Термины и определения

Администратор ИСПДн – работник Банка, обеспечивающий правильное функционирование ИСПДн, отвечающий за обеспечение устойчивой работоспособности элементов ИСПДн, при обработке персональных данных, а также осуществляет предоставление и разграничение доступа пользователей ИСПДн к элементам, хранящим персональные данные.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Банк – ООО «Банк 131» – оператор персональных данных самостоятельно или совместно с другими лицами организующий и (или) осуществляющий обработку персональных данных, а также определяющий цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – не раскрытие третьим лицам и не распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом №152-ФЗ, операторами и иные лицами, получившие доступ к персональным данным.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Ответственный за организацию обработки персональных данных – работник Банка, назначенный приказом Председателя Правления ответственным за организацию обработки персональных данных.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные, разрешенные субъектом персональных данных для распространения – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом №152-ФЗ.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Файлы Cookie – временные файлы, хранящиеся в браузере, которые содержат в себе разную информацию с того или иного сайта.

1. Общие положения

1.1 Настоящая Политика в отношении обработки персональных данных в ООО «Банк 131» (далее – Политика) разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.2 Политика определяет основные права и обязанности Банка и субъектов персональных данных, цели обработки персональных данных, правовые основания обработки персональных данных, категории обрабатываемых персональных данных, категории субъектов персональных данных, порядок и условия обработки персональных данных, а также меры по обеспечению безопасности персональных данных при их обработке, применяемые Банком.

1.3 Настоящая Политика действует в отношении всех персональных данных, которые обрабатывает Банк.

1.4 Положения настоящей Политики являются обязательными для исполнения всеми работниками Банка, непосредственно осуществляющих обработку персональных данных.

1.5 Настоящая Политика является основополагающим внутренним документом Банка, регламентирующим общие положения по вопросам обработки персональных данных и во исполнение требований ч. 2 ст. 18.1 Федерального закона №152-ФЗ настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Банка по адресу: www.131.ru.

2. Правовые основания обработки персональных данных

2.1. Правовыми основаниями обработки персональных данных, во исполнение которых и в соответствии с которыми Банк осуществляет обработку персональных данных, является совокупность нормативных правовых актов, внутренних документов Банка, а также иных документов, в том числе:

- Конституция Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Налоговый кодекс Российской Федерации;

- Федеральный закон от 02.12.1990 № 395–1 «О банках и банковской деятельности»;

- Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» (далее – Федеральный закон № 115-ФЗ);

- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон № 149-ФЗ);

- Федеральный закон от 27.06.2011 № 161-ФЗ «О национальной платежной системе»;

- Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования и обязательного социального страхования»;

- Федеральный закон от 22.04.1996 № 39-ФЗ «О рынке ценных бумаг»;

- Федеральный закон от 31.05.2002 № 62-ФЗ «О гражданстве Российской Федерации»;

- Федеральный закон от 10.12.2003 № 173-ФЗ «О валютном регулировании и валютном контроле»;

- Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;

- Федеральный закон от 26.12.1995 № 208-ФЗ «Об акционерных обществах»;

- Федеральный закон от 08.02.1998 № 14-ФЗ «Об обществах с ограниченной ответственностью»;

- Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;

- Закон Российской Федерации от 07.02.1992 № 2300–1 «О защите прав потребителей»;

- Федеральный закон от 15.12.2001 № 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;

- Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

- Приказ Минтруда России от 19.05.2021 № 320н «Об утверждении формы, порядка ведения и хранения трудовых книжек»;

- Указание Банка России от 09.08.2004 № 1486-У «О квалификационных требованиях к специальным должностным лицам, ответственным за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма и программ его осуществления в кредитных организациях»;

- Устав Банка;

- согласие субъекта на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора);

- договоры, заключаемые между Банком и субъектами персональных данных;

- договоры, заключаемые между Банком и третьими лицами-контрагентами;

- Базовая лицензия на осуществление банковских операций № 3538 (выдана Банком России 12.04.2019);

- Иные документы.

3. Цели сбора и обработки персональных данных. Объем и категории обрабатываемых персональных данных. Категории субъектов персональных данных.

3.1. Обработка персональных данных Банком ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.2. Содержание и объем обрабатываемых персональных данных в Банке должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.3. Категории субъектов персональных данных определены внутренними документам Банка, к ним отнесены, в том числе:

- работники Банка, бывшие работники, кандидаты на замещение вакантных должностей, а также родственники работников;

- клиенты и контрагенты Банка (физические лица);

- представители/работники клиентов и контрагентов Банка (юридических лиц).В зависимости от целей обработки персональных данных внутренними документами Банка для каждой категории субъектов персональных данных определен конкретный перечень персональных данных, обрабатываемых Банком применительно к конкретным целям. Перечень целей обработки персональных данных субъектов персональных данных и категорий субъектов персональных данных, персональные данные которых обрабатываются в Банке, подлежит размещению на официальном сайте Банка в информационно-телекоммуникационной сети «Интернет» по адресу: www.131.ru.

3.4. Обработка специальных категорий персональных данных, касающихся расовой принадлежности, политических взглядов, национальной принадлежности, религиозных или философских убеждений, интимной жизни Банком не осуществляется. 3.

3.5. Банк осуществляет обработку специальных категорий персональных данных, касающихся состояния здоровья и судимости физических лиц, в случаях, предусмотренных законодательством Российской Федерации и внутренними документами Банка и при наличии правовых оснований, предусмотренных Федеральным законом № 152-ФЗ.

3.6. Обработка биометрических персональных данных Банком не осуществляется.

4. Порядок и условия обработки персональных данных

4.1. Банк осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных.

4.2. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, а также без такового в случаях, предусмотренных статьей 6 Федерального закона №152-ФЗ. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.

4.3. Обработка персональных данных, предоставленных субъектами персональных данных, осуществляется Банком для каждой цели их обработки следующими способами:

- неавтоматизированная обработка персональных данных;

- автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

- смешанная обработка персональных данных.

- Обработка персональных данных, разрешенных субъектом персональных данных для распространения, осуществляется с соблюдением запретов и условий, предусмотренных статьей 10.1 Федерального закона №152-ФЗ.

4.4. Сроком и условием прекращения обработки персональных данных Банком является достижение целей обработки персональных данных или утрата необходимости в их достижении, истечение срока действия договора/согласия или отзыв согласия субъекта персональных данных на обработку его персональных данных, а также выявление неправомерной обработки персональных данных, прекращение деятельности Банка как юридического лица (ликвидация, реорганизация).

4.5. В случае отзыва субъектом персональных данных согласия на обработку его персональных данных Банк обязан прекратить их обработку (обеспечить прекращение такой обработки, если обработка персональных данных осуществляется другим лицом по поручению Банка) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные (обеспечить их уничтожение, если обработка персональных данных осуществляется другим лицом по поручению Банка) в срок, не превышающий 30 (тридцати) дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных либо если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом №152-ФЗ или другими федеральными законами.

4.6. Хранение персональных данных осуществляется Банком в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.7. Сроки хранения персональных данных определяются Банком, в общем случае, в соответствии со сроками требований законодательства Российской Федерации (трудового, пенсионного, налогового, бухгалтерского и др.), установленные приказом Росархива от 20.12.2019 № 236 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», исковой давности взаимных претензий Банка и субъекта персональных данных.

4.8. Банк вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Банка, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом № 152-ФЗ, соблюдать конфиденциальность персональных данных, принимать необходимые меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом №152-ФЗ. В поручении Банка определяется перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, устанавливается обязанность такого лица соблюдать конфиденциальность персональных данных, требования, предусмотренные частью 5 статьи 18 и статьей 18.1 Федерального закона № 152-ФЗ, обязанность по запросу Банка в течение срока действия поручения, в том числе до обработки персональных данных, предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение в целях исполнения поручения Банка требований, установленных в соответствии с Федеральным законом № 152-ФЗ, обязанность обеспечивать безопасность персональных данных при их обработке, а также указываются требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона № 152-ФЗ, в том числе требование об уведомлении Банка о случаях, предусмотренных частью 3.1 статьи 21 Федерального закона № 152-ФЗ. В случае, если Банк поручает обработку персональных данных иностранному физическому лицу или иностранному юридическому лицу, ответственность перед субъектом персональных данных за действия указанных лиц несет Банк и лицо, осуществляющее обработку персональных данных по поручению оператора.

4.9. В Банке запрещается принятие решений на основании исключительно автоматизированной обработки персональных данных, которые порождают юридические последствия в отношении субъекта персональных данных или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации.

4.10. Банк осуществляет передачу персональных данных органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

4.11. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Банк обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, предусмотренных законодательством Российской Федерации.

4.12. В ходе осуществления своей деятельности Банк вправе осуществлять трансграничную передачу персональных данных в порядке и в соответствии с требованиями Федерального закона № 152-ФЗ и международными договорами Российской Федерации.

5. Организация защиты персональных данных

5.1. К обработке персональных данных допускаются только те работники Банка, должностные обязанности которых обуславливают обработку персональных данных. Указанные работники имеют право обрабатывать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей.

5.2. Банк обеспечивает конфиденциальность персональных данных субъекта персональных данных, а также обеспечивает использование персональных данных исключительно в целях, соответствующих Федеральному закону № 152-ФЗ, договору или иному соглашению, заключенному с субъектом персональных данных.

5.3. При обработке персональных данных Банк принимает необходимые правовые, организационные и технические меры и обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.4. Обработка персональных данных Банком, осуществляемая без использования средств автоматизации, осуществляется с соблюдением порядка, предусмотренного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», таким образом:

- в отношении каждой категории субъектов персональных данных определены места хранения персональных данных (материальных носителей) и установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;

- обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, а также при хранении материальных носителей соблюдены условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ;

- перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, установлены Банком.

- Для обеспечения безопасности персональных данных субъектов персональных данных при автоматизированной обработке предпринимаются следующие меры:

- осуществляется учет машинных носителей персональных данных;

- установлены правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных (далее- ИСПДн), а также обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в ИСПДн;

- осуществляется учет ИСПДн и данных об обрабатываемых в них персональных данных;

- классификация ИСПДн осуществляется в соответствии с действующими законодательными документами Российской Федерации в области персональных данных, оформляется отдельным Актом классификации ИСПДн и утверждается Председателем Правления Банка;

- персональные компьютеры, имеющие доступ к базам хранения персональных данных, защищены паролями доступа. Пароли для первого входа в информационную систему устанавливаются Администратором ИСПДн и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных на данном персональном компьютере. При первом входе в информационную систему работник меняет пароль, установленный Администратором ИСПДн;

- иные меры, предусмотренные Положением по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

- обработка персональных данных осуществляется с соблюдением требований, предусмотренных постановлением Правительства Российской Федерации от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

- Банком приняты следующие меры, необходимые и достаточные для обеспечения защиты персональных данных, предусмотренных законодательством Российской Федерации о персональных данных:

- назначено лицо, ответственное за организацию обработки персональных данных;

- назначено лицо, ответственное за обеспечение безопасности персональных данных в информационной системе;

- изданы локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

- применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии с разделом 5 настоящей Политики;

- осуществляется внутренний контроль соответствия обработки персональных данных требованиям нормативных актов с целью выявления нарушений установленных процедур по обработке персональных данных и устранение последствий таких нарушений;

- проведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона № 152-ФЗ, соотношение указанного вреда и принимаемых Банком мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом № 152-ФЗ;

- работники Банка, непосредственно осуществляющие обработку персональных данных, ознакомлены с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, настоящей Политикой, локальными актами Банка по вопросам обработки персональных данных.

5.5. Выбор средств защиты информации для системы защиты персональных данных осуществляется Банком в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение ч. 4 ст. 19 Федерального закона № 152-ФЗ.

6. Использование файлов «cookie»

6.1. Банк использует файлы «cookie» на сайтах *.131.ru, *.dengi.ru. и иных сайтах, принадлежащих Банку (далее именуемые совместно и по отдельности – «сайт Банка»).

6.2. Банк получает персональные данные о пользователях сайта Банка, мобильных приложений Банка через файлы «cookie» доступные и собираемые самостоятельно или с привлечением сервиса Яндекс.Метрика: а именно: псевдоним пользователя, адрес пользователя или адрес устройства пользователя и его технические характеристики, посредством которого пользователь зашел на сайт Банка и (или) установил соединение с интернет-сервисом Банка, используемая операционная система на устройстве пользователя, версия операционной системы, а также сведения о пользователе, включающие IP-адрес, поисковые запросы пользователя, информация об используемом браузере и языке, даты и времени доступа к сайту, интернет-адреса веб-страниц, посещаемых пользователем, тематику информации, размещенной на посещаемых пользователем интернет-ресурсах Банка, идентификатор пользователя, преобразованный Банком при помощи хеш-функции или других модификаций, идентификатор устройства, географическое положение, количество просмотренных страниц, длительность пребывания на сайте Банка, запросы, которые пользователь использовал при переходе на сайт, страницы, с которых были совершены переходы, сведения о мобильном устройстве, в т.ч. идентификатор устройства, сведения о местоположении, данные о настройках системы, CUS пользователя, User-Agent пользователя, источник рекламного трафика, идентификатор сессии, время авторизации/регистрации, токен, время каждой проверки токена в привязке к системам, идентификаторы систем, посещаемых пользователем, версия мобильного приложения, логин пользователя сервиса, дата/время использования сервиса и любая информация, не позволяющая однозначно идентифицировать пользователя или конкретное физическое лицо, для предоставления пользователю рекламной информации и аналитическая пользовательская информация.

6.3. Выбор состава файлов «cookie» для обработки зависит от используемого браузера и устройства. Файлы «cookie» Банка могут использоваться для:

- авторизации на сайте Банка в качестве зарегистрированного пользователя, предоставления сервисов Банка;

- предоставлении информации о Банке, его продуктах и услугах;

- усовершенствования продуктов и (или) услуг, разработки новых продуктов и (или) услуг Банка;

- ведения статистики о пользователях;

- хранения персональных предпочтений и настроек пользователей;

- отслеживания состояния сессии доступа пользователей;

- обеспечения функционирования и улучшения качества сайта Банка;

- использования интернет-форм на сайте Банка;

- предоставления дистанционного обслуживания;

- формирования списка интересов, демонстрации пользователю интернет-контента;

- ведения аналитики.

6.4 Файлами «cookie» можно управлять самостоятельно. Используемый браузер и (или) устройство может позволять блокировать, удалять или иным образом ограничивать использование файлов «cookie».

6.5 При удалении или ограничении использования файлов «cookie» некоторые функции сайта Банка или сервисы Банка могут оказаться недоступны.

7. Актуализация, исправление, удаление, уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

7.1. Подтверждение факта обработки персональных данных Банком, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 Федерального закона №152-ФЗ, предоставляются Банком субъекту персональных данных или его представителю в течение 10 (десять) рабочих дней с момента обращения либо получения запроса субъекта персональных данных или его представителя. Данный срок может быть продлен, но не более чем на 5 (пять) рабочих дней. Для этого Банк направляет субъекту персональных данных мотивированное уведомление с указанием причин продления срока предоставления запрашиваемой информации. В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Рекомендуемая форма запроса субъектов персональных данных на получение информации, касающейся обработки персональных данных, в Приложении 1 к настоящей Политике. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи". Банк предоставляет сведения, указанные в ч. 7 ст. 14 Федерального закона №152-ФЗ, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе. Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями Федерального закона №152-ФЗ все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ, в срок, не превышающий 10 (десяти) рабочих дней со дня обращения субъекта персональных данных или его представителя либо с даты получения запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 Федерального закона №152-ФЗ, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

7.2. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Банк осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц. В случае подтверждения факта неточности персональных данных Банк на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение 7 (семи) рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

7.3. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Банк осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

7.4. При выявлении Банком, Роскомнадзором или иным заинтересованным лицом факта неправомерной или случайной передачи (предоставления, распространения) персональных данных (доступа к персональным данным), повлекшей нарушение прав субъектов персональных данных, Банк:

- в течение 24 часов – уведомляет Роскомнадзор о произошедшем инциденте, предполагаемых причинах, повлекших нарушение прав субъектов персональных данных, предполагаемом вреде, нанесенном правам субъектов персональных данных, и принятых мерах по устранению последствий инцидента, а также предоставляет сведения о лице, уполномоченном Банком на взаимодействие с Роскомнадзором по вопросам, связанным с инцидентом;

- в течение 72 часов – уведомляет Роскомнадзор о результатах внутреннего расследования выявленного инцидента и предоставляет сведения о лицах, действия которых стали его причиной (при наличии).

- В случае изменения сведений, указанных в части 3 статьи 22 Федерального закона №152-ФЗ, Банк не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения, уведомляет уполномоченный орган по защите прав субъектов персональных данных обо всех произошедших за указанный период изменениях. В случае прекращения обработки персональных данных Банк уведомляет об этом уполномоченный орган по защите прав субъектов персональных данных в течение 10 (десяти) рабочих дней с даты прекращения обработки персональных данных.

- Банк сообщает в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 10 (десяти) рабочих дней с даты получения такого запроса. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Банком в адрес уполномоченного органа по защите прав субъектов персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7.5. В случае обращения субъекта персональных данных к Банку с требованием о прекращении обработки персональных данных Банк обязан в срок, не превышающий 10 (десяти) рабочих дней с даты получения Банком соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), за исключением случаев, предусмотренных пунктами 2-11части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 Федерального закона №152-ФЗ. Указанный срок может быть продлен, но не более чем на 5 (пять) рабочих дней в случае направления Банком в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.

7.6. Порядок уничтожения персональных данных Банком.

7.6.1. Условия и сроки уничтожения персональных данных Банком:

- достижение цели обработки персональных данных либо утрата необходимости достигать эту цель – в течение 30 (тридцати) дней;

- достижение максимальных сроков хранения документов, содержащих персональные данные, – в течение 30 (тридцати) дней;

- предоставление субъектом персональных данных (его представителем) подтверждения того, что персональные данные получены незаконно или не являются необходимыми для заявленной цели обработки, – в течение 7 (семи) рабочих дней;

- отзыв субъектом персональных данных согласия на обработку его персональных данных, если их сохранение для цели их обработки более не требуется, – в течение 30 (тридцати) дней.

7.6.2. При достижении цели обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

- Банк не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом №152-ФЗ или иными федеральными законами;

- иное не предусмотрено другим соглашением между Банком и субъектом персональных данных.

7.6.3. Уничтожение персональных данных осуществляет комиссия, созданная приказом Председателя Правления Банка

7.6.4. Подтверждение уничтожения персональных данных в случаях, предусмотренном настоящим разделом Политики, осуществляется в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных.

7.6.5. Способы уничтожения персональных данных устанавливаются внутренними нормативными документами Банка.

8. Заключительные положения

8.1. Настоящая Политика вступает в силу с даты ее утверждения. С даты утверждения настоящей Политики утрачивает силу Политика обработки персональных данных в ООО “Банк 131”, утвержденная приказом Председателя Правления Банка от 15.045.2021 №51.

8.2. Ответственным за пересмотр настоящей Политики, за рассмотрение предложений работников Банка по ее изменению, актуализации является Служба информационной безопасности Управления безопасности Банка.

8.3. Настоящая Политика подлежит пересмотру в случае изменения законодательства Российской Федерации и нормативных правовых актов по обработке и защите персональных данных, а также по инициативе Банка, но не реже одного раза в три года.

8.4. Настоящая Политика является общедоступным документом подлежит размещению на официальном сайте Банка: https://www.131.ru/ .

Рекомендуемая форма запроса субъектов персональных данных на получение
информации, касающейся обработки персональных данных

ЗАПРОС

В соответствии со статьей 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ) прошу предоставить информацию, касающуюся обработки моих персональных данных (персональных данных представляемого), а именно:

• 1) подтверждение факта обработки персональных данных ООО «Банк 131»;
• 2) правовые основания и цели обработки персональных данных;
• 3) цели и применяемые ООО «Банк 131» способы обработки персональных данных;
• 4) наименование и место нахождения ООО «Банк 131», сведения о лицах (за исключением работников ООО «Банк 131»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с ООО «Банк 131» или на основании федерального закона;
• 5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• 6) сроки обработки персональных данных, в том числе сроки их хранения;
• 7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ;
• 8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• 9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению ООО «Банк 131», если обработка поручена или будет поручена такому лицу;
• 10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ или другими федеральными законами.

В случае отсутствия такой информации прошу Вас уведомить меня об этом.

Ответ на настоящий запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренные законом сроки.