Утверждено решением Правления ОАО «И.Д.Е.А. Банк» (Протокол № 37 от « 27 » июня 2014 г.) Председатель Правления ОАО «И.Д.Е.А. Банк» ____________А.Ю. Поплавская П-ИБ-16 Политика ОАО «И.Д.Е.А. Банк» в отношении обработки персональных данных Версия: 1.0 Раздел СМИБ: Информационная безопасность П-ИБ-16 Политика ОАО «И.Д.Е.А. Банк» в отношении обработки персональных данных Раздел СУИБ Подразделение, на которое распространяется документ Контрольный номер документа Номер версии Информационная безопасность ОАО «И.Д.Е.А. Банк» П-ИБ-16 1.0 Дата утверждения Оглавление 1. Общие положения .......................................................................................................................3 2. Принципы обработки персональных данных ...........................................................................3 3. Цели обработки персональных данных ....................................................................................4 4. Условия обработки персональных данных ...............................................................................4 5. Права субъектов персональных данных ...................................................................................6 6. Сведения о реализуемых требованиях к защите персональных данных ..............................7 7. Ответственность...........................................................................................................................8 8. Условия пересмотра ....................................................................................................................8 Страница 2 из 8 П-ИБ-16 Политика ОАО «И.Д.Е.А. Банк» в отношении обработки персональных данных Раздел СУИБ Подразделение, на которое распространяется документ Контрольный номер документа Номер версии Информационная безопасность ОАО «И.Д.Е.А. Банк» П-ИБ-16 1.0 Дата утверждения 1. Общие положения 1.1. ОАО «И.Д.Е.А. Банк» 1 при осуществлении своей деятельности уделяет приоритетное внимание вопросам обеспечения информационной безопасности. В банке принят комплекс правовых, организационных и технических мер, направленных на защиту информации о клиентах, работниках и контрагентах и других субъектах персональных данных. 1.2. Настоящая Политика Банка в отношении обработки персональных данных предоставляет информацию об основных принципах обработки персональных данных 2 и реализуемых требованиях к защите ПДн. 1.3. Положение разработано в соответствии с требованиями и рекомендациями следующих документов: - Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных» (далее – ФЗ-152); - «Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства РФ от 01.11.2012г. № 1119; - Стандарт Банка России СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». 1.3. Настоящая Политика является общедоступным документом и подлежит опубликованию на корпоративном сайте Банка. 2. Принципы обработки персональных данных 2.1 Обработка персональных данных в банке осуществляется на основе принципов: - законности и справедливости основы обработки ПДн, законности целей и способов обработки ПДн; - соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе ПДн, а также полномочиям Банка; - соответствия содержания и объема обрабатываемых ПДн, способов обработки ПДн заявленным целям обработки ПДн; - обеспечения точности, достаточности и актуальности ПДн по отношению к целям их обработки, недопустимости избыточности обрабатываемых ПДн по отношению к заявленным целям их обработки; - недопустимости объединения созданных для несовместимых между собой целей баз данных ПДн. 2.2 Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. 2.3 При определении состава обрабатываемых ПДн субъектов персональных данных Банк руководствуется минимально необходимым составом персональных данных для достижения целей их получения. 1 2 Далее – Банк Далее – ПДн Страница 3 из 8 П-ИБ-16 Политика ОАО «И.Д.Е.А. Банк» в отношении обработки персональных данных Раздел СУИБ Подразделение, на которое распространяется документ Контрольный номер документа Номер версии Информационная безопасность ОАО «И.Д.Е.А. Банк» П-ИБ-16 1.0 Дата утверждения 3. Цели обработки персональных данных Банк осуществляет обработку ПДн для достижения следующих целей: - начисление заработной платы работникам Банка; - рассмотрение возможности совершения банковских операций и/или сделок (получение кредита, размещение депозита и т.д.) в соответствии с лицензией Банка России, выданной Банку; - предоставление отчетности государственным надзорным органам в соответствии с требованиями действующего законодательства Российской Федерации; - предоставление сведений уведомительного или маркетингового характера, в том числе, о новых банковских продуктах, услугах, проводимых акциях, мероприятиях (по которым имеется предварительное согласие клиента на их получение); - заключение и исполнение договоров с клиентами и/или реализация совместных проектов; - проведение мероприятий по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; - формирование данных о кредитной истории; - проведение мероприятий по урегулированию заявлений, претензий, сообщений клиентов по вопросам качества обслуживания, предоставления продуктов, деятельности каналов продаж; - обеспечения пропускного режима на объектах банка; - рассмотрение возможности заключения трудового соглашения/договора с субъектом персональных данных; - регулирование трудовых (гражданско-правовых) отношений субъекта с банком (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества); - рассмотрение возможности установления договорных отношений с субъектом персональных данных по его инициативе с целью дальнейшего предоставления финансовых и иных услуг путем заключения договора, одной из сторон которого, либо выгодоприобретателем по которому является субъект персональных данных; - передача Банком персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством; - осуществление функций, полномочий и обязанностей, возложенных на банк действующим законодательством Российской Федерации. - размещение персональных данных в общедоступных справочниках (при получении предварительного разрешения субъекта персональных данных). 4. Условия обработки персональных данных 4.1 Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями Банка, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами Банка. 4.2 Получение и обработка персональных данных (предоставление Банку доступа к обработке ПДн) в случаях, предусмотренных ФЗ-152, осуществляется Банком с письменного согласия субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного квалифицированной электронной подписью. Страница 4 из 8 П-ИБ-16 Политика ОАО «И.Д.Е.А. Банк» в отношении обработки персональных данных Раздел СУИБ Подразделение, на которое распространяется документ Контрольный номер документа Номер версии Информационная безопасность ОАО «И.Д.Е.А. Банк» П-ИБ-16 1.0 Дата утверждения 4.3 Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено ФЗ-152. 4.4 Банк вправе обрабатывать ПДн без согласия субъекта ПДн (или при отзыве субъектом ПДн согласия на обработку ПДн) при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 ФЗ-152. 4.5 Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Банком не осуществляется. 4.6 Обработка сведений о состоянии здоровья осуществляется в соответствии с Трудовым кодексом, ФЗ «Об обязательном медицинском страховании в РФ», а также п.2.3 ч.2 ст.10 ФЗ-152. 4.7 Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные), могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. 4.8 Персональные данные субъекта могут быть получены Банком от лица, не являющегося субъектом персональных данных, при условии предоставления Банку подтверждения наличия оснований, указанных в п.п. 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006г. №ФЗ-152 или иных оснований, предусмотренных законодательством Российской Федерации. 4.9 Право доступа к персональным данным субъектов персональных данных на бумажных и электронных носителях имеют работники Банка в соответствии с их должностными обязанностями. Передача ПДн между пользователями ресурса ПДн, предусматривающего передачу ПДн только между работниками Банка, имеющими доступ к ПДн, осуществляется в рабочем порядке с учетом технологии работы с соответствующим ресурсом ПДн. 4.10 Передача персональных данных субъектов персональных данных третьим лицам осуществляется Банком в соответствии с требованиями действующего законодательства. 4.11 Банк вправе поручить обработку ПДн третьей стороне с согласия субъекта ПДн и в иных случаях, предусмотренных действующим законодательством Российской Федерации, на основании заключаемого с этой стороной договора (далее – поручение). В указанном договоре определяется перечень действий (операций) с ПДн, которые будут совершаться обработчиком, и цели обработки. Обработчик обязан соблюдать принципы и правила обработки персональных данных, предусмотренные ФЗ-152, обеспечивая конфиденциальность и безопасность ПДн при их обработке. 4.12 Внесение изменений в ПДн, с целью обеспечения их точности, достоверности и актуальности, в том числе в отношении целей обработки ПДн, осуществляется в рабочем порядке в объеме полученного от субъекта ПДн согласия. 4.13 При проведении уточнения целей обработки ПДн необходимость получения согласия от субъекта ПДн определяется подразделением, по инициативе которого проводится уточнение целей, совместно с подразделением, ответственным за защиту персональных данных в Банке. При необходимости могут привлекаться специалисты юридического управления Банка. 4.14 При поступлении запросов от уполномоченного органа по защите персональных данных должны быть уведомлены: - если запрос поступил в структурное подразделение Банка – его сотрудники уведомляют подразделение Банка, ответственное за защиту ПДн; Страница 5 из 8 П-ИБ-16 Политика ОАО «И.Д.Е.А. Банк» в отношении обработки персональных данных Раздел СУИБ Подразделение, на которое распространяется документ Контрольный номер документа Номер версии Информационная безопасность ОАО «И.Д.Е.А. Банк» П-ИБ-16 1.0 Дата утверждения - если запрос поступил в организацию, осуществляющую обработку ПДн по поручению Банка – об этом уведомляется подразделение Банка, которое передавало ПДн в эту организацию, и подразделение Банка, ответственное за защиту ПДн. Обработка запроса от уполномоченного органа по защите персональных данных осуществляется совместно подразделением, обрабатывающим соответствующие ПДн (передавшим ПДн уполномоченной организации), и подразделением Банка, ответственное за защиту ПДн. 4.15 Об обработке ПДн в Банке в уполномоченный орган по защите прав субъектов ПДн подразделением, отвечающих за защиту ПДн в Банке, направляется уведомление по форме уполномоченного органа и в сроки, установленные Федеральным законом "О персональных данных". 5. Права субъектов персональных данных 5.1 Субъект персональных данных вправе требовать от Банка уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. 5.2 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: - подтверждение факта обработки персональных данных Банком; - правовые основания и цели обработки персональных данных; - цели и применяемые Банком способы обработки персональных данных; - наименование и место нахождения Банка, сведения о лицах (за исключением работников банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании ФЗ-152; - обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен ФЗ-152; - сроки обработки персональных данных, в том числе сроки их хранения; - порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ-152; - информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных; - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению банка, если обработка поручена или будет поручена такому лицу; - иные сведения, предусмотренные ФЗ-152 или другими федеральными законами. 5.3 Подготовка информации о наличии ПДн, относящихся к конкретному субъекту ПДн, информации, необходимой для предоставления возможности ознакомления субъектом ПДн (их законными представителями) с его ПДн осуществляется в рабочем порядке подразделением, обрабатывающим соответствующие ПДн. 5.4 При поступлении от субъектов ПДн обращений об уточнении ПДн, их блокировании или уничтожении, если ПДн является неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для установленной цели обработки сотрудники подразделения Банка, непосредственно обрабатывающих эти ПДн, обязаны выполнить действия с ними, которые определены субъектом ПДн, если это не противоречит требованиям законодательства Российской Страница 6 из 8 П-ИБ-16 Политика ОАО «И.Д.Е.А. Банк» в отношении обработки персональных данных Раздел СУИБ Подразделение, на которое распространяется документ Контрольный номер документа Номер версии Информационная безопасность ОАО «И.Д.Е.А. Банк» П-ИБ-16 1.0 Дата утверждения Федерации и нормативным документам Правительства РФ и соответствующих ведомств, определяющих порядок обработки ПДн. 6. Сведения о реализуемых требованиях к защите персональных данных 6.1 Банк при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. 6.2 Меры по обеспечению безопасности персональных данных при их обработке, применяемые банком, планируются и реализуются в целях обеспечения соответствия требованиям, приведенным в статье 19 ФЗ-152. 6.3 6.3. В соответствии со статьей 18 ФЗ-152 Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства. Банк в частности принял следующие меры: - назначен ответственный за организацию обработки ПДн; - разработаны и внедрены локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке ПДн и устранение последствий таких нарушений; - применяются правовые, организационные и технические меры по обеспечению безопасности ПДн в соответствии со статьей 19 ФЗ-152; - осуществляется внутренний контроль соответствия обработки ПДн ФЗ-152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Банка в отношении обработки ПДн, локальным актам Банка; - работники Банка, непосредственно осуществляющие обработку ПДн, ознакомлены с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику банка в отношении обработки ПДн, локальными актами по вопросам обработки ПДн. 6.4 В дополнение к требованиям ФЗ152, в Банке осуществляется комплекс мероприятий, направленных на защиту информации о своих клиентах, сотрудниках и контрагентах. Банк руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, Банка России, других регулирующих организаций. 6.5 Обезличивание ПДн осуществляется путем проведения декомпозиции ПДн на отдельные массивы, установить связь между которыми возможно только при наличии дополнительной информации (ключа). Ключ для восстановления ПДн из нескольких массивов доступен только тем сотрудниками Банка, которые осуществляют обработку этих ПДн 6.6 Уничтожение ПДн осуществляется путем логического или физического стирания информации о них из памяти автоматизированных систем и машинных носителей информации, с помощью которых осуществляется обработка ПДн, а также физического уничтожения бумажных носителей ПДн. 6.7 Блокирование ПДн осуществляется путем ограничения логического и физического доступа к соответствующим ПДн. Страница 7 из 8 П-ИБ-16 Политика ОАО «И.Д.Е.А. Банк» в отношении обработки персональных данных Раздел СУИБ Подразделение, на которое распространяется документ Контрольный номер документа Номер версии Информационная безопасность ОАО «И.Д.Е.А. Банк» П-ИБ-16 1.0 Дата утверждения 6.8 При работе с материальными носителями ПДн в Банке осуществляются процедуры по ограничению физического доступа к этим носителям путем установления пропускного режима в помещения Банка, а также работе с носителями в условиях и их хранению в местах, не позволяющих посторонним лицам получить к ним доступ. Обработка ПДн, зафиксированных на материальных носителях, осуществляется в соответствие с указаниями руководства подразделения, осуществляющего обработку ПДн, и по согласованию с подразделением, отвечающим за защиту ПДн в Банке. Для обработки ПДн применяются типовые формы документов, которые определяются Правительством РФ, а также уполномоченными министерствами и ведомствами РФ, Банком России и ОАО "И.Д.Е.А. Банк". Под типовой формой документа понимается шаблон, бланк документа или друга унифицированная форма документа, используемая Банком с целью сбора ПДн. 7. Ответственность 7.1 Ответственность должностных лиц Банка, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Банка. 8. Условия пересмотра 8.1 Требования настоящей Политики могут развиваться другими внутренними нормативными документами Банка, которые дополняют и уточняют его. 8.2 В случае изменения действующего законодательства и иных нормативных актов настоящее Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам. 8.3 Внесение изменений в настоящую Политику осуществляется на периодической и внеплановой основе: - периодический пересмотр и внесение изменений (при необходимости) в настоящую Политику должно осуществляться не реже одного раза в 12 месяцев; - внеплановое внесение изменений в настоящую Политику может производиться по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий. 8.4 Ответственным за внесение изменений в настоящую Политику является подразделение Банка, отвечающие за контроль за осуществлением защиты персональных данных в Банке. Страница 8 из 8