Политика
в отношении обработки персональных данных в АО «Банк 131»

1. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Администратор ИСПДн – работник Банка, обеспечивающий правильное функционирование ИСПДн, отвечающий за обеспечение устойчивой работоспособности элементов ИСПДн, при обработке персональных данных, а также осуществляющий предоставление и разграничение доступа пользователей ИСПДн к элементам, хранящим персональные данные.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Аналитический сервис – инструмент веб-аналитики, позволяющий отслеживать и исследовать поведение пользователей на сайтах Банка в информационнотелекоммуникационной сети «Интернет».

Банк – АО «Банк 131» - оператор персональных данных самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – не раскрытие третьим лицам и не распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом №152-ФЗ, операторами и иные лицами, получившие доступ к персональным данным.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными

Ответственный за организацию обработки персональных данных – работник Банка, назначенный приказом Председателя Правления ответственным за организацию обработки персональных данных

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом №152-ФЗ.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Файлы Cookie – небольшие фрагменты данных, которые содержат информацию о пользователе и его действиях на сайте. Данные используются для идентификации устройства, с целью персонализировать опыт взаимодействия с сайтом и предложения информации с учетом предыдущего взаимодействия с сайтом.

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) – уполномоченный орган по защите прав субъектов персональных данных в Российской Федерации.

2. ОБЩИЕ ПОЛОЖЕНИЯ

2.1 Настоящая Политика в отношении обработки персональных данных в АО «Банк 131» (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон №152-ФЗ) в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных в Банке, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну .

2.2 Политика определяет основные права и обязанности Банка и субъектов персональных данных, цели обработки персональных данных, правовые основания обработки персональных данных, категории обрабатываемых персональных данных, категории субъектов персональных данных, порядок и условия обработки персональных данных, а также меры по обеспечению безопасности персональных данных при их обработке, применяемые Банком.

2.3 Настоящая Политика действует в отношении всех персональных данных, которые обрабатывает Банк.

2.4 Положения настоящей Политики являются обязательными для исполнения всеми работниками Банка, непосредственно осуществляющими обработку персональных данных.

2.5 На основании приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Банк включен в реестр операторов, осуществляющих обработку персональных данных.

2.6 Настоящая Политика является основополагающим внутренним документом Банка, регламентирующим общие положения по вопросам обработки персональных данных и во исполнение требований ч. 2 ст. 18.1 Федерального закона №152-ФЗ настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети «Интернет» на официальных сайтах Банка: https://www.131.ru/, https://dengi.ru/ru.

3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 Правовыми основаниями обработки персональных данных, во исполнение которых и в соответствии с которыми Банк осуществляет обработку персональных данных, является совокупность нормативных правовых актов, внутренних документов Банка, а также иных документов, в том числе:

- Конституция Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Налоговый кодекс Российской Федерации;

- Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – Федеральный закон № 115-ФЗ);

- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон № 149-ФЗ);

- Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;

- Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования и обязательного социального страхования»;

- Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;

- Федеральный закон от 28.04.2023 № 138-ФЗ «О гражданстве Российской Федерации»;

- Федеральный закон от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле»;

- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

- Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;

- Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;

- Закон Российской Федерации от 07.02.1992 № 2300–1 «О защите прав потребителей»;

- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

- Приказ Минтруда России от 19.05.2021 № 320н «Об утверждении формы, порядка ведения и хранения трудовых книжек»;

- Указание Банка России от 09.08.2004 № 1486-У «О квалификационных требованиях к специальным должностным лицам, ответственным за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и программ его осуществления в кредитных организациях»;

- Указание Банка России от 25.12.2017 N 4662-У "О квалификационных требованиях к руководителю службы управления рисками, службы внутреннего контроля и службы внутреннего аудита кредитной организации, лицу, ответственному за организацию системы управления рисками, и контролеру негосударственного пенсионного фонда, ревизору страховой организации, о порядке уведомления Банка России о назначении на должность (об освобождении от должности) указанных лиц (за исключением контролера негосударственного пенсионного фонда), специальных должностных лиц, ответственных за реализацию правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма кредитной организации, негосударственного пенсионного фонда, страховой организации, управляющей компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, микрофинансовой компании, сотрудника службы внутреннего контроля управляющей компании инвестиционных фондов, паевых инвестиционных фондов и негосударственных пенсионных фондов, а также о порядке оценки Банком России соответствия указанных лиц (за исключением контролера негосударственного пенсионного фонда) квалификационным требованиям и требованиям к деловой репутации";

- Федеральный закон от 02.12.1990 № 395–1 «О банках и банковской деятельности», иные федеральные законы и принятые на их основе правовые акты, регулирующие отношения, связанные с деятельностью Банка;

- Устав Банка;

- Базовая лицензия на осуществление банковских операций № 3538 (выдана Банком России 29.11.2024);

- согласия субъектов на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора);

- договоры, заключаемые между Банком и субъектами персональных данных;

- договоры, стороной которых либо выгодоприобретателем или поручителем, по которым является субъект персональных данных;

- договоры, заключаемые между Банком и третьими лицами, по которым Банк является лицом, осуществляющим обработку персональных данных по поручению оператора;

- осуществление прав и законных интересов Банка и третьих лиц.

4. ЦЕЛИ СБОРА И ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ. КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Обработка персональных данных Банком ограничивается достижением конкретных, заранее определенных и законных целей.

4.2 Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

4.3 Содержание и объем обрабатываемых персональных данных в Банке должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

4.4 Категории субъектов персональных данных определены внутренними документами Банка, к ним отнесены, в том числе:

- − работники Банка, уволенные работники, соискатели, родственники работников;

- клиенты и контрагенты Банка (физические лица), выгодоприобретатели по договорам, в том числе предоставившие согласие на трансграничную передачу персональных данных;

- представители/работники клиентов и контрагентов Банка, законные представители (юридических лиц);

- члены Совета Директоров Банка, члены Правления Банка;

- посетители сайта;

- иные категории субъектов персональных данных, персональные данные которых обрабатываются в Банке.

4.5 Цели обработки персональных данных определены внутренними документами Банка, к ним отнесены, в том числе:

− обеспечение соблюдения трудового законодательства Российской Федерации;

− ведение кадрового и бухгалтерского учета;

- обеспечение соблюдения налогового законодательства Российской Федерации;

− обеспечение соблюдения пенсионного законодательства Российской Федерации;

− обеспечение соблюдения законодательства Российской Федерации о противодействии легализации финансированию терроризма;

- добровольное медицинское страхование;

- продвижение товаров, работ, услуг на рынке;

− обеспечение пропускного режима на территорию Банка;

− подбор персонала (соискателей) на вакантные должности Банка;

− заключение любых договоров с субъектами персональных данных, в том числе, как представителями юридического лица;

− заключение и исполнение договорных обязательств;

− заполнение форм на сайте Банка (обратная связь, заявки на банковские услуги, оформление которых требует связи с заявителем и пр.).

4.6 Банком разработаны внутренние документы по вопросам обработки персональных данных, в том числе определяющие для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

4.7 Обработка специальных категорий персональных данных, касающихся расовой принадлежности, политических взглядов, национальной принадлежности, религиозных или философских убеждений, интимной жизни Банком не осуществляется.

4.8 Банк осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья и судимости физических лиц, в случаях, предусмотренных законодательством Российской Федерации и внутренними документами Банка и при наличии правовых оснований, предусмотренных Федеральным законом №152-ФЗ.

4.9 Обработка биометрических персональных данных Банком не осуществляется.

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Банк осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных.

5.2 Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, а также без такового в случаях, предусмотренных статьей 6 Федерального закона №152-ФЗ. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются Роскомнадзором.

5.3 Обработка персональных данных, предоставленных субъектами персональных данных, осуществляется Банком для каждой цели обработки, указанной в п. 4.5 настоящей Политики, следующими способами:

− неавтоматизированная обработка персональных данных;

− автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

− смешанная обработка персональных данных.

5.4 Сроком и условием прекращения обработки персональных данных Банком является достижение целей обработки персональных данных или утрата необходимости в их достижении, истечение срока действия договора/согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, истечение сроков, предусмотренных федеральными законами и иными актами Российской Федерации, а также выявление неправомерной обработки персональных данных, прекращение деятельности Банка как юридического лица (ликвидация, реорганизация).

5.5 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Банк обязан прекратить их обработку (обеспечить прекращение такой обработки, если обработка персональных данных осуществляется другим лицом по поручению Банка) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные (обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом по поручению Банка) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных либо если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом №152-ФЗ или другими федеральными законами.

5.6 Хранение персональных данных осуществляется Банком в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

5.7 Сроки хранения персональных данных определяются Банком, в общем случае, в соответствии со сроками требований законодательства Российской Федерации (трудового, пенсионного, налогового, бухгалтерского и др.), установленные приказом Росархива от 20.12.2019 № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», исковой давности взаимных претензий Банка и субъекта персональных данных. Срок хранения персональных данных, обрабатываемых в информационных системах персональных данных, соответствует сроку хранения персональных данных на бумажных носителях.

5.8 Банк вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ. В поручении Банка определяется перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона № 152-ФЗ, обязанность по запросу Банка в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Банка требований, установленных в соответствии с Федеральным законом № 152-ФЗ, обязанность обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ, в том числе требование об уведомлении Банка о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ. В случае, если Банк поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет Банк и лицо, осуществляющее обработку персональных данных по поручению оператора.

5.9 В Банке запрещается принятие решений на основании исключительно автоматизированной обработки персональных данных, которые порождают юридические последствия в отношении субъекта персональных данных или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации.

5.10 Банк осуществляет передачу персональных данных государственным органам и уполномоченным юридическим и физическим лицам в рамках их полномочий и компетенции по основаниям, предусмотренным действующим законодательством Российской Федерации. Перечень третьих лиц, которые осуществляют обработку персональных данных на основании заключенных ими с Банком договоров, согласий субъектов персональных данных, размещен на официальных сайтах Банка.

5.11 При сборе персональных данных, в том числе посредством информационнотелекоммуникационной сети «Интернет», Банк обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

5.12 В ходе осуществления своей деятельности Банк вправе осуществлять трансграничную передачу персональных данных в порядке и в соответствии с требованиями Федерального закона № 152-ФЗ и международными договорами Российской Федерации.

5.13 Банк осуществляет обработку персональных данных в целях продвижения товаров, работ, услуг на рынке путем прямых контактов с субъектом персональных данных с помощью средств связи только при условии предварительного согласия субъекта персональных данных. При этом обеспечивается наличие доказательства получения такого согласия.

5.14 Банк может осуществлять сбор и иные действия по обработке персональных данных с использованием сайтов Банка в информационно-телекоммуникационной сети «Интернет».

5.15 Обработка персональных данных на сайтах Банка в информационнотелекоммуникационной сети «Интернет» осуществляется при наличии законных оснований, а также может осуществляться с использованием Аналитических сервисов.

6. ОРГАНИЗАЦИЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1 К обработке персональных данных допускаются только те работники Банка, должностные обязанности которых обуславливают обработку персональных данных. Указанные работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

6.2 Банк обеспечивает конфиденциальность персональных данных субъекта персональных данных, а также обеспечивает использование персональных данных исключительно в целях, соответствующих Федеральному закону № 152-ФЗ, договору или иному соглашению, заключенному с субъектом персональных данных.

6.3 При обработке персональных данных Банк принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.4 Обеспечение безопасности персональных данных достигается Банком, в частности:

- определением угроз безопасности персональных данных при их обработке в ИСПДн;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в ИСПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в т.ч. применением для уничтожения персональных данных, прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, в составе которых реализована функция уничтожения информации;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию ИСПДн;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- установлением правил доступа к персональным данным, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в ИСПДн;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн;

- назначением лица, ответственного за организацию обработки персональных данных;

- изданием документов, определяющих политику Банка в отношении обработки персональных данных, внутренних нормативных документов, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также внутренних нормативных документов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

- осуществлением внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону №152-ФЗ, принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, Политике Банка в отношении обработки персональных данных, внутренними нормативными документами Банка;

- проведением оценки вреда в соответствии с требованиями, установленными Роскомнадзором, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона №152-ФЗ, соотношением указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ;

- ознакомлением работников Банка, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой, внутренними нормативными документами Банка по вопросам обработки персональных данных и (или) обучение указанных работников.

6.5 Обработка персональных данных Банком, осуществляемая без использования средств автоматизации, осуществляется с соблюдением порядка, предусмотренного постановлением Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», следующим образом:

- в отношении каждой категории субъектов персональных данных определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, а также при хранении материальных носителей соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ;

- перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, установлены Банком.

6.6 Выбор средств защиты информации для системы защиты персональных данных осуществляется Банком в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение ч. 4 ст. 19 Федерального закона № 152-ФЗ.

7. ОБРАБОТКА ПОЛЬЗОВАТЕЛЬСКИХ ДАННЫХ

7.1 В процессе использования субъектом персональных данных официальных сайтов Банка (https://www.131.ru/, https://dengi.ru/ru), Банк обрабатывает его пользовательские данные.

7.2 К пользовательским данным относятся технические данные, которые передаются устройством, в том числе: IP-адрес, информация, сохраненная в Файлах Cookie, информация об используемом браузере и языке, операционная система на устройстве, количество просмотренных страниц, дата, время и длительность пребывания на сайте, действия на сайте, запросы, которые субъект использовал при переходе на сайт, страницы, с которых были совершены переходы, сведения о мобильном устройстве, в т.ч. идентификатор устройства, идентификатор сессии, информация об онлайн-действиях субъекта с использованием интернет-сайта и любая другая техническая информация, передаваемая устройством субъекта, не позволяющая однозначно идентифицировать пользователя или конкретное физическое лицо.

7.3 Состав обрабатываемых на сайтах пользовательских данных может отличаться в зависимости от используемого устройства и программного обеспечения на устройстве субъекта.

7.4 Обработка пользовательских данных осуществляется, в том числе, с использованием Файлов Cookie.

7.5 Обработка пользовательских данных осуществляется в целях:

− обеспечения полноценного функционирования, улучшения работы сайтов Банка в информационно-телекоммуникационной сети «Интернет»;

− авторизации пользователей на сайте Банка в качестве зарегистрированного пользователя, для предоставления сервисов Банка с учетом персональных предпочтений и настроек;

- предоставления целевой информации о Банке, его продуктах и услугах;

− усовершенствования продуктов и услуг, разработки новых продуктов и услуг Банка;

− формирования списка интересов, демонстрации пользователю интернет-контента;

− проведения статистических, маркетинговых и иных исследований, в том числе изучение (анализ) пользовательского поведения (опыта) и причин его изменения.

7.6 В указанных выше целях Банк вправе использовать сторонние Аналитические сервисы. На сайтах Банка обработка пользовательских данных может осуществляться с использованием Аналитических сервисов Яндекс.Метрика, VK Реклама и других. Владельцы Аналитических сервисов несут самостоятельную ответственность за обработку полученных ими данных

7.7 Файлами Cookie можно управлять самостоятельно. Используемый браузер и (или) устройство может позволять блокировать, удалять или иным образом ограничивать использование Файлов Cookie. Для управления необходимо воспользоваться инструкциями, которые предоставляют разработчики браузера и (или) производители устройства.

8. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ, УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

8.1 В соответствии с законодательством Российской Федерации от субъектов персональных данных или от их представителей в Банк могут поступать запросы, касающиеся обработки их персональных данных.

8.2 Подтверждение факта обработки персональных данных Банком, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федерального закона №152-ФЗ, предоставляются Банком субъекту персональных данных или его представителю безвозмездно в течение 10 (десяти) рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Банк направляет субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

8.3 Рекомендуемая форма запроса субъектов персональных данных на получение информации, касающейся обработки персональных данных, приведена в Приложении №1 к настоящей Политике.

8.4 Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи».

8.5 Банк предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона №152-ФЗ, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.

8.6 Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона №152-ФЗ все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ, в срок, в течение 10 (десяти) рабочих дней с момента обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.7 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона №152-ФЗ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

8.8 В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных, Банк на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

8.9 В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Банк осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

8.10 При выявлении Банком, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Ответственный за организацию обработки персональных данных:

- в течение 24 часов: уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Банком на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;

- в течение 72 часов: уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

8.12 В случае изменения сведений, указанных в части 3 статьи 22 Федерального закона №152-ФЗ, Банк не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, уведомляет Роскомнадзор обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных Банк уведомляет об этом Роскомнадзор в течение 10 (десяти) рабочих дней с даты прекращения обработки персональных данных.
В случае обращения субъекта персональных данных к Банку с требованием о прекращении обработки персональных данных Банк обязан в срок, не превышающий 10 (десяти) рабочих дней с даты получения Банком соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2-11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона №152-ФЗ. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

8.13 В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Банк обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению Банка) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных либо если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами.

8.14 Порядок уничтожения персональных данных Банком.

8.14.1 Условия уничтожения персональных данных Банком:

- достижение целей обработки персональных данных;

- утрата необходимости в достижении целей обработки персональных данных;

- истечение срока действия либо отзыва субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных, либо если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральным законом;

- истечение срока, установленного договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных федеральным законом;

- истечение срока обработки персональных данных или срока хранения документов, содержащих персональные данные, предусмотренных федеральными законами, иными нормативными правовыми актами Российской Федерации;

- установление факта, что обрабатываемые персональные данные являются неполными, неточными, устаревшими, и отсутствует возможность их актуализации;

- выявление неправомерной обработки персональных данных (при этом Банк в срок, не превышающий 3 (трех) рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных или обеспечивает прекращение неправомерной обработки персональных данных лицом, действующим по его поручению, а также, если обеспечить правомерность обработки персональных данных невозможно, уничтожает персональные данные либо обеспечивает уничтожение персональных данных лицом, действующим по ее поручению, в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, в том числе по требованию Роскомнадзора)

8.14.2 Уничтожение персональных данных осуществляет комиссия, созданная приказом Председателя Правления Банка.

8.14.3 Подтверждение уничтожения персональных данных в случаях, предусмотренных настоящим разделом Политики, осуществляется в соответствии с требованиями, установленными приказом Роскомнадзора.

8.14.4 Способы уничтожения персональных данных устанавливаются внутренними нормативными документами Банка.

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

9.1 Настоящая Политика вступает в силу с даты ее утверждения приказом Председателя Правления Банка.

9.2 В случае вступления отдельных пунктов настоящей Политики в противоречие с законодательными актами, нормативными документами Банка России, нормативными документами иных регуляторов и Уставом Банка, эти пункты утрачивают юридическую силу, и Политика действует в части, не противоречащей законодательным актам, документам регуляторов и Уставу Банка.

9.3 Настоящая Политика подлежит пересмотру на регулярной основе, но не реже одного раза в три года.

9.4 Политика подлежит пересмотру в случае изменения законодательства РФ, нормативных, распорядительных документов, затрагивающих область данной Политики.

9.5 Ответственным подразделением за пересмотр настоящей Политики является Служба информационной безопасности Управления безопасности Банка.

9.6 С даты утверждения настоящей Политики утрачивает силу Политика обработки персональных данных в ООО «Банк 131», утвержденная приказом Председателя Правления Банка от 19.09.2023 №159.

9.7 Настоящая Политика является общедоступным документом и подлежит размещению на официальных сайтах Банка: https://www.131.ru/, https://dengi.ru/ru.

Рекомендуемая форма запроса субъекта персональных данных на получение
информации, касающейся обработки персональных данных

ЗАПРОС

В соответствии со статьей 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее - Федеральный закон № 152-ФЗ) прошу предоставить информацию, касающуюся обработки моих персональных данных (персональных данных представляемого), оператором – АО «Банк 131».

Обработка проводилась в рамках

(номер, дата договора либо сведения, иным образом подтверждающие факт обработки персональных данных оператором)

что подтверждается

(сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором)

Прошу предоставить следующую информацию:

• 1) подтверждение факта обработки персональных данных АО «Банк 131»;
• 2) правовые основания и цели обработки персональных данных;
• 3) цели и применяемые АО «Банк 131» способы обработки персональных данных;
• 4) наименование и место нахождения АО «Банк 131», сведения о лицах (за исключением работников АО «Банк 131»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с АО «Банк 131» или на основании федерального закона;
• 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• 6) сроки обработки персональных данных, в том числе сроки их хранения;
• 7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
• 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению АО «Банк 131», если обработка поручена или будет поручена такому лицу;
• 10) информацию о способах исполнения АО «Банк 131» обязанностей, установленных статьей 18.1 Федерального закона № 152-ФЗ;
• 11) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае отсутствия такой информации прошу вас уведомить меня об этом.

Ответ на настоящий запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренные законом сроки.