1.1 Политика обработки и защиты персональных данных ПАО «Норвик Банк»» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, классификацию персональных данных и субъектов персональных данных, основные подходы к системе управления процессом обработки персональных данных, а также реализуемые в ПАО «Норвик Банк» (далее - Банк) требования к защите персональных данных.
1.2 Политика разработана в соответствии с законодательством Российской Федерации в области персональных данных:
1.4 Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми Банк осуществляет обработку персональных данных, в том числе:
1.4.1 Конституция Российской Федерации, а также федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью Банка:
1.4.2 Устав ПАО «Норвик Банк».
1.4.3 Договоры, заключаемые между Банком и Субъектом персональных данных, между Банком и иным лицом, поручившим Банку обработку персональных данных.
1.4.4 Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям Банка), в том числе согласие на обработку персональных данных соискателей на замещение вакантных должностей, согласие на обработку персональных данных работников; согласие на обработку персональных данных клиентов, согласие посетителей Банка, пользователей сайта, согласие иных субъектов персональных данных; согласие1 на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
1.5 Положения Политики служат основой для организации работы по обработке персональных данных в Банке, в том числе, для разработки внутренних нормативных документов (регламентов, методик, технологических схем и прочее), регламентирующих процесс обработки персональных данных в Банке.
1.6 Обработка персональных данных Работниками Банка осуществляется с целью выполнения их должностных обязанностей. Положения настоящей Политики являются обязательными для исполнения всеми Работниками Банка, имеющими доступ к персональным данным. Работники Банка, а также иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия Субъекта, если иное не предусмотрено федеральным законом.
1.7 Банк имеет право вносить изменения, дополнения в настоящую Политику, в том числе в случае внесения изменений и/или вступления в силу новых нормативных правовых актов в области защиты и обработки персональных данных.
1.8 Настоящая Политика размещается на общедоступном ресурсе – официальном сайте Банка и корпоративном портале Банка для общего пользования Работниками Банка. Ознакомление Работников Банка с положениями настоящей Политики осуществляется посредством рассылки Политики по адресам электронной почты Работников Банка. Факт ознакомления Работников Банка с настоящей Политикой фиксируется в Журнале регистрации инструктажей согласно Приложению № 4 к настоящей Политике.
Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
Банк – ПАО «Норвик Банк», являющийся в рамках Закона № 152-ФЗ оператором по обработке персональных данных, а именно: организующий и (или) осуществляющий самостоятельно или совместно с другими лицами обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
Блокирование Персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения Персональных данных).
Информационная система Персональных данных – совокупность содержащихся в базах данных Персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Информация – сведения (сообщения, данные) независимо от формы их представления.
Конфиденциальность персональных данных – обязательное для соблюдения Банком или иным лицом, получившим доступ к Персональным данным, требование не раскрывать третьим лицам и не распространять Персональные данные без согласия Субъекта Персональных данных или наличия иного законного основания, предусмотренного федеральным законом
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение Персональных данных
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Персональные данные, разрешенные субъектом персональных данных для распространения - Персональные данные, доступ неограниченного круга лиц к которым предоставлен Субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных Субъектом персональных данных для распространения в порядке, предусмотренном Законом № 152-ФЗ.
Предоставление Персональных данных – действия, направленные на раскрытие Персональных данных определенному лицу или определенному кругу лиц.
Распространение персональных данных - действия, направленные на раскрытие Персональных данных неопределенному кругу лиц.
Работник Банка – физическое лицо, заключившее с Банком трудовой договор.
Специальная категория Персональных данных – сведения касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Субъект персональных данных (Субъект) – физическое лицо, которое прямо или косвенно определено с помощью персональных данных.
Трансграничная передача Персональных данных – передача Персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Уничтожение Персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
3.1 Обработка Персональных данных осуществляется Банком на основе следующих принципов:
3.2 Банк осуществляет обработку Персональных данных в Информационной системе Персональных данных в целях:
4.1 В зависимости от Субъекта персональных данных, Банк обрабатывает персональные данные следующих категорий Субъектов:
4.2 Банк осуществляет обработку следующих категорий персональных данных:
4.2.1 общих, в частности:
4.2.2 специальных;
4.2.3 биометрических, в частности:
4.3 Обработка Банком специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни допускается только при наличии согласия Субъекта персональных данных, в случае если обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством и в иных случаях, предусмотренных законодательством Российской Федерации.
4.4 В целях информационного обеспечения и соблюдения требований законодательства Российской Федерации Банк вправе создавать общедоступные источники персональных данных (в том числе справочники, адресные книги) с письменного согласия субъекта. В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о должности и иные персональные данные, сообщаемые Субъектом персональных данных.
4.5 Конкретный перечень персональных данных, в том числе специальных категорий персональных данных, обрабатываемых в Банке, определяется в соответствии с законодательством Российской Федерации и локальными актами Банка с учетом целей обработки персональных данных, указанных в п. 3.2. Политики.
5.1 Банк обрабатывает Персональные данные только при наличии хотя бы одного из следующих условий:
5.1.1 обработка персональных данных осуществляется с согласия Субъекта на обработку его персональных данных, кроме случаев, установленных законодательством Российской Федерации, с соблюдением требований Конфиденциальности персональных данных, установленных ст.7 Закона № 152- ФЗ, а также принятием мер, направленных на обеспечение выполнения обязанностей по обработке и защите Персональных данных, установленных законодательством Российской Федерации. При этом:
5.1.2 обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей;
5.1.3 обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является Субъект Персональных данных, а также для заключения договора по инициативе Субъекта или договора, по которому Субъект будет являться выгодоприобретателем или поручителем;
5.1.4 обработка Персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта Персональных данных невозможно;
5.1.5 обработка Персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в случаях, предусмотренных законом при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;
5.1.6 обработка Персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, в том числе в случаях, предусмотренных Федеральным законом от 03.07.2016 № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях», либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
5.1.7 осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
5.2 Порядок уведомления уполномоченного органа по защите прав Субъектов Персональных данных.
Банк (Отдел информационной безопасности) до начала обработки Персональных данных обязан уведомить уполномоченный орган по защите прав Субъектов персональных данных о своем намерении осуществлять обработку Персональных данных, за исключением следующих случаев:
Содержание и порядок направления уведомления уполномоченному органу по защите прав Субъектов персональных данных должно соответствовать требованиям действующего законодательства.
В случае изменения ранее представленных сведений или в случае прекращения обработки персональных данных Банк в течение 10 (десяти) рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных направляет в уполномоченный орган по защите прав субъектов персональных данных Информационное письмо. Форма Информационного письма установлена Приложением 2 к Методическим рекомендациям по уведомлению уполномоченного органа о начале деятельности по обработке персональных данных и внесении изменений в ранее представленные сведения (утв. Приказом Роскомнадзора от 30.05.2017 № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения»).
5.3 Перечень действий и способов обработки персональных данных.
5.3.1 Банк вправе использовать при обработке персональных данных Субъекта автоматизированный, механический, ручной и любой иной способ по усмотрению Банка.
5.3.2 Банк осуществляет любое действие (операцию) или совокупность действий (операций) с персональными данными Субъекта, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных, если иное не предусмотрено законом или не содержится в согласии Субъекта на обработку персональных данных.
5.3.3 Перечень должностей и/или структурных подразделений Банка, осуществляющих обработку персональных данных в Банке, утверждается Председателем Правления Банка или лицом его замещающим.
5.3.4 Обработка персональных данных Субъектов, осуществляемая без использования средств автоматизации (далее – неавтоматизированная обработка), осуществляется на бумажных и машинных носителях информации (далее по тексту – материальный носитель информации). Для неавтоматизированной обработки различных категорий персональных данных, для каждой категории используется отдельный материальный носитель.
5.4 Получение персональных данных
5.4.1 Все персональные данные Субъекта следует получать непосредственно у Субъекта либо его законного представителя, если иное не предусмотрено законодательством Российской Федерации.
5.4.2 Решение Субъекта о предоставлении своих персональных данных должно быть добровольным, какое-либо давление на него недопустимо.
5.4.3 Принимая решение о предоставлении своих данных, Субъект дает согласие на их обработку, в случае если такое согласие необходимо в соответствии с действующим законодательством Российской Федерации. Согласие должно быть конкретным, информированным и сознательным.
5.4.4 Если персональные данные Субъекта возможно получить только у третьей стороны, то Работник Банка должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Банк должен сообщить Субъекту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствия отказа Субъекта дать письменное согласие на их получение.
5.4.5 Персональные данные могут быть получены Банком от лица, не являющегося Субъектом персональных данных, при условии предоставления Банку подтверждения наличия оснований, указанных в п.2 -11 ч.1 ст.6 Закона № 152-ФЗ.
5.4.6 В случае недееспособности Субъекта согласие на обработку его персональных данных дает законный представитель Субъекта.
5.4.7 В случае смерти Субъекта согласие на обработку его персональных данных дают наследники Субъекта, если такое согласие не было дано Субъектом при его жизни.
5.5 Хранение персональных данных.
5.5.1 Хранение персональных данных, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении, если иное не предусмотрено законодательством Российской Федерации.
5.5.2 Хранение персональных данных осуществляется в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является Субъект персональных данных.
5.5.3 При осуществлении хранения персональных данных Банк использует базы данных, находящиеся на территории Российской Федерации.
5.5.4 Хранимые персональные данные подлежат защите от несанкционированного доступа и копирования. Безопасность персональных данных при их хранении обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации. Технические и программные средства должны удовлетворять устанавливаемым в соответствии с законодательством Российской Федерации требованиям, обеспечивающим защиту информации.
5.5.5 Хранение персональных данных Банк обеспечивает:
5.5.6 Места хранения для каждой категории материальных носителей утверждаются Председателем Правления Банка или лицом, его замещающим.
5.5.7 Сроки хранения персональных данных в информационных системах персональных данных аналогичны установленной Номенклатурой дел Банка, срокам хранения персональных данных на материальных (бумажных) носителях.
5.5.8 По истечении срока хранения персональные данные уничтожаются в информационных системах и уничтожаются на материальном (бумажном) носителе.
5.5.9 Хранение персональных данных на бумажных и/или электронных носителях осуществляется в Банке: в сейфах, запирающихся шкафах, специально оборудованных хранилищах, специально оборудованных помещениях, в помещениях, оборудованных сигнализацией, в помещениях, оснащенных системами видеонаблюдения.
5.5.10 Особенности хранения персональных данных при обработке персональных данных без использования средств автоматизации:
5.6 Передача персональных данных третьим лицам.
5.6.1 Банк вправе поручить обработку персональных данных другому лицу с согласия Субъекта, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Законом № 152-ФЗ «О персональных данных».
5.6.2 Персональные данные не раскрываются третьим лицам и не распространяются иным образом без согласия Субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации. При раскрытии (предоставлении) персональных данных третьим лицам соблюдаются требования к защите обрабатываемых персональных данных.
5.6.3 Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных, дознания и следствия и иных уполномоченных органов по основаниям, предусмотренным действующим законодательством Российской Федерации) получают доступ к персональным данным, обрабатываемым в Банке, в объеме и порядке, установленном законодательством Российской Федерации.
Предоставление сведений, относящихся в соответствии с действующим законодательством Российской Федерации к банковской тайне, третьим лицам осуществляется на основании СТБ 110 «Положение о порядке работы с запросами о предоставлении сведений, составляющих банковскую тайну, клиентам ПАО «Норвик Банк» и третьим лицам в соответствии с законодательством Российской Федерации».
5.6.4 В ходе своей деятельности Банк вправе осуществлять трансграничную передачу персональных данных в соответствии с требованиями Закона № 152-ФЗ.
5.7 Требования при передаче персональных данных:
5.8 Сроки обработки персональных данных определяются в соответствии со сроком, указанным в согласии Субъекта персональных данных, а также в соответствии со сроком, установленным Приказом Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», Постановлением Федеральной комиссии по рынку ценных бумаг Российской Федерации от 16.07.2003 № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства Российской Федерации и нормативными документами Банка России. Сроки обработки персональных данных доводятся до Субъекта в момент подписания им согласия на обработку персональных данных.
5.9 Типовые формы документов Банка, содержащих сведения о Субъектах персональных данных и/или согласия таких Субъектов, утверждаются Председателем Правления Банка или иным уполномоченным лицом Банка (за исключением согласия субъектов биометрических персональных данных, форма которого утверждена Распоряжением Правительства Российской Федерации от 30.06.2018 № 1322-р) и содержатся во внутренних нормативных документах Банка, регулирующих отношения Банка с той или иной категорией Субъектов персональных данных. Типовые формы документов Банка используются в соответствии с требованиями, установленными Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации». Под типовыми формами документов Банка следует понимать шаблон, бланк документа или другую унифицированную информацию документа, используемую Банком с целью сбора персональных данных.
6.1 Банк осуществляет блокирование неправомерно обрабатываемых Персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки:
6.2. В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных Субъектом персональных данных или его представителем либо уполномоченным органом по защите прав Субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
6.3. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации осуществляется путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
6.4 Банк уничтожает персональные данные в следующих случаях:
При достижении цели обработки персональных данных и при отзыве Субъектом персональных данных Согласия на обработку его персональных данных применяется другой срок для уничтожения персональных данных Субъекта, если:
Если у Банка отсутствует возможность уничтожения персональных данных в течение указанных выше сроков, в случаях выявления неправомерной обработки персональных данных или отзыва Субъектом персональных данных согласия на обработку персональных данных, Банк осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
Способы уничтожения персональных данных.
Уничтожение документов (носителей), содержащих персональные данные может производиться путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
Порядок уничтожения персональных данных.
При уничтожении персональных данных в случае выявления неправомерной обработки персональных данных, осуществляемой Банком или лицом, действующим по поручению Банка, Банк уведомляет Субъекта персональных данных или его представителя об уничтожении персональных данных, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган. По истечении срока действия согласия на обработку персональных данных Субъекта, Банк уничтожает те персональные данные, дальнейшая обработка которых не предусмотрена законодательством Российской Федерации. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Банк вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, установленных Законом № 152-ФЗ.
Права и обязанности Банка
7.1 Банк как оператор персональных данных, вправе:
7.1.1 отстаивать свои интересы в суде;
7.1.2 предоставлять персональные данные Субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);
7.1.3 отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством;
7.1.4 использовать персональные данные Субъекта без его согласия, в случаях, предусмотренных законодательством;
7.1.5 требовать от Субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации Субъекта персональных данных, а также в иных случаях, предусмотренных законом;
7.1.6 обрабатывать персональные данные, разрешенные Субъектом персональных данных для распространения;
7.1.7 осуществлять обработку персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законодательством Российской Федерации.
7.2 Банк как оператор персональных данных, обязан:
7.2.1 обрабатывать персональные данные Субъекта в соответствии с заявленной целью в случаях и порядке, установленных действующим законодательством Российской Федерации;
7.2.2 предоставлять Субъекту персональных данных по его просьбе информацию, предусмотренную п. 7 ст. 14 Закона № 152-ФЗ, за исключением случаев, установленных законодательством Российской Федерации;
7.2.3 сообщать в порядке, предусмотренном законом, субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя;
7.2.4 при обработке персональных данных принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Права и обязанности Субъекта
7.3 Субъект имеет право:
7.3.1 требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
7.3.2 получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Законодательством о персональных данных;
7.3.3 получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
7.3.4 требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;
7.3.5 обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
8.1 В целях реализации своих прав, установленных Законом № 152-ФЗ, Субъект персональных данных (его представитель) вправе представить в Банк заявление о неточности своих персональных данных (персональных данных представляемого лица), неправомерности их обработки, доступе к своим персональным данным (персональным данным представляемого лица) и/или отзыве согласия на обработку своих персональных данных (персональных данных представляемого лица) (далее – Заявление).
Формы вышеуказанных Заявлений утверждены Приложениями №№ 1-3 к настоящей Политике. Заявление может быть составлено Субъектом персональных данных в свободной форме, но обязательно должно содержать следующие сведения:
8.2 Заявление может быть направлено в форме электронного документа и подписано электронной подписью в соответствии с законодательством Российской Федерации. Одновременно с подачей Заявления Субъект персональных данных предъявляет в Банк документ, удостоверяющий его личность (за исключением, когда Заявление представляется в Банк в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации), а в случае обращения представителя – с предъявлением паспорта представителя и доверенности или иного документа, подтверждающего полномочия представителя Субъекта персональных данных. Субъект персональных данных (его представитель) вправе представить Заявление в любой офис Банка.
8.3 Банк рассматривает Заявление Субъекта персональных данных (его представителя) и предоставляет на него ответ в соответствии с законодательством Российской Федерации и порядком, установленным внутренними документами Банка.
9.1 Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом №152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено данным федеральными законами.
9.2 В целях обеспечения безопасности персональных данных Банком принимаются следующие меры:
9.2.1 назначаются работники, ответственные за обеспечение безопасности персональных данных в Банке;
9.2.2 издаются: Политика обработки и защиты персональных данных, локальные акты по вопросам обработки Персональных данных, а также локальные акты устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
9.2.3 применяются правовые, организационные и технические меры по обеспечению безопасности Персональных данных в соответствии с Законом № 152-ФЗ;
9.2.4 осуществляется внутренний контроль соответствия обработки Персональных данных в Банке Закону № 152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите Персональных данных, Политике Банка в отношении обработки и защиты персональных данных, локальным актам в области обработки и обеспечения безопасности Персональных данных;
9.2.5 ознакомление Работников Банка, непосредственно осуществляющих обработку Персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Банка в отношении обработки Персональных данных, локальными актами Банка по вопросам обработки Персональных данных, и (или) обучение указанных Работников Банка. Круг должностных лиц, имеющих доступ к базе Персональных данных, ограничен;
9.2.6 устанавливаются правила доступа к Персональным данным, обрабатываемым в информационной системе Персональных данных, а также обеспечивается регистрация и учет действий, совершаемых с Персональными данными в информационной системе Персональных данных, в том числе используются пароли (коды) доступа к ПЭВМ;
9.2.7 хранение информации на бумажных и (или) электронных носителях осуществляется в сейфах, специально оборудованных хранилищах, специально оборудованных помещениях;
9.2.8 осуществляются иные организационные и технические меры для обеспечения безопасности Персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.
10.1 Контроль исполнения требований Политики осуществляется работником, ответственным за обеспечение безопасности персональных данных в Банке.
10.2 Лица виновные в нарушении норм, регулирующих обработку Персональных данных и защиту обрабатываемых в Банке Персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
1 Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных
2 Обработка персональных данных Работников Банка осуществляется в соответствии с «Положением об обработке и защите персональных данных сотрудников ПАО «Норвик Банк»».
3 Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных