_ г. 27 Приложение 4 4.1 Уведомление об изменениях в реквизитах оператора ПДн (на имя руководителя территориального управления Роскомнадзора, субъекта персональных данных, либо его представителя, либо третьего лица, которому были сообщены неверные данные) Руководителю территориального Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Москве и Московской области УВЕДОМЛЕНИЕ об изменениях в реквизитах оператора персональных данных Тип оператора: Юридическое лицо Наименование оператора: ОАО КБ «МВКБ» Адрес оператора: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 64200-10. Сведения об операторе персональных данных ОАО КБ «МВКБ», представленные Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций в Уведомлении об обработке персональных данных (о намерении осуществлять обработку персональных данных), претерпели изменения. Ниже представлены актуальные данные для внесения изменений в Реестр операторов персональных данных: Наименование оператора: Адрес оператора: Правовое основание обработки персональных данных: Цели обработки персональных данных: Категории персональных данных: Категории субъектов персональных данных: Перечень действий с персональными данными: Меры по обеспечению безопасности персональных данных: (должность) (подпись) (Ф.И.О.) «__» _____________ 201_ г. 28 4.2 Уведомление о внесении изменений в ПДн (на имя руководителя территориального Руководителю территориального Управления управления Роскомнадзора, субъекта Федеральной службы по надзору в сфере связи, персональных данных, либо его представителя, либо третьего лица, которому информационных технологий и массовых были сообщены неверные данные) коммуникаций по Москве и Московской области УВЕДОМЛЕНИЕ о внесении изменений в персональные данные Тип оператора: юридическое лицо Наименование: ОАО КБ «МВКБ» Адрес: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. действующее в соответствии с: (правовое основание обработки персональных данных) в отношении персональных данных: (имя субъекта персональных данных) на основании: (основание внесения изменений в персональные данные) внесло следующие изменения: наименование исходное значение изменено (наименование категории персональных данных: ФИО, адрес, телефон и т.п.) (исходное значение) (новое значение) Указанные персональные данные вводятся в обработку с учетом внесенных изменений с (дата возобновления обработки) Срок или условие прекращения обработки персональных данных (должность) (подпись) (Ф.И.О.) «__» _____________ 201_ г. 29 4.3 Уведомление об уничтожении ПДн (на имя руководителя территориального управления Роскомнадзора, субъекта персональных данных, либо его представителя, либо третьего лица, которому были сообщены неверные данные) Руководителю территориального Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Москве и Московской области УВЕДОМЛЕНИЕ об уничтожении персональных данных Тип оператора: юридическое лицо Наименование: ОАО КБ «МВКБ» Адрес: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. Руководствуясь: (правовое основание обработки персональных данных) в целях: (цель обработки персональных данных) осуществлял обработку следующих категорий персональных данных: (перечень ПДн, включая специальные категории ПДн и биометрические ПДн при их наличии) принадлежащих (имя субъекта персональных данных) (если имеются, дополнительные сведения для идентификации: дата рождения / адрес…) с по (дата начала обработки персональных данных) (дата прекращения обработки) Обработка вышеуказанных персональных данных оператором была прекращена, а сами данные уничтожены в связи с: (причина прекращения обработки персональных данных: окончание срока обработки или событие, с которым связано достижение цели или утрата необходимости обработки) (должность) (подпись) (Ф.И.О.) «__» _____________ 201_ г. 30 4.4 Уведомление об устранении нарушений в порядке обработке ПДн (на имя руководителя территориального управления Роскомнадзора, субъекта персональных данных, либо его представителя, либо третьего лица, которому были сообщены неверные данные) Руководителю территориального Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Москве и Московской области УВЕДОМЛЕНИЕ об устранении нарушений в порядке обработки персональных данных Тип оператора: юридическое лицо Наименование: ОАО КБ «МВКБ» Адрес: 105062, г. Москва, Подсосенский пер., д. 23, стр. 2, тел. (495) 642-00-10. В отношении порядка обработки персональных данных, принадлежащих: (имя субъекта персональных данных и дополнительные сведения для идентификации, если имеются: дата рождения / адрес…) Были допущены следующие нарушения: (указать выявленные нарушения) Указанные нарушения были устранены (дата устранения нарушений) на основании: (правовое основание устранения выявленных нарушений) Персональные данные вновь вводятся в обработку с (дата ввода в обработку) Срок или условие прекращения обработки персональных данных: (должность) (подпись) (Ф.И.О.) «__» _____________ 201_ г. 31 Приложение 5 Форма Акта о ведении реестра Утверждаю Председатель Правления ОАО КБ «МВКБ» ______________ /Е.А. Смирнов/ «___» __________ 20__ г. АКТ №_____ О ВЕДЕНИИ РЕЕСТРА «Журнал учета разовых пропусков ОАО КБ «МВКБ» Необходимость ведения реестра: Цели обработка ПДн: Способы фиксации ПДн: Состав ПДн: ФИО Должность ФИО Должность Перечень лиц, допущенных к материальным носителям Перечень лиц, ответственные за ведение и сохранность реестра: Срок обработки ПДн: Порядок пропуска субъекта ПДн на территорию Банка Порядок уничтожения ПДн 32 Приложение 7 ОБЯЗАТЕЛЬСТВО О СОБЛЮДЕНИИ РЕЖИМА КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ Я, ___________________________________________________________________________, в период действия трудовых отношений с ОАО КБ «МВКБ» (далее – Банк) и после их окончания обязуюсь: 1. Не разглашать и не передавать третьим лицам и не раскрывать публично сведения, содержащие персональные данные, к которым я буду допущен или которые станут известны мне в результате выполнения должностных обязанностей. 2. Выполнять относящиеся ко мне требования «Положения о персональных данных их обработке в ОАО КБ «МВКБ» и иных приказов, инструкций и положений по обеспечению режима конфиденциальности персональных данных и соблюдению правил их обработки. 3. В случае попытки посторонних лиц получить от меня сведения, составляющие персональные данные, немедленно сообщить об этом своему непосредственному руководителю и работникам Управления информационной безопасности. 4. Сохранять конфиденциальность персональных данных, полученных Банком со стороны третьих лиц, с которыми Банк имеет деловые отношения. 5. Не использовать информацию, содержащую персональные данные, для извлечения личной выгоды, а также в целях, которые могут нанести ущерб Банку, субъектам персональных данных, либо иным лицам. 6. В случае моего увольнения все материальные носители персональных данных, которые находились в моем распоряжении в связи с выполнением мною служебных обязанностей во время работы в Банке передать моему непосредственному руководителю или лицу, его заменяющему. 7. Об утрате или недостаче материальных носителей персональных данных, удостоверений, пропусков, ключей от защищаемых помещений, хранилищ, сейфов (металлических шкафов), личных печатей и о других фактах, которые могут привести к раскрытию конфиденциальной информации, содержащей персональные данные, а также о причинах и условиях возможного раскрытия персональных данных немедленно сообщать моему непосредственному руководителю или лицу, его заменяющему и работнику Управления информационной безопасности. До моего сведения доведено с разъяснениями «Положение о персональных данных и их обработке в ОАО КБ «МВКБ». Мне известно, что нарушение этого обязательства может повлечь за собой ответственность, предусмотренную действующим законодательством, такую как гражданская ответственность, уголовная ответственность, административная ответственность, дисциплинарные взыскания, возмещение причинного ущерба и пр. _____________________________________________________(подпись) (ФИО полностью) Один экземпляр обязательства получил(а) "___"____________201_г. 33
