Утверждён Приказом председателя Правления АКБ "Легион" (ОАО) № 442 от «31» декабря 2013г Регламент обработки запросов субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных. Москва 2013г. Содержание. 1. 2. 3. 4. 4.1. 4.1.2. 4.1.3. 4.1.4. 4.1.5. 4.1.6. 4.1.7. 4.1.8. 4.2. 5. Прил.№ 1 Прил.№ 2 Прил.№ 3 Прил.№ 4 Прил.№ 5 Прил.№ 6 Прил.№ 7.1, 7.2 Прил.№ 8.1, 8.2 Прил.№ 9.1, 9.2 Прил.№ 10.1, 10.2 Прил.№ 11.1, 11.2 Прил.№ 12.1, 12.2 Прил.№ 13.1, 13.2 Область применения Определения Ответственность Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя на наличие ПДн. Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя на ознакомление с ПДН. Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя на уточнение ПДн Действия сотрудников банка при получении запроса субъекта ПДн или его законного представителя на уничтожение ПДн Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя на отзыв согласия на обработку ПДн Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя на блокирование ПДн Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя при выявлении неправомерных действий с ПДн Действия Оператора ПДн при достижении целей обработки ПДн Действия сотрудников Банка в случае получении запроса уполномоченного органа по защите прав субъектов ПДн Прием запросов от субъектов ПДн или его законных представителей, а также от уполномоченного органа по защите прав субъектов ПДн Приложение № 1. Сводная таблица действий сотрудников Банка в ответ на зарегистрированные запросы по обработке ПДн Журнал учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных Форма запроса субъекта персональных данных о наличие и ознакомление с ПДн Форма запроса субъекта персональных данных на уточнение ПДн Форма запроса субъекта персональных данных на уничтожение ПДн Форма запроса субъекта персональных данных с отзывом согласия на обработку ПДн Формы ответа на запрос субъекта персональных данных о наличии и на ознакомление с ПДн Формы ответа на запрос субъекта персональных данных на уточнение ПДн Формы ответа на запрос субъекта персональных данных на уничтожение ПДн Формы ответа на запрос субъекта персональных данных отзывом согласия на обработку ПДн Формы уведомления субъекта персональных данных, его законного представителя или уполномоченного органа по защите прав субъектов персональных данных при выявлении недостоверности ПДн Формы уведомления субъекта персональных данных, его законного представителя или уполномоченного органа по защите прав субъектов персональных данных при выявлении неправомерности действий с ПДн Формы уведомления субъекта персональных данных, его законного представителя или уполномоченного органа по защите прав субъектов 3 3 3 4 4 4 4 4 5 5 5 5 5 6 7 10 11 12 13 14 15 17 19 21 23 25 27 персональных данных при достижении целей обработки ПДн Прил.№14 Статьи Федерального закона 152-ФЗ, регламентирующие запросы по ПДн 29 1. Область применения. Настоящий Регламент регулирует отношения, возникающие при выполнении АКБ «Легион» (ОАО» (далее – «Банк») обязательств согласно требованиям статей 14, 20 и 21 Федерального закона «О персональных данных» 152-ФЗ от 27 июля 2006 года. Положения настоящего Регламента распространяются на действия сотрудников Банка: 1) При личном обращении физического лица (субъекта персональных данных) либо при получении запроса субъекта персональных данных или его законного представителя. Обработке подлежат только запросы, поступившие в Банк на бумажном носителе, подписанные лично субъектом персональных данных или его законным представителем. При приеме запроса субъекта персональных данных требуется идентифицировать физическое лицо или его законного представителя. 2) При обращении уполномоченного органа по защите прав субъектов персональных данных. Эти действия направлены на подтверждение наличия, ознакомление, уточнение, уничтожение или отзыв согласия на обработку персональных данных, а также на устранение нарушений законодательства, допущенных при обработке персональных данных. 2. Определения. Информационная система персональных данных (далее – ИСПДн) информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Оператор ПДн - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных (применительно к настоящему Регламенту - Банк). Персональные данные (далее – ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Уполномоченный орган по защите прав субъектов персональных данных ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ (РОСКОМНАДЗОР) 3. Ответственность. Ответственность за поддержание настоящего Регламента в актуальном состоянии несет Начальник Службы информационной безопасности. Организация и проведение работ по ответам на запросы, устранению нарушений, а также уточнению, блокированию и уничтожению персональных данных возлагается на назначенных Приказом Председателя Правления Банка или руководителем Филиала уполномоченных сотрудников. Ответственность за правильное применение настоящего Регламента несут руководители структурных подразделений и сотрудники, непосредственно осуществляющие обработку запросов субъектов ПДн. 4. Действия сотрудников Банка при получении запросов. Субъект ПДн или его законный представитель имеет право получения информации, касающейся обработки его ПДн, в том числе содержащей: - Подтверждение обработки ПДн, а также правовые основания и цели такой обработки; - Способы обработки ПДн; - Сведения о лицах, которые имеют доступ к ПДн; - Перечень обрабатываемых ПДн и источник их получения; - Сроки обработки ПДн, в том числе сроки их хранения; - Информацию об осуществленной или о предполагаемой трансграничной передаче данных. 4.1. Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя на наличие ПДн. При получении запроса субъекта персональных данных или его представителя на наличие ПДн необходимо в течение 30 дней с даты получения запроса (согласно пункта 1 статьи 20 152-ФЗ) подтвердить обработку ПДн, в случае ее осуществления. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно пункта 2 статьи 20 152-ФЗ) необходимо отправить уведомление о неосуществлении обработки ПДн. Форма запроса на наличие ПДн приведена в Приложении №3, а формы ответов на эти запросы в Приложениях №7.1, 7.2. 4.1.2. Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя на ознакомление с ПДн. При получении запроса субъекта персональных данных или его представителя на ознакомление с ПДн необходимо в течение 30 дней с даты получения запроса (согласно пункта 1 статьи 20 152-ФЗ) предоставить для ознакомления ПДн, в случае осуществления обработки этих ПДн. Если обработка ПДн субъекта не ведется, то в течение 30 дней с даты получения запроса (согласно пункта 2 статьи 20 152-ФЗ) необходимо отправить уведомление о неосуществлении обработки ПДн. Форма запроса на ознакомление с ПДн приведена в Приложении №3, а формы ответов на эти запросы в Приложении №7.1, 7.2. 4.1.3. Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя на уточнение ПДн. При получении запроса субъекта персональных данных или его представителя на уточнение ПДн необходимо внести в них указанные в запросе изменения в срок, не превышающий 7 рабочих дней со дня предоставления субъектом ПДн или его представителем сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Банк, являются неполными, неточными или неактуальными (согласно пункта 3 статьи 20 152-ФЗ) и в течение установленного законом срока отправить уведомление о внесенных изменениях. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Банк, являются неполными, неточными или неактуальными, то необходимо в течение 30 дней с даты получения запроса отправить уведомление о невозможности внесения изменений в ПДн. Форма запроса на уточнение ПДн приведена в Приложении №4, а формы ответов на эти запросы в Приложениях № 8.1, 8.2. 4.1.4. Действия сотрудников банка при получении запроса субъекта ПДн или его законного представителя на уничтожение ПДн. При получении запроса субъекта персональных данных или его представителя на уничтожение ПДн необходимо их уничтожить в срок, не превышающий 7 рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие ПДн являются незаконно полученными или не являются необходимыми для заявленной цели обработки (согласно пункта 3 статьи 20 152-ФЗ) и отправить уведомление об уничтожении. Если обработка ПДн субъекта не ведется или не были предоставлены сведения, подтверждающие, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Банк, являются незаконно полученными или не являются необходимыми для заявленной цели обработки, а также в силу необходимости обработки ПДн по требованиям иных законодательных актов, то необходимо в течение 30 дней с даты получения запроса отправить уведомление об отказе уничтожения ПДн. Форма запроса на уничтожение ПДн приведена в Приложении №5, а формы ответов на эти запросы в Приложениях № 9.1, 9.2. 4.1.5. Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя на отзыв согласия на обработку ПДн. При получении запроса на отзыв согласия на обработку ПДн необходимо прекратить их обработку и, в случае, если сохранение ПДн более не требуется для целей обработки персональных данных, уничтожить ПДн в срок, не превышающий 30 дней с даты поступления указанного запроса на отзыв (согласно пункта 5 статьи 21 152-ФЗ). Если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных, либо, если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных настоящим Федеральным законом или другими федеральными законами (согласно пункта 5 статьи 21 152-ФЗ), то необходимо в течение 30 дней с даты получения запроса отправить уведомление о невозможности прекращения обработки и уничтожения ПДн. Форма запроса на отзыв согласия на обработку ПДн приведена в Приложении №6, а формы ответов на эти запросы в Приложениях №10.1, 10.2. 4.1.6. Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя на блокирование ПДн. При выявлении недостоверности ПДн при обращении или по запросу субъекта ПДн или его представителя ПДн необходимо блокировать с момента такого обращения или получения такого запроса на период проверки (согласно пункта 1 статьи 21 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или на основании иных документов, необходимо уточнить персональные данные в течение 7 рабочих дней со дня представления таких сведений и снять блокирование персональных данных (согласно пункта 2 статьи 21 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то в течение 30 дней необходимо отправить уведомление об отказе изменения ПДн. Формы уведомления при выявлении недостоверности ПДн приведены в Приложениях №11.1, 11.2. 4.1.7. Действия сотрудников Банка при получении запроса субъекта ПДн или его законного представителя при выявлении неправомерных действий с ПДн. При выявлении неправомерных действий с ПДн Банка при обращении или по запросу субъекта ПДн или его представителя необходимо в срок, не превышающий трех рабочих дней с даты этого выявления, прекратить неправомерную обработку персональных данных (согласно пункта 3 статьи 21 152-ФЗ). В случае если обеспечить правомерность обработки персональных данных невозможно, Банк в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных (согласно пункта 3 статьи 21 152-ФЗ), обязан уничтожить такие персональные данные. Об устранении до- пущенных нарушений или об уничтожении персональных данных Банк обязан уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также и уполномоченный орган по защите прав субъектов персональных данных. Формы уведомления при выявлении неправомерных действий с ПДн приведены в Приложениях №12.1, 12.2. 4.1.8. Действия Оператора ПДн при достижении целей обработки ПДн. При достижении целей обработки ПДн Банк обязан незамедлительно прекратить обработку ПДн, уничтожить соответствующие ПДн в срок, не превышающий 30 дней с даты достижения цели обработки ПДн (согласно пункта 4 статьи 21 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных, либо, если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом №152-ФЗ или другими федеральными законами. Формы уведомления при достижении целей обработки ПДн приведены в Приложении №13. 4.2. Действия сотрудников Банка в случае получения запроса уполномоченного органа по защите прав субъектов ПДн. В случае поступления запроса уполномоченного органа по защите прав субъектов ПДн по персональным данным необходимо выполнить следующие действия: 4.2.1. При получении запроса необходимо в течение 30 дней (согласно пункта 4 статьи 20 152-ФЗ) предоставить информацию, необходимую для осуществления деятельности уполномоченного органа по защите прав субъектов ПДн. 4.2.2. В случае выявления недостоверных ПДн в информационных системах Банка при обращении или по запросу уполномоченного органа по защите прав субъектов ПДн необходимо их блокировать с момента получения такого обращения или получения такого запроса на период проверки (согласно пункта 1 статьи 21 152-ФЗ). Если факт недостоверности ПДн подтвержден на основании документов, предоставленных субъектом ПДн или его законным представителем, необходимо в течение 7 рабочих дней уточнить ПДн и снять их блокирование (согласно пункта 2 статьи 21 152-ФЗ). Если факт недостоверности ПДн не подтвержден, то необходимо отправить уведомление об отказе изменения и снять блокирование ПДн. Формы уведомления при выявлении недостоверности ПДн приведены в Приложениях № 11.1, 11.2. 4.2.3. В случае выявления неправомерных действий с ПДн в информационных системах Банка при обращении или по запросу уполномоченного органа по защите прав субъектов ПДн, необходимо прекратить неправомерную обработку в срок, не превышающий 3 рабочих дней с момента такого обращения или получения такого запроса, на период проверки (согласно пункта 1 статьи 21 152-ФЗ). В случае невозможности обеспечения правомерности обработки Банком ПДн в срок, не превышающий 10 рабочих дней с даты выявления неправомерности действий с ПДн, необходимо уничтожить ПДн и отправить уведомление об уничтожении ПДн. Формы уведомления при выявлении неправомерных действий с ПДн приведены в Приложениях №12.1, 12.2. 4.2.4. При достижении целей обработки ПДн Банк обязан незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в течение 30 дней с даты достижения цели обработки ПДн (согласно пункта 4 статьи 21 152-ФЗ), если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между Банком и субъектом персональных данных, либо, если Банк не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом №152-ФЗ или другими федеральными законами, и отправить уведомление об уничтожении ПДн субъекту ПДн. Формы уведомления при достижении целей обработки ПДн приведены в Приложении №13. 5. Прием и регистрация запросов от субъектов ПДн или его законных представителей, а также от уполномоченного органа, по защите прав субъектов ПДн. 5.1. В случае поступления запроса субъекта ПДн, его законного представителя или уполномоченного органа по защите прав субъектов персональных данных запрос необходимо зарегистрировать в «Журнале учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных» (даже - Журнал) (Приложение № 2). Журнал хранится с Секретариате Банка или Филиала. Регистрация запросов, ответов на них и их отправка по почте осуществляется централизованно, в соответствии с Положением о порядке рассмотрения обращений Клиентов и организации личного приема Клиентов в АКБ «Легион» (ОАО). 5.2. При личном обращении субъекта ПДн или его законного представителя в Банк, сотрудник Банка предоставляет форму запроса для ее заполнения (Приложения № 3, 4, 5, 6) или принимает запрос в произвольной форме. После принятия запроса, заполненного по форме Банка или в произвольной форме, сотрудник Банка проводит идентификацию субъекта ПДн на основании предъявленного ему документа, удостоверяющего личность. 5.3. Необходимые сведения о субъекте ПДн, которые должны присутствовать в подаваемом запросе: - Фамилия, имя и отчество субъекта ПДн; - Номер основного документа, удостоверяющего личность субъекта ПДн или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта ПДн или его законного представителя. 5.4. В случае неправильно оформленного запроса, отсутствии документов, удостоверяющих личность субъекта ПДн или его законного представителя, сотрудник вправе отказать в приеме запроса и потребовать переделать запрос в соответствии с требованиями закона №152-ФЗ. При отказе субъекта ПДн или его законного представителя переделать запрос, сотрудник Банка делает об этом запись в Журнале. Если запрос по ПДн оформлен в соответствии с требованиями законодательства РФ, он принимается к обработке и передается уполномоченному лицу, в соответствии с разделом 3 настоящего Регламента. 5.5. В случае поступления Запроса уполномоченного органа по защите прав субъектов персональных данных запрос подлежит обязательной регистрации с присвоением ему входящего номера, принимается к обработке и передается уполномоченному лицу, в соответствии с разделом 3 настоящего Регламента. 5.6. Персональные данные обрабатываемые сотрудниками Банка в информационных системах персональных данных Банка не подлежат разглашению (распространению). Прекращение доступа к персональным данным информационных систем персональных данных Банка не освобождает работника Банка от взятых им обязательств по неразглашению сведений ограниченного распространения. Приложение №1 К Регламенту обработки запросов субъекта персональных данных Или уполномоченного органа по защите прав субъектов персональных данных Сводная таблица действий сотрудников Банка в ответ на зарегистрированные запросы по обработке ПДн. № 1.1. 1.2. 1.3. 1.4. Запрос Наличие ПДн Ознакомление с ПДн Уточнение ПДн Уничтожение ПДн Действия Срок I. Запрос Субъекта ПДн или его Представителя Подтверждение 30 дней (согласно пункту 1 статьи 20 152обработки ПДн ФЗ) Отказ подтверждения 30 дней (согласно пункту 2 статьи 20 152обработки ПДн ФЗ) Предоставление 30 дней (согласно пункту 1 статьи 20 152информации по ПДн ФЗ) Отказ предоставления 30 дней (согласно пункту 2 статьи 20 152информации по ПДн ФЗ) Изменение ПДн 7 рабочих дней со дня предоставления уточняющих сведений (согласно пункту 3 статьи 20 152-ФЗ) Отказ изменения ПДн 30 дней Уничтожение ПДн 7 рабочих дней со дня предоставления сведений о незаконном получении ПДн или отсутствии необходимости ПДн для заявленной цели обработки (согласно пункту 3 статьи 20 152- ФЗ) заявленной цели обработки (согласно пункту 3 статьи 20 152- Ответ Подтверждение обработки ПДн Уведомление об отказе подтверждения обработки ПДн 1. Подтверждение обработки ПДн, а также правовые основания и цели такой 2. Способы обработки ПДн 3. Сведения о лицах, которые имеют доступ к ПДн 4. Перечень обрабатываемых ПДн и источник их получения 5. Сроки обработки ПДн, в том числе сроки их хранения 6. Информация об осуществленных или о предполагаемой трансграничной передаче Уведомление об отказе предоставления информации по ПДн Уведомление о внесенных изменениях Уведомление об отказе предоставления изменения ПДн Уведомление об уничтожении 1.5. 1.6. 1.7. 1.8. Отзыв согласия на обработку ПДн Отказ уничтожения ПДн 30 дней Уведомление об отказе уничтожения ПДн Прекращение обработки и уничтожение ПДн Отказ прекращения 3 рабочих дня (согласно пункту 5 статьи 21 152- ФЗ) Уведомление о прекращении обработки и уничтожении ПДн 30 дней Уведомление об отказе прекращения обработки и уничтожения ПДн обработки и уничтожения ПДн Недостоверность ПДн Блокировка ПДн Субъекта ПДн Неправомерность действий с ПДн Субъекта ПДн Достижение целей обработки ПДн Субъекта ПДн С момента обращения Субъекта ПДН о Уведомление о внесенных изменениях недостоверности или с момента получения запроса на период проверки (согласно пункту 1 статьи 21 152- ФЗ) Изменение ПДн Снятие блокировки ПДн 7 рабочих дней со дня предоставления уточненных сведений (согласно пункту 2 статьи 21 152-ФЗ) Отказ изменения ПДн Прекращение неправомерной обработки ПДн Уничтожение ПДн в случае невозможности обеспечения правомерности обработки Прекращение обработки ПДн 30 дней 3 рабочих дня (согласно пункту 3 статьи 21 152- ФЗ) Уничтожение ПДн Уведомление об отказе изменения Уведомление об устранении нарушений 10 рабочих дней (согласно пункту 3 статьи 21 Уведомление об уничтожении ПДн 152-ФЗ) 30 дней (согласно пункту 4 статьи 21 152-ФЗ) Уведомление об уничтожении ПДн II. Запрос Уполномоченного органа по защите прав Субъекта ПДн № 2.1. 2.2. 2.3. 2.4. Запрос Информация для осуществления деятельности уполномоченного органа Недостоверность ПДн Субъекта ПДн Неправомерность действий с ПДн Субъекта ПДн Достижение целей обработки ПДн Субъекта ПДн Действия Предоставление затребованной информации по ПДн Срок Ответ 30 дней (согласно пункту 4 статьи 20 152-ФЗ) Предоставление затребованной информации по ПДн Блокировка ПДн С момента обращения Уполномоченного органа о недостоверности или с момента получения запроса на период проверки (согласно пункту 1 статьи 21 152- ФЗ) Изменение ПДн Снятие блокировки ПДн 7 рабочих дней со дня предоставления уточненных сведений (согласно пункту 2 статьи 21 152-ФЗ) Отказ изменения ПДн Прекращение неправомерной обработки ПДн Уничтожение ПДн в случае невозможности обеспечения правомерности обработки Блокировка ПДн 30 дней 3 рабочих дня (согласно пункту 3 статьи 21 152- ФЗ) Уведомление о внесенных изменениях Уведомление об отказе изменения Уведомление об устранении нарушений 10 рабочих дней (согласно пункту 3 статьи 21 Уведомление об уничтожении ПДн 152-ФЗ) 30 дней (согласно пункту 4 статьи 21 152-ФЗ) Уведомление об уничтожении ПДн Приложение №2 К Регламенту обработки запросов субъекта персональных данных Или уполномоченного органа по защите прав субъектов персональных данных Журнал учета обращений граждан (субъектов персональных данных) по вопросам обработки персональных данных. Журнал начат « » 201 г. Журнал завершен « » Должность Должность / ФИО должностного лица / / ФИО должностного лица / 201 г. На_______ листах № п/п 1 Сведения о запрашивающем лице Краткое содержание обращения Цель запроса Отметка о предоставлении информации или отказе в ее предоставлении 2 3 4 5 Дата передачи / Подпись отказа в ответственн предоставле нии ого лица информации 6 7 Примеча ние 8 Приложение № 3 К Регламенту обработки запросов субъекта персональных данных Или уполномоченного органа по защите прав субъектов персональных данных Форма запроса субъекта персональных данных о наличие и ознакомление с ПДн В АКБ «Легион» (ОАО) от _____________________________________________________________________________ адрес: _________________________________________________________________________ паспорт № ____________________________________ выдан . ЗАПРОС В соответствии со статьей 14 закона «О персональных данных», я имею право получить от Вас сведения о наличии моих персональных данных в информационных системах Вашей организации. Прошу Вас предоставить мне следующую информацию: 1 Осуществляется ли обработка моих персональных данных 2 Перечень обрабатываемых вами моих персональных данных и источник их получения Какими способами эти данные обрабатываются 3 4 5 6 Какие лица имеют доступ или могут получить доступ к моим персональным данным Срок хранения моих персональных данных Осуществлялась ли трансграничная передача моих персональных данных, если не осуществлялась, то предполагается ли такая передача моих персональных данных Ответ на запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок. С уважением, « » 201 .г. Приложение №4. Форма запроса субъекта персональных данных на уточнение ПДн. В АКБ «Легион» (ОАО) от _____________________________________________________________________________ адрес: _________________________________________________________________________ . паспорт № ____________________________________ выдан . ЗАПРОС В соответствии со статьей 20 закона «О персональных данных» и в связи с . . прошу внести изменения в мои персональные данные: . . . . . . Ответ на мой запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок. С уважением, « » 201 .г. Приложение №5. Форма запроса субъекта персональных данных на уничтожение ПДн. В АКБ «Легион» (ОАО) от _____________________________________________________________________________ адрес: _________________________________________________________________________ . паспорт № ____________________________________ выдан . . ЗАПРОС В соответствии со статьей 20 закона «О персональных данных» и в связи с . . . прошу вас уничтожить мои персональные данные: . . . . . Ответ на мой запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок. С уважением, « » 201 .г. Приложение № 6. Форма запроса субъекта персональных данных с отзывом согласия на обработку ПДн. В АКБ «Легион» (ОАО) от _____________________________________________________________________________ адрес: _________________________________________________________________________ . паспорт № ____________________________________ выдан . . ЗАПРОС В соответствии со статьей 20 закона «О персональных данных» и в связи с . прошу Вас прекратить обработку следующих моих персональных данных: . . . . . . Ответ на мой запрос прошу направить в письменной форме по вышеуказанному адресу в предусмотренный законом срок. С уважением, « » 201 .г. Приложение № 7. Формы ответа на запрос субъекта персональных данных о наличии и на ознакомление с ПДн. Г-ну/Г-же На Ваш запрос от « . » ________________ 20_____ г. относительно обработки Ваших персональных данных могу сообщить следующее. Наша организация в период с « » ________________ 20_____ г. по настоящее время с целью . . . . . Эта информация обрабатывается в соответствии с законодательством РФ о персональных данных, в Ваших интересах и с Вашего согласия. Обработка данных включает хранение, использование и, в случае необходимости, передачу третьим сторонам. Обработкой Ваших персональных данных занимаются сотрудники нашей организации, ознакомленные с обязанностями, возложенными на них в связи с обработкой Ваших персональных данных, и давшие подписку об их неразглашении. Никто другой к обработке Ваших персональных данных не допускается. Ваши персональные данные будут обрабатываться до достижения указанных целей, но не позже _________ лет с момента Вашего обращения в нашу организацию для оказания Банковских услуг (« » ________________ 20_____ г.). Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Г-ну/Г-же . На Ваш запрос от « » ________________ 20_____ г. относительно обработки Ваших персональных данных сообщаю Вам следующее: Наша организация не осуществляет обработки Ваших персональных данных. Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Приложение №8. Формы ответа на запрос субъекта персональных данных на уточнение ПДн. Г-ну/Г-же . На Ваш запрос от « » ________________ 20_____ г. относительно уточнения Ваших персональных данных сообщаю Вам следующее. Нашей организацией внесены изменения в Ваши персональные данные: . . . . . Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Г-ну/Г-же . На Ваш запрос от « » ________________ 20_____ г. Относительно уточнения Ваших персональных данных сообщаю Вам следующее. Наша организация не может внести изменения в Ваши персональные данные, так Вами не было предоставлено необходимых документов, подтверждающих запрашиваемые Вами изменения. Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Приложение №9. Формы ответа на запрос субъекта персональных данных на уничтожение ПДн. Г-ну/Г-же . На Ваш запрос от « » ________________ 20_____ г. относительно уничтожения Ваших персональных данных сообщаю Вам следующее. Нашей организацией уничтожены Ваши персональные данные: . . . . . Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Г-ну/Г-же На Ваш запрос от « . » ________________ 20_____ г. относительно уничтожения Ваших персональных данных сообщаю Вам следующее. Наша организация не может уничтожить Ваши персональные данные, так как их обработка осуществляется согласно . . . . . Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Приложение №10. Формы ответа на запрос субъекта персональных данных отзывом согласия на обработку ПДн. Г-ну/Г-же На Ваш запрос от « . » ________________ 20_____ г. относительно отзыва согласия на обработку Ваших персональных данных сообщаю Вам следующее. Нашей организацией прекращена обработка и уничтожены Ваши персональные данные: . . . . . Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Г-ну/Г-же На Ваш запрос от « . » ________________ 20_____ г. относительно отзыва согласия на обработку Ваших персональных данных сообщаю Вам следующее. Наша организация не может прекратить обработку Ваших персональных данных и осуществить их уничтожение, так их обработка осуществляется согласно . . . . . Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Приложение №11. Формы уведомления субъекта персональных данных, его законного представителя или уполномоченного органа по защите прав субъектов персональных данных при выявлении недостоверности ПДн. Г-ну/Г-же На Ваш запрос от « . » ________________ 20_____ г. Относительно недостоверно- сти Ваших персональных данных сообщаю Вам следующее. На Ваш запрос от « » ________________ 20_____ г. относительно недостоверности Ваших персональных данных г-на/г-жи _______________________________ сообщаю Вам следующее. Нашей организацией внесены изменения в Ваши персональные данные: . . . . . Нашей организацией внесены изменения в персональные данные г-на/г-жи . . . . . Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Г-ну/Г-же . На Ваш запрос от « » ________________ 20_____ г. Относительно недостоверно- сти Ваших персональных данных сообщаю Вам следующее. На Ваш запрос от « » ________________ 20_____ г. относительно недостоверности Ваших персональных данных г-на/г-жи _______________________________ сообщаю Вам следующее. Наша организация не может внести изменения в Ваши персональные данные, так факт недостоверности персональных данных не подтвержден и не было предоставлено необходимых документов, подтверждающих недостоверность персональных данных. Наша организация не может внести изменения в персональные данные г- на/г-жи _____________________________________, так как факт недостоверности персональных данных не подтвержден и не было предоставлено необходимых документов, подтверждающих недостоверность персональных данных. Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Приложение №12. Формы уведомления субъекта персональных данных, его законного представителя или уполномоченного органа по защите прав субъектов персональных данных при выявлении неправомерности действий с ПДн. Г-ну/Г-же _____________ В связи с выявлением неправомерности действий с Вашими персональными данными сообщаю Вам следующее. На Ваш запрос от « » ________________ 20_____ г. относительно неправомерности действий с персональными данными г-на/г-жи _______________________________ сообщаю Вам следующее. Нашей организацией уничтожены Ваши персональные данные: . . . . . Нашей организацией уничтожены персональные данные г-на/г-жи . . . . . Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Г-ну/Г-же . На Ваш запрос от « » ________________ 20_____ г. относительно неправомерности действий с Вашими персональными данными сообщаю Вам следующее. На Ваш запрос от « » ________________ 20_____ г. относительно неправомерности действий с персональными данными г-на/г-жи _______________________________ могу сообщить следующее. Наша организация не может уничтожить Ваши персональные данные, так как факт неправомерности действий с Вашими персональными данными не подтвержден и Вами не было предоставлено необходимых документов, подтверждающих неправомерность действий с Вашими персональными данными. Наша организация не может уничтожить персональные данные г-на/г- жи__________________________________, так как факт неправомерности действий с Вашими персональными данными не подтвержден и Вами не было предоставлено необходимых документов, подтверждающих неправомерность действий с Вашими персональными данными. Наша организация осуществляет обработку Ваших персональных данных согласно требованиям следующих законодательных актов: . . . Наша организация осуществляет обработку персональных данных г-на/г-жи _________________________ согласно требованиям следующих законодательных актов: . . . . . Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением,____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Приложение №13. Формы уведомления субъекта персональных данных, его законного представителя или уполномоченного органа по защите прав субъектов персональных данных при достижении целей обработки ПДн. Г-ну/Г-же . В связи с достижением целей обработки Ваших персональных данных сообщаю Вам следующее. В связи с достижением целей обработки персональных данных г-на/г-жи _________________________ сообщаю Вам следующее. Нашей организацией прекращена обработка и уничтожены Ваши персональные данные: . . . . . Нашей организацией прекращена обработка и уничтожены персональные данные гна/г-жи . . . . . Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации) Г-ну/Г-же . На Ваш запрос от « » ________________ 20_____ г. Относительно достижения целей обработки Ваших персональных данных могу сообщить следующее. На Ваш запрос от « » ________________ 20_____ г. Относительно достижения целей обработки персональных данных г-на/г-жи________________________________ могу сообщить следующее. Наша организация не может прекратить обработку и уничтожить Ваши персональные данные, так их обработка осуществляется согласно . . . . . Наша организация не может прекратить обработку и уничтожить персональные данные гна/г-жи __________________________________, так как их обработка осуществляется согласно . . . . . Если у Вас возникнут дополнительно какие-либо вопросы, связанные с обработкой Ваших персональных данных, пожалуйста, обращайтесь. С уважением, ____________________________________ (должность ответственного сотрудника (раздел 3 Регламента)) ___________________ /__________________ / (подпись) (расшифровка подписи) (дата, печать организации)