1.1. Политика обработки и защиты персональных данных ПАО «Норвик Банк»» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, классификацию персональных данных и субъектов персональных данных, основные подходы к системе управления процессом обработки персональных данных, а также реализуемые в ПАО «Норвик Банк» (далее - Банк) требования к защите персональных данных.
1.2. Политика разработана в соответствии с законодательством Российской Федерации в области персональных данных:
- Конституцией Российской Федерации;
- Трудовым кодексом Российской Федерации;
- Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон № 152-ФЗ);
- Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Указа Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановления Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановления Правительства Российской Федерации от 6 июля 2008 года № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
- Постановления Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказа Федеральной службы безопасности Российской Федерации (ФСБ России) от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
- Приказа ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказа Минцифры России от 10 сентября 2021 года № 930 «Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации»;
- Стандарта Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2014 (принят и введен в действие Распоряжением Банка России от 17 мая 2014 года № Р-399);
- иных нормативных правовых актов Российской Федерации и нормативных документов исполнительных органов государственной власти, Банка России в области защиты персональных данных.
1.4. Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Банк осуществляет обработку персональных данных, в том числе:
1.4.1. Конституция Российской Федерации, а также федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Банка:
- Налоговый кодекс Российской Федерации;
- Гражданский Кодекс Российской Федерации;
- Трудовой кодекс Российской Федерации;
- Федеральный закон от 2 декабря 1990 года № 395-1 «О банках и банковской деятельности»;
- Федеральный закон от 30 декабря 2004 года № 218-ФЗ «О кредитных историях»;
- Федеральный закон от 7 августа 2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Федеральный закон от 22 апреля 1996 года № 39-ФЗ «О рынке ценных бумаг»;
- Федеральный закон от 26 декабря 1995 года № 208-ФЗ «Об акционерных обществах»;
- Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»,
- Федеральный закон от 23 декабря 2003 года № 177-ФЗ «О страховании вкладов в банках Российской Федерации»;
- Федеральный закон от 1 апреля 1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
- Федеральный закон от 10 декабря 2003 года № 173-ФЗ «О валютном регулировании и валютном контроле»;
- Федеральный закон от 3 июля 2016 года № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях»»;
- Федеральный закон от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи»;
- Федеральный закон от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе»;
- Постановление Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Положение Банка России от 20 июля 2007 года № 307-П «О порядке ведения учета и представления информации об аффилированных лицах кредитных организаций»;
- Положение Банка России от 15 октября 2015 года № 499-П «Об идентификации кредитными организациями клиентов, представителей клиента, выгодоприобретателей и бенефициарных владельцев в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»;
- Положение Банка России от 28 июня 2017 года № 590-П «О порядке формирования кредитными организациями резервов на возможные потери по ссудам, ссудной и приравненной к ней задолженности»;
- Положение Банка России от 23 октября 2017 года № 611-П «О порядке формирования кредитными организациями резервов на возможные потери»;
- Положение Банка России от 29 июня 2021 года № 762-П «О правилах осуществления перевода денежных средств»;
- Указание Банка России от 16 августа 2017 года № 4498-У «О порядке передачи уполномоченными банками, государственной корпорацией «Банк развития и внешнеэкономической деятельности (Внешэкономбанк)» органам валютного контроля информации о нарушениях лицами, осуществляющими валютные операции, актов валютного законодательства Российской Федерации и актов органов валютного регулирования»;
- Указание Банка России от 15 июля 2021 года № 5861-У «О порядке представления кредитными организациями в уполномоченный орган сведений и информации в соответствии со статьями 7 и 7.5 Федерального закона «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»»;
- Инструкция Банка России от 30.06.2021 N 204-И «Об открытии, ведении и закрытии банковских счетов и счетов по вкладам (депозитам)»Инструкция Банка России от 16 августа 2017 года № 181-И «О порядке представления резидентами и нерезидентами уполномоченным банкам подтверждающих документов и информации при осуществлении валютных операций, о единых формах учета и отчетности по валютным операциям, порядке и сроках их представления»;
- иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти, Банка России.
1.4.2. Устав ПАО «Норвик Банк».
1.4.3. Договоры, заключаемые между Банком и Субъектом персональных данных, между Банком и иным лицом, поручившим Банку обработку персональных данных.
1.4.4. Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Банка), в том числе согласие на обработку персональных данных соискателей на замещение вакантных должностей, согласие на обработку персональных данных работников; согласие на обработку персональных данных клиентов, согласие посетителей Банка, пользователей сайта, согласие иных субъектов персональных данных; согласие[1] на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
1.5. Положения Политики служат основой для организации работы по обработке персональных данных в Банке, в том числе, для разработки внутренних нормативных документов (регламентов, методик, технологических схем и прочее), регламентирующих процесс обработки персональных данных в Банке.
1.6. Обработка персональных данных Работниками Банка осуществляется с целью выполнения их должностных обязанностей. Положения настоящей Политики являются обязательными для исполнения всеми Работниками Банка, имеющими доступ к персональным данным. Работники Банка, а также иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта, если иное не предусмотрено федеральным законом.
1.7. Банк имеет право вносить изменения, дополнения в настоящую Политику, в том числе в случае внесения изменений и/или вступления в силу новых нормативных правовых актов в области защиты и обработки персональных данных.
1.8. Настоящая Политика размещается на общедоступном ресурсе – официальном сайте Банка и корпоративном портале Банка для общего пользования Работниками Банка. Ознакомление Работников Банка с положениями настоящей Политики осуществляется посредством рассылки Политики по адресам электронной почты Работников Банка. Факт ознакомления Работников Банка с настоящей Политикой фиксируется в Журнале регистрации инструктажей согласно Приложению № 4 к настоящей Политике.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Банк – ПАО «Норвик Банк», являющийся в рамках Закона № 152-ФЗ оператором по обработке персональных данных, а именно: организующий и (или) осуществляющий самостоятельно или совместно с другими лицами обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Блокирование Персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных).
Информационная система Персональных данных – совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Конфиденциальность персональных данных – обязательное для соблюдения Банком или иным лицом, получившим доступ к Персональным данным, требование не раскрывать третьим лицам и не распространять Персональные данные без согласия Субъекта Персональных данных или наличия иного законного основания, предусмотренного федеральным законом.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения, - Персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения в порядке, предусмотренном Законом № 152-ФЗ.
Предоставление Персональных данных – действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие Персональных данных неопределенному кругу лиц.
Работник Банка – физическое лицо, заключившее с Банком трудовой договор.
Специальная категория Персональных данных – сведения касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Субъект персональных данных (Субъект) – физическое лицо, которое прямо или косвенно определено с помощью персональных данных.
Трансграничная передача Персональных данных – передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение Персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3.1. Обработка Персональных данных осуществляется Банком на основе следующих принципов:
- обработка персональных данных осуществляется Банком на законной и справедливой основе;
- обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;
- не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработке подлежат только персональные данные, которые отвечают целям их обработки;
- содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;
- при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Банком принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;
- хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных;
- обрабатываемые персональные данные уничтожаются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
3.2. Банк осуществляет обработку Персональных данных в Информационной системе Персональных данных в целях:
- осуществления банковских операций и иной деятельности, предусмотренной Уставом и лицензиями Банка, нормативными актами Банка России, действующим законодательством Российской Федерации;
- заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическим лицами и индивидуальными предпринимателями в случаях, предусмотренных действующим законодательством и Уставом Банка;
- ведения кадровой работы и организации кадрового учета Работников Банка;
- привлечения и отбора кандидатов на работу в Банке;
- формирования отчетности, в том числе для предоставления Банку России;
- осуществления Банком административно-хозяйственной деятельности;
- проведения Банком акций, опросов, исследований;
- обеспечения охраны помещений и хранилищ, сохранности денег, ценностей и оборудования, контроля и управления доступом на охраняемую территорию и установления личности субъекта персональных данных.
4.1. В зависимости от Субъекта персональных данных, Банк обрабатывает персональные данные следующих категорий Субъектов:
- физических лиц, являющихся кандидатами на соискание вакантной должности в Банке или являющихся Работниками Банка[2];
- физических лиц, входящих в органы управления Банка/юридического лица, являющегося аффилированным лицом по отношению к Банку и/или являющихся учредителями/акционерами Банка, работниками юридического лица, являющегося аффилированным лицом по отношению к Банку и иная информация, необходимая Банку для отражения в отчетных документах о деятельности Банка в соответствии с требованиями федеральных законов, нормативных документов Банка России и иных правовых актов;
- физических лиц, представляющих интересы юридического лица, являющегося клиентом Банка и входящих в органы управления и/или являющихся учредителем/акционером такого юридического лица и/или действующих от имени юридического лица на основании доверенности/карточки с образцами подписей и оттиском печати (далее – Представитель юридического лица);
- физических лиц, являющихся клиентами Банка на основании заключенного с Банком кредитного договора и договора на оказание иных финансовых услуг, включая оказание Банком услуг путем присоединения к условиям публичного договора, договора, обеспечивающего обязательства другого физического лица/юридического лица перед Банком;
- физических лиц, в том числе являющихся Представителями юридического лица, заключивших или намеревающихся заключить с Банком договоры гражданско-правового характера в связи с осуществлением Банком административно-хозяйственной деятельности. Под административно-хозяйственной деятельностью понимается деятельность, направленная на текущее обеспечение деятельности Банка товарно-материальными ценностями, организацию документооборота, организацию эксплуатации зданий, помещений, территорий и организацию рабочего процесса;
- физических лиц, приобретших или намеревающихся приобрести услуги Банка, услуги третьих лиц при посредничестве Банка или не имеющих с Банком договорных отношений при условии, что их персональные данные включены в автоматизированные системы Банка и обрабатываются в соответствии с Законодательством о персональных данных;
- физических лиц, персональные данные которых разрешены ими для распространения, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных;
- иных физических лиц, выразивших согласие на обработку Банком их персональных данных или физических лиц, обработка персональных данных которых необходима Банку для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.
4.2. Банк осуществляет обработку следующих категорий персональных данных:
4.2.1. общих, в частности:
- Фамилия, имя, отчество;
- дата рождения;
- адрес регистрации и (или) места проживания;
- образование,
- сведения о работе;
- доходы;
- номер банковского счета;
- адрес электронной почты;
- номер телефона (мобильный, домашний, рабочий);
- СНИЛС;
- ИНН;
- паспортные данные;
- данные об обязательном медицинском страховании;
- данные заграничного паспорта;
- данные пенсионного удостоверения;
- данные военного билета;
- и другие персональные данные в зависимости от цели их обработки и категории Субъектов персональных данных.
4.2.2. специальных;
4.2.3. биометрических, в частности:
- данные изображения лица субъекта;
- данные голоса субъекта.
4.3. Обработка Банком специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни допускается только при наличии согласия Субъекта персональных данных, в случае если обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством и в иных случаях, предусмотренных законодательством Российской Федерации.
4.4. В целях информационного обеспечения и соблюдения требований законодательства Российской Федерации Банк вправе создавать общедоступные источники персональных данных (в том числе справочники, адресные книги) с письменного согласия субъекта. В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о должности и иные персональные данные, сообщаемые Субъектом персональных данных.
4.5. Конкретный перечень персональных данных, в том числе специальных категорий персональных данных, обрабатываемых в Банке, определяется в соответствии с законодательством Российской Федерации и локальными актами Банка с учетом целей обработки персональных данных, указанных в п. 3.2. Политики.
5.1. Банк обрабатывает Персональные данные только при наличии хотя бы одного из следующих условий:
5.1.1. обработка персональных данных осуществляется с согласия Субъекта на обработку его персональных данных, кроме случаев, установленных законодательством Российской Федерации, с соблюдением требований Конфиденциальности персональных данных, установленных ст.7 Закона № 152-ФЗ, а также принятием мер, направленных на обеспечение выполнения обязанностей по обработке и защите Персональных данных, установленных законодательством Российской Федерации. При этом:
- обработка специальных категорий данных, биометрических данных, трансграничная передача персональных данных осуществляется только при наличии согласия в письменной форме Субъекта Персональных данных, оформленного в соответствии с п.4 ст.9 Закона № 152-ФЗ;
- обработка Персональных данных, разрешенных Субъектом персональных данных для распространения, осуществляется на основании согласия[3], которое оформляется отдельно от иных согласий Субъекта персональных данных. В данном согласии Субъект имеет право определить перечень Персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных Субъектом персональных данных для распространения, а также установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц;
- обработка персональных данных субъектов, не достигших совершеннолетия, осуществляется при наличии согласия законного представителя такого субъекта.
5.1.2. обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей;
5.1.3. обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных данных, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем;
5.1.4. обработка Персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта Персональных данных невозможно;
5.1.5. обработка Персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в случаях, предусмотренных законом при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;
5.1.6. обработка Персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
5.1.7. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
5.2. Порядок уведомления уполномоченного органа по защите прав Субъектов Персональных данных
Банк (Отдел информационной безопасности) до начала обработки Персональных данных обязан уведомить уполномоченный орган по защите прав Субъектов персональных данных о своем намерении осуществлять обработку Персональных данных, за исключением следующих случаев:
1) осуществления обработки персональных данных, включенных в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
2) осуществления деятельности по обработке персональных данных исключительно без использования средств автоматизации;
3) и в иных предусмотренных законом случаях.
Содержание и порядок направления уведомления уполномоченному органу по защите прав Субъектов персональных данных должно соответствовать требованиям действующего законодательства.
В случае изменения ранее представленных сведений или в случае прекращения обработки персональных данных Банк в течение 10 (десяти) рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных уведомляет об этом уполномоченный орган по защите прав субъектов персональных данных. Формы уведомлений устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
5.3. Перечень действий и способов обработки персональных данных
5.3.1. Банк вправе использовать при обработке персональных данных Субъекта автоматизированный, механический, ручной и любой иной способ по усмотрению Банка.
5.3.2. Банк осуществляет любое действие (операцию) или совокупность действий (операций) с персональными данными Субъекта, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных, если иное не предусмотрено законом или не содержится в согласии Субъекта на обработку персональных данных.
5.3.3. Перечень должностей и/или структурных подразделений Банка, осуществляющих обработку персональных данных в Банке, утверждается Председателем Правления Банка или лицом его замещающим.
5.3.4. Обработка персональных данных Субъектов, осуществляемая без использования средств автоматизации (далее – неавтоматизированная обработка), осуществляется на бумажных и машинных носителях информации (далее по тексту – материальный носитель информации). Для неавтоматизированной обработки различных категорий персональных данных, для каждой категории используется отдельный материальный носитель.
5.4. Получение персональных данных
5.4.1. Все персональные данные Субъекта следует получать непосредственно у Субъекта либо его законного представителя, если иное не предусмотрено законодательством Российской Федерации.
5.4.2. Решение Субъекта о предоставлении своих персональных данных должно быть добровольным, какое-либо давление на него недопустимо.
5.4.3. Принимая решение о предоставлении своих данных, Субъект дает согласие на их обработку, в случае если такое согласие необходимо в соответствии с действующим законодательством Российской Федерации. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
5.4.4. Если персональные данные Субъекта возможно получить только у третьей стороны, то Работник Банка должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Банк должен сообщить Субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствия отказа Субъекта дать письменное согласие на их получение.
5.4.5. Персональные данные могут быть получены Банком от лица, не являющегося Субъектом персональных данных, при условии предоставления Банку подтверждения наличия оснований, указанных в п.2 -11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 Закона № 152-ФЗ.
5.4.6. В случае недееспособности Субъекта согласие на обработку его персональных данных дает законный представитель Субъекта.
5.4.7. В случае смерти Субъекта согласие на обработку его персональных данных дают наследники Субъекта, если такое согласие не было дано Субъектом при его жизни.
5.5. Хранение персональных данных
5.5.1. Хранение персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством Российской Федерации.
5.5.2. Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных.
5.5.3. При осуществлении хранения персональных данных Банк использует базы данных, находящиеся на территории Российской Федерации.
5.5.4. Хранимые персональные данные подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их хранении обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
5.5.5. Хранение персональных данных Банк обеспечивает:
· проведением мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и/или передачи их лицам, не имеющим права доступа к такой информации;
· своевременным обнаружением фактов несанкционированного доступа к персональным данным;
· недопущением воздействия на технические средства автоматизированной обработки персональных данных или на бумажные носители, в результате которого может быть нарушено их функционирование;
· возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
5.5.6. Места хранения для каждой категории материальных носителей утверждаются Председателем Правления Банка или лицом, его замещающим.
5.5.7. Сроки хранения персональных данных в информационных системах персональных данных аналогичны установленной Номенклатурой дел Банка, срокам хранения персональных данных на материальных (бумажных) носителях.
5.5.8. По истечении срока хранения персональные данные уничтожаются в информационных системах и уничтожаются на материальном (бумажном) носителе.
5.5.9. Хранение персональных данных на бумажных и/или электронных носителях осуществляется в Банке: в сейфах, запирающихся шкафах, специально оборудованных хранилищах, специально оборудованных помещениях, в помещениях, оборудованных сигнализацией, в помещениях, оснащенных системами видеонаблюдения.
5.5.10. Особенности хранения персональных данных при обработке персональных данных без использования средств автоматизации:
- необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
- при хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
5.6. Передача персональных данных третьим лицам
5.6.1. Банк вправе поручить обработку персональных данных другому лицу с согласия Субъекта, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ «О персональных данных», соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Законом № 152-ФЗ «О персональных данных».
5.6.2. Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. При раскрытии (предоставлении) персональных данных третьим лицам соблюдаются требования к защите обрабатываемых персональных данных.
5.6.3 Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных, дознания и следствия и иных уполномоченных органов по основаниям, предусмотренным действующим законодательством Российской Федерации) получают доступ к персональным данным, обрабатываемым в Банке, в объеме и порядке, установленном законодательством Российской Федерации.
Предоставление сведений, относящихся в соответствии с действующим законодательством Российской Федерации к банковской тайне, третьим лицам осуществляется на основании СТБ 110 «Положение о порядке работы с запросами о предоставлении сведений, составляющих банковскую тайну, клиентам ПАО «Норвик Банк» и третьим лицам в соответствии с законодательством Российской Федерации».
5.6.4. В ходе своей деятельности Банк вправе осуществлять трансграничную передачу персональных данных в соответствии с требованиями Закона № 152-ФЗ.
5.7. Требования при передаче персональных данных:
· не сообщать персональные данные в коммерческих целях.
· осуществлять передачу персональных данных в пределах Банка в соответствии с настоящей Политикой и должностными инструкциями.
· передавать персональные данные Субъекта представителям в порядке, установленном Трудовым кодексом Российской Федерации и иными федеральными законами, и ограничивать эту информацию только теми персональными данными Субъекта, которые необходимы для выполнения указанными представителями их функций.
5.8. Сроки обработки персональных данных определяются в соответствии со сроком, указанным в согласии Субъекта персональных данных, а также в соответствии со сроком, установленным Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», Постановлением Федеральной комиссии по рынку ценных бумаг Российской Федерации от 16.07.2003 № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства Российской Федерации и нормативными документами Банка России.
Сроки обработки персональных данных доводятся до Субъекта в момент подписания им согласия на обработку персональных данных.
5.9. Типовые формы документов Банка, содержащих сведения о Субъектах персональных данных и/или согласия таких Субъектов, утверждаются Председателем Правления Банка или иным уполномоченным лицом Банка (за исключением согласия субъектов биометрических персональных данных, форма которого утверждена Распоряжением Правительства Российской Федерации от 30.06.2018 № 1322-р)) и содержатся во внутренних нормативных документах Банка, регулирующих отношения Банка с той или иной категорией Субъектов персональных данных. Типовые формы документов Банка используются в соответствии с требованиями, установленными Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
Под типовыми формами документов Банка следует понимать шаблон, бланк документа или другую унифицированную информацию документа, используемую Банком с целью сбора персональных данных.
6.1. Банк осуществляет блокирование неправомерно обрабатываемых Персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки:
- в случае выявления неправомерной обработки персональных данных при обращении Субъекта персональных данных или его представителя;
- в случае выявления неточных персональных данных (если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц);
- по запросу Субъекта персональных данных или его представителя либо уполномоченного органа по защите прав Субъектов персональных данных.
6.2. В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав Субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.3. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации осуществляется путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6.4. Банк уничтожает персональные данные в следующих случаях:
- при представлении Субъектом персональных данных (или его представителем) сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – не позднее семи рабочих дней со дня представления таких сведений (п. 1 ст. 14, ч. 3 ст. 20 Закона № 152-ФЗ);
- при выявлении неправомерной обработки персональных данных, если невозможно обеспечить ее правомерность, - не позднее десяти рабочих дней с даты выявления неправомерной обработки персональных данных (п. 3 ст. 21 Закона № 152-ФЗ);
- при достижении цели обработки персональных данных - в течение тридцати дней с даты достижения цели обработки персональных данных (п. 4 ст. 21 Закона № 152-ФЗ);
- при отзыве Субъектом персональных данных согласия на обработку его персональных данных, если их сохранение более не требуется для целей обработки персональных данных - в течение тридцати дней с даты поступления указанного отзыва (п. 5 ст. 21 Закона № 152-ФЗ);
При достижении цели обработки персональных данных и при отзыве Субъектом персональных данных Согласия на обработку его персональных данных применяется другой срок для уничтожения персональных данных Субъекта, если:
- он предусмотрен договором, стороной которого, выгодоприобретателем или поручителем по которому является Субъект персональных данных;
- он предусмотрен иным соглашением между Банком и Субъектом персональных данных;
- если Банк не вправе осуществлять обработку персональных данных без согласия Субъекта персональных данных на основаниях, предусмотренных Законом № 152-ФЗ или другими федеральными законами (п. 7 ст. 5, п. 4, 5 ст. 21 Закона № 152-ФЗ).
Если у Банка отсутствует возможность уничтожения персональных данных в течение указанных выше сроков, в случаях выявления неправомерной обработки персональных данных или отзыва Субъектом персональных данных согласия на обработку персональных данных, Банк осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.4.1. Способы уничтожения персональных данных
Уничтожение документов (носителей), содержащих персональные данные может производиться путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
6.4.2. Порядок уничтожения персональных данных
При уничтожении персональных данных в случае выявления неправомерной обработки персональных данных, осуществляемой Банком или лицом, действующим по поручению Банка, Банк уведомляет Субъекта персональных данных или его представителя об уничтожении персональных данных, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
По истечении срока действия согласия на обработку персональных данных Субъекта, Банк уничтожает те персональные данные, дальнейшая обработка которых не предусмотрена законодательством Российской Федерации.
В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных Законом № 152-ФЗ.
6.5. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных, Банк обязан с момента выявления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных:
1) в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав Субъектов персональных данных, и предполагаемом вреде, нанесенном правам Субъектов персональных данных, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставить сведения о лице, уполномоченном оператором на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
2) в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставить сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
7.1. Трансграничная передача персональных данных осуществляется в соответствии с Законом № 152-ФЗ и международными договорами Российской Федерации.
7.2. Банк до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных в соответствии с порядком, установленным пунктом 5 статьи 12 Закона № 152-ФЗ.
8.1. Банк как оператор персональных данных, вправе:
8.1.1. отстаивать свои интересы в суде;
8.1.2. предоставлять персональные данные Субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
8.1.3. отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
8.1.4. использовать персональные данные Субъекта без его согласия, в случаях, предусмотренных законодательством;
8.1.5. требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных законом;
8.1.6. обрабатывать персональные данные, разрешенные Субъектом персональных данных для распространения;
8.1.7. осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
8.2. Банк как оператор персональных данных, обязан:
8.2.1. обрабатывать персональные данные Субъекта в соответствии с заявленной целью в случаях и порядке, установленных действующим законодательством Российской Федерации;
8.2.2. разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласие на их обработку., если в соответствии с федеральным законом предоставление персональных данных и (или) получение оператором согласия на обработку персональных данных являются обязательными;
8.2.3. предоставлять Субъекту персональных данных по его просьбе информацию, предусмотренную п. 7 ст. 14 Закона № 152-ФЗ, за исключением случаев, установленных законодательством Российской Федерации;
8.2.4. сообщать в порядке, предусмотренном законом, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя;
8.2.5. при обработке персональных данных принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.3. Субъект имеет право:
8.3.1. требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
8.3.2. получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;
8.3.3. получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
8.3.4. требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
8.3.5. обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
9.1. В целях реализации своих прав, установленных Законом № 152-ФЗ, Субъект персональных данных (его представитель) вправе представить в Банк заявление о неточности своих персональных данных (персональных данных представляемого лица), неправомерности их обработки, доступе к своим персональным данным (персональным данным представляемого лица) и/или отзыве согласия на обработку своих персональных данных (персональных данных представляемого лица) (далее – Заявление).
Формы вышеуказанных Заявлений утверждены Приложениями №№ 1-3 к настоящей Политике. Заявление может быть составлено Субъектом персональных данных в свободной форме, но обязательно должно содержать следующие сведения:
- номер основного документа, удостоверяющего личность Субъекта персональных данных или его представителя,
- сведения о дате выдачи указанного документа и выдавшем его органе,
- сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором,
- подпись субъекта персональных данных или его представителя.
9.2. Заявление может быть направлено в форме электронного документа и подписано электронной подписью в соответствии с законодательством Российской Федерации. Одновременно с подачей Заявления Субъект персональных данных предъявляет в Банк документ, удостоверяющий его личность (за исключением, когда Заявление представляется в Банк в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации), а в случае обращения представителя – с предъявлением паспорта представителя и доверенности или иного документа, подтверждающего полномочия представителя Субъекта персональных данных. Субъект персональных данных (его представитель) вправе представить Заявление в любой офис Банка.
9.3. Банк рассматривает Заявление Субъекта персональных данных (его представителя) и предоставляет на него ответ в соответствии с законодательством Российской Федерации и порядком, установленным внутренними документами Банка.
10.1. Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено данным федеральными законами.
10.2. В целях обеспечения безопасности персональных данных Банком принимаются следующие меры:
10.2.1. назначаются работники, ответственные за обеспечение безопасности персональных данных в Банке;
10.2.2. издаются: Политика обработки и защиты персональных данных, локальные акты по вопросам обработки Персональных данных, определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальные акты устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
10.2.3. применяются правовые, организационные и технические меры по обеспечению безопасности Персональных данных в соответствии с Законом № 152-ФЗ;
10.2.4. осуществляется внутренний контроль соответствия обработки Персональных данных в Банке Закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите Персональных данных, Политике Банка в отношении обработки и защиты персональных данных, локальным актам в области обработки и обеспечения безопасности Персональных данных;
10.2.5. ознакомление Работников Банка, непосредственно осуществляющих обработку Персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Банка в отношении обработки Персональных данных, локальными актами Банка по вопросам обработки Персональных данных, и (или) обучение указанных Работников Банка. Круг должностных лиц, имеющих доступ к базе Персональных данных, ограничен;
10.2.6. устанавливаются правила доступа к Персональным данным, обрабатываемым в информационной системе Персональных данных, а также обеспечивается регистрация и учет действий, совершаемых с Персональными данными в информационной системе Персональных данных, в том числе используются пароли (коды) доступа к ПЭВМ;
10.2.7. хранение информации на бумажных и (или) электронных носителях осуществляется в сейфах, специально оборудованных хранилищах, специально оборудованных помещениях;
10.2.8. осуществляются иные организационные и технические меры для обеспечения безопасности Персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
11.1. Для цели осуществления банковских операций и иной деятельности, предусмотренной Уставом и лицензиями Банка, нормативными актами Банка России, действующим законодательством Российской Федерации, определены следующие категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных:
1) Категории и перечень обрабатываемых персональных данных: фамилия, имя, отчество, пол, дата и место рождения, гражданство, сведения документа, удостоверяющего личность (ДУЛ) (наименование ДУЛ, серия, номер, дата выдачи, наименование органа, выдавшего документ), адрес места регистрации, адрес места жительства, контактные телефоны (мобильный и домашний), контактный адрес электронной почты (служебный, личный), сведения о постановке на налоговый учёт (ИНН), сведения о номере страхового индивидуального лицевого счета застрахованного лица в системе персонифицированного учета ПФР (СНИЛС), семейное положение, сведения о детях (в том числе, сведения о количестве детей и дате их рождения), сведения о родственниках, сведения об образовании, сведения о месте работы, имущественное положение, основной доход, данные водительского удостоверения, загранпаспорта - серия, номер, дата выдачи, наименование органа, выдавшего документ; номер банковского счета, биометрические персональные данные (изображение лица субъекта), файлы cookie, ip-адрес пользователя, id пользователя, идентификационная информация браузера, сведения об оборудовании пользователя, о местоположении, типе устройства, дате и времени сессии, сведения о ресурсах сети Интернет, с которых были совершены переходы на сайт norvikbank.ru, сведения о действиях пользователей на сайте norvikbank.ru и взаимодействии с кампаниями персонализации.
2) Категории субъектов, персональные данные которых обрабатываются:
- физические лица, открывшие вклад в Банке;
- физические лица, заключившие договор о предоставлении кредита;
- физические лица, выступающие в качестве поручителей по договорам о предоставлении кредита;
- физические лица, заключившие договор на дистанционное банковское обслуживание в Банке;
- физические лица, осуществляющие переводы в Банке;
- физические лица, заключившие иные договоры на получение услуг Банка;
- физические лица, оформившие заявку на получение кредита в Банке или состоящие в договорных отношениях с Банком (кредитный договор);
- физические лица, являющиеся родственниками/свойственниками физических лиц, оформивших заявку на получение кредита в Банке или состоящих в договорных отношениях с Банком (кредитный договор);
- физические лица, являющиеся клиентами Банка и выразившие согласие на предоставление Банку своих персональных данных;
- иные физические лица – контрагенты по договорам с Банком;
- физические лица – пользователи официального сайта Банка в сети Интернет.
3) Способы обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Обработка осуществляется смешанным способом, с передачей по внутренней сети Банка, с передачей по сети Интернет.
11.2. Для цели заключения, исполнения и прекращения гражданско-правовых договоров с физическими, юридическими лицами и индивидуальными предпринимателями в случаях, предусмотренных действующим законодательством и Уставом Банка, определены следующие категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных:
1) Категории и перечень обрабатываемых персональных данных: фамилия, имя, отчество, дата и место рождения, гражданство, паспортные данные/данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ), адрес места регистрации, адрес места жительства, контактные телефоны (мобильный и домашний), сведения о постановке на налоговый учёт (ИНН), сведения о номере страхового индивидуального лицевого счета застрахованного лица в системе персонифицированного учета ПФР (СНИЛС), контактный адрес электронной почты (служебный, личный).
2) Категории субъектов, персональные данные которых обрабатываются:
- физические лица, в том числе являющиеся представителями юридического лица, заключившие или намеревающиеся заключить с Банком договоры гражданско-правового характера в связи с осуществлением Банком административно-хозяйственной деятельности.
3) Способы обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Обработка осуществляется смешанным способом, с передачей по внутренней сети Банка, с передачей по сети Интернет.
11.3. Для цели ведения кадровой работы и организации кадрового учета работников Банка определены следующие категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных:
1) Категории и перечень обрабатываемых персональных данных: фамилия, имя, отчество, пол, дата и место рождения, гражданство, паспортные данные/данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ), адрес места регистрации, адрес места жительства, контактные телефоны (мобильный и домашний), контактный адрес электронной почты (служебный, личный), семейное положение, сведения о детях (в том числе, сведения о количестве детей и дате их рождения), сведения об образовании, квалификации, в том числе сведения о повышении квалификации и переподготовке (в том числе, наименование учебного заведения, факультета, специализации, периоде обучения), звания, награды, учёные степени и т.п., сведения о социальных льготах, сведения медицинского страхового полиса, сведения о трудовой деятельности (в том числе, должность, наименование организации и подразделения, времени работы в этих организациях, уровня заработной платы), сведения о наименовании должности, данные военного билета; данные водительского удостоверения, загранпаспорта - серия, номер, дата выдачи, наименование органа, выдавшего документ, основной доход, сведения о постановке на налоговый учёт (ИНН), сведения о номере страхового индивидуального лицевого счета застрахованного лица в системе персонифицированного учета ПФР (СНИЛС), биометрические персональные данные (изображение лица субъекта).
2) Категории субъектов, персональные данные которых обрабатываются:
- физические лица, состоящие в трудовых отношениях с банком или ранее состоявшие в трудовых отношениях с Банком,
- физические лица, состоящие или ранее состоявшие в гражданско-правовых отношениях с Банком,
- физические лица, являющиеся родственниками/свойственниками физических лиц, состоящих или ранее состоявших в договорных и иных гражданско-правовых отношениях с Банком;
- физические лица, направленные учебными заведениями для прохождения практики в Банке (студенты-практиканты).
3) Способы обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Обработка осуществляется смешанным способом, с передачей по внутренней сети Банка, с передачей по сети Интернет.
11.4. Для цели привлечения и отбора кандидатов на работу в Банке определены следующие категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных:
1) Фамилия, имя, отчество, дата рождения, контактный телефон (мобильный, домашний), контактная электронная почта, сведения об образовании, квалификации, в том числе сведения о повышении квалификации и переподготовке (в том числе, наименование учебного заведения, факультета, специализации, периоде обучения), сведения о трудовой деятельности (в том числе, должность, наименование организации и подразделения, времени работы в этих организациях), иная информация, указанная соискателем в резюме, направленном Банку и/или полученном Банком из общедоступных источников (сервисы по поиску работы и по подбору персонала), файлы cookie, ip-адрес пользователя, id пользователя, идентификационная информация браузера, сведения об оборудовании пользователя, о местоположении, типе устройства, дате и времени сессии, сведения о ресурсах сети Интернет, с которых были совершены переходы на сайт norvikbank.ru, сведения о действиях пользователей на сайте norvikbank.ru и взаимодействии с кампаниями персонализации.
2) Категории субъектов, персональные данные которых обрабатываются:
- физические лица, являющиеся кандидатами на соискание вакантной должности в Банке или являющихся Работниками Банка;
- физические лица – пользователи официального сайта Банка в сети Интернет.
3) Способы обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Обработка осуществляется смешанным способом, с передачей по внутренней сети Банка, с передачей по сети Интернет.
11.5. Для цели формирования отчетности, в том числе для предоставления Банку России, определены следующие категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных:
1) Категории и перечень обрабатываемых персональных данных: фамилия, имя, отчество, пол, дата и место рождения, гражданство, сведения документа, удостоверяющего личность (ДУЛ) (наименование ДУЛ, серия, номер, дата выдачи, наименование органа, выдавшего документ), адрес места регистрации, адрес места жительства, контактные телефоны (мобильный и домашний), контактный адрес электронной почты (служебный, личный), сведения о постановке на налоговый учёт (ИНН), сведения о номере страхового индивидуального лицевого счета застрахованного лица в системе персонифицированного учета ПФР (СНИЛС), семейное положение, сведения о детях (в том числе, сведения о количестве детей и дате их рождения), сведения о родственниках, сведения об образовании, сведения о месте работы, имущественное положение, основной доход, данные водительского удостоверения, загранпаспорта - серия, номер, дата выдачи, наименование органа, выдавшего документ; номер банковского счета.
2) Категории субъектов, персональные данные которых обрабатываются:
- физические лица, входящие в органы управления Банка/юридического лица, являющегося аффилированным лицом по отношению к Банку и/или являющихся учредителями/акционерами Банка, работниками юридического лица, являющегося аффилированным лицом по отношению к Банку,
- физические лица, представляющие интересы юридического лица, являющегося клиентом Банка и входящие в органы управления и/или являющиеся учредителем/акционером такого юридического лица и/или действующие от имени юридического лица на основании доверенности/карточки с образцами подписей и оттиском печати.
3) Способы обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Обработка осуществляется смешанным способом, с передачей по внутренней сети Банка, с передачей по сети Интернет.
11.6. Для цели осуществления Банком административно-хозяйственной деятельности определены следующие категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных:
1) Категории и перечень обрабатываемых персональных данных: фамилия, имя, отчество, дата и место рождения, гражданство, паспортные данные/данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ), адрес места регистрации, адрес места жительства, контактные телефоны (мобильный и домашний), основной доход, сведения о постановке на налоговый учёт (ИНН), сведения о номере страхового индивидуального лицевого счета застрахованного лица в системе персонифицированного учета ПФР (СНИЛС), контактный адрес электронной почты (служебный, личный).
2). Категории субъектов, персональные данные которых обрабатываются:
- физические лица состоящие или ранее состоявшие в гражданско-правовых отношениях с Банком.
3) Способы обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Обработка осуществляется смешанным способом, с передачей по внутренней сети Банка, с передачей по сети Интернет.
11.7. Для цели проведения Банком акций, опросов, исследований определены следующие категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных:
1) Категории и перечень обрабатываемых персональных данных: фамилия, имя, отчество, номер телефона, адрес электронной почты, гражданство, сведения документа, удостоверяющего личность (наименование документа, серия, номер, дата выдачи, наименование органа, выдавшего документ), файлы cookie, ip-адрес пользователя, id пользователя, идентификационная информация браузера, сведения об оборудовании пользователя, о местоположении, типе устройства, дате и времени сессии, сведения о ресурсах сети Интернет, с которых были совершены переходы на сайт norvikbank.ru, сведения о действиях пользователей на сайте norvikbank.ru и взаимодействии с кампаниями персонализации..
2) Категории субъектов, персональные данные которых обрабатываются:
- физические лица, участвующие в розыгрышах и акциях, организованных Банком;
- физические лица – пользователи официального сайта Банка в сети Интернет.
3) Способы обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Обработка осуществляется смешанным способом, с передачей по внутренней сети Банка, с передачей по сети Интернет.
11.8. Для цели обеспечения охраны помещений и хранилищ, сохранности денег, ценностей и оборудования, контроля и управления доступом на охраняемую территорию и установления личности субъекта персональных данных.
1) Категории и перечень обрабатываемых персональных данных: фамилия, имя, отчество (в случае выдачи временного пропуска), фото-видеоизображение
2) Категории субъектов, персональные данные которых обрабатываются:
- физические лица, состоящие в трудовых или гражданско-правовых отношениях с Банком;
- физические лица - посетители Банка.
3) Способы обработки персональных данных: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Обработка осуществляется смешанным способом, с передачей по внутренней сети Банка, без передачи по сети Интернет.
11.9 Сроки обработки персональных данных, указанных в пунктах 11.1-11.8 настоящей Политики, определяются в соответствии со сроком, указанным в согласии Субъекта персональных данных, а также в соответствии со сроком, установленным Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», Постановлением Федеральной комиссии по рынку ценных бумаг Российской Федерации от 16.07.2003 № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства Российской Федерации и нормативными документами Банка России. Сроки обработки персональных данных доводятся до Субъекта в момент подписания им согласия на обработку персональных данных.
11.10 Сроки хранения персональных данных, указанных в пунктах 11.1-11.8 настоящей Политики: хранение осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством Российской Федерации. Сроки хранения персональных данных в информационных системах персональных данных аналогичны установленной Номенклатурой дел Банка, срокам хранения персональных данных на материальных (бумажных) носителях.
11.11. Порядок уничтожения персональных данных, указанных в пунктах 11.1-11.8 настоящей Политики: уничтожение производится в соответствии с п. 6.4. настоящей Политики.
12.1. Контроль исполнения требований Политики осуществляется работником, ответственным за обеспечение безопасности персональных данных в Банке.
12.2. Лица виновные в нарушении норм, регулирующих обработку Персональных данных и защиту обрабатываемых в Банке Персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
12.3. В случае изменения действующего законодательства Российской Федерации, внесения изменений в нормативные акты Банка России и иных органов, а также внутренние нормативные документы Банка, до приведения настоящей Политики в соответствие с такими изменениями, настоящая Политика действует в части, не противоречащей действующему законодательству Российской Федерации и действующим внутренним нормативным документам Банка.
[1] Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных
[2] Обработка персональных данных Работников Банка осуществляется в соответствии с «Положением об обработке и защите персональных данных сотрудников ПАО «Норвик Банк»».
[3] Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных
