Политика обработки персональных данных субъектов

1. Общие положения

1.1. Настоящая Политика обработки персональных данных субъектов АО Банк «ККБ» (далее - Политика) распространяется на все подразделения АО Банк «ККБ» и устанавливает порядок и процедуры обработки и обеспечения безопасности персональных данных субъектов АО Банк «ККБ».
1.2. Требования настоящей Политики распространяются на все без исключения процессы Банка, связанные с обработкой персональных данных, зафиксированных на материальных носителях или передаваемых в устной или визуальной форме.
1.3. Пересмотр настоящей Политики должен быть выполнен в случае внесения существенных изменений в информационную инфраструктуру Банка или существенных изменений законодательства, а также по итогам обнаружения угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных.
1.4. Ответственность за разработку, внедрение, пересмотр и совершенствование настоящей Политики возлагается на Отдел информационной безопасности Банка.
1.5. В соответствии со ст.22. ФЗ-152 «О персональных данных» АО Банк «ККБ» направил Уведомление об обработке (намерении осуществлять обработку) персональных данных в территориальное Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Астраханской области (далее - Роскомнадзор). А на основании приказа Роскомнадзора АО Банк «ККБ» включен в реестр операторов, осуществляющих обработку персональных данных.

2. Термины и определения

В настоящей Политике используются следующие термины и определения:
Банк - АО Банк «ККБ», Филиалы АО Банк «ККБ» Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники; Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц; Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных; Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств; Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Нормативное регулирование

3.1. Трудовой кодекс Российской Федерации; 3.2. Федеральный закон «О персональных данных» от 27 июля 2006 г. № 152-ФЗ (далее – Законом 152 – ФЗ);
3.3. Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
3.4. «Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014» (принят и введен в действие Распоряжением Банка России от 17.05.2014 № Р-399);
3.5. «Постановление Правительства РФ от 1 ноября 2012 № 1119 «Об утверждении Требований к защите персональных данных, осуществляемой при их обработке в информационных системах персональных данных»;
3.6. Постановление Правительства РФ от 15 сентября 2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
3.7. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
3.8. Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";
3.9. Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;
3.10. Иные нормативные правовые акты Российской Федерации и нормативные документы исполнительных органов государственной власти.

4. Принципы и цели обработки ПДн

4.1. Банк осуществляет обработку ПДн для достижения следующих целей:
− осуществление функций, возложенных на Банк законодательством Российской Федерации, нормативными актами Банка России, а также Уставом и нормативными актами Банка;
− заключение и исполнение гражданско-правовых сделок;
− предоставление отчетности государственным надзорным органам в соответствии с требованиями действующего законодательства Российской Федерации;
− продвижение товаров, работ, услуг на рынке;
− проведение мероприятий по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
− формирование данных о кредитной истории;
− организация учёта сотрудников Банка, регулирование трудовых (гражданско-правовых) отношений субъекта с Банком (обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников),
− рассмотрение возможности установления договорных отношений с субъектом персональных данных по его инициативе с целью дальнейшего предоставления финансовых и иных услуг путем заключения договора, одной из сторон которого, либо выгодоприобретателем по которому является субъект персональных данных;
− передача Банком персональных данных или поручение их обработки третьим лицам в соответствии с действующим законодательством.
4.2. Принципы обработки ПДн в Банке:
Обработка персональных данных осуществляться на законной и справедливой основе.
− Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
− Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
− Обработке подлежат только персональные данные, которые отвечают целям их обработки.
− Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
− При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Банк принимает необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
− Хранение персональных данных должно осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.3. Сотрудники Банка, допущенные к обработке ПДн, обязаны:
− знать и неукоснительно выполнять положения:
¬ законодательства Российской Федерации в области ПДн;
¬ настоящей Политики;
¬ локальных актов Банка по вопросам обработки и обеспечения безопасности;
¬ ПДн;
− обрабатывать ПДн только в рамках выполнения своих должностных обязанностей;
− не разглашать ПДн, обрабатываемые в Банке;
− сообщать о действиях других лиц, которые могут привести к нарушению положений настоящей Политики;
− сообщать об известных фактах нарушения требований настоящей Политики Ответственному за организацию обработки ПДн в Банке, назначенному распорядительным документом по Банку.
4.4. Безопасность ПДн в Банке обеспечивается выполнением согласованных мероприятий, направленных на предотвращение (нейтрализацию) и устранение угроз безопасности ПДн, минимизацию возможного ущерба, а также мероприятий по восстановлению данных и работы ИСПДн в случае реализации угроз.

5. Состав ПДн

5.1. Перечень ПДн, обрабатываемых в Банке, определяется в соответствии с законодательством Российской Федерации и внутренними нормативными актами Банка, с учётом целей обработки ПДн, указанных в разделе 4 настоящей Политики.
5.2. Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, а также биометрических ПДн в Банке не осуществляется.

6. Условия и организация обработки ПДн в Банке

6.1. Обработка персональных данных осуществляется в соответствии с целями, заранее определенными и заявленными при сборе персональных данных, а также полномочиями банка, определенными действующим законодательством Российской Федерации и договорными отношениями с клиентами и контрагентами Банка.
6.2. Обработка ПДн в Банке подразделяется на: − обработку ПДн, осуществляемую без использования средств автоматизации;
− обработку ПДн в ИСПДн с использованием средств автоматизации; − смешанную обработку ПДн.
6.3. Банк обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн субъектов с использованием баз данных, находящихся на территории Российской Федерации в г. Астрахань и в г. Москва.
6.4. Обработка ПДн в Банке осуществляется в соответствии п.4. настоящей Политики.
6.5. Обработка ПДн в целях продвижения услуг Банк на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи осуществляется только при условии предварительного согласия субъекта ПДн. По требованию субъекта ПДн, Банк немедленно прекращает обработку его ПДн в целях продвижения своих услуг на рынке.
6.6. Хранение персональных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
6.7. Сроки обработки Банком ПДн определяются в соответствии со сроком действия договора с субъектом ПДн, а также пяти последующих лет после его расторжения (с в соответствии с Федеральным законом №115-ФЗ), если иное не установлено соглашением сторон либо требованиями законодательства и нормативными документами Банка России.
6.8. Банк вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора (далее - поручение Банка). При этом, лицо, осуществляющее обработку ПДн по поручению Банка, не обязано получать согласие субъекта Пдн на обработку его ПДн.
6.9. Лицо, осуществляющее обработку ПДн по поручению Банка, обязано соблюдать принципы и правила обработки ПДн, предусмотренные законодательством в области персональных данных.
6.10. В случае, если Банк поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет Банк. Лицо, осуществляющее обработку персональных данных по поручению Банка, несет ответственность перед Банком.
6.11. Поручение обработки ПДн третьему лицу выполняется только на основании договора. В указанном договоре обязательны:
− перечень действий (операций) с ПДн, которые будут совершаться обработчиком;
− цели обработки;
− обязанность обработчика выполнять требования по обеспечению безопасности ПДн (в том числе соблюдать конфиденциальность ПДн) при их обработке, не раскрывать и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.
6.12. Получение и обработка персональных данных в случаях, предусмотренных законодательством РФ, осуществляется Банком с письменного согласия субъекта ПДн кроме случаев, установленных законодательством Российской Федерации. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.
6.13. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются Банком.
6.14. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Банк вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, установленных законодательством Российской Федерации.
6.15. В Банке запрещается принятие решений на основании исключительно обработки ПДн, осуществляемую с использованием средств автоматизации, которые порождают юридические последствия в отношении субъекта ПДн, или иным образом затрагивают его права и законные интересы, кроме случаев и условий, предусмотренных законодательством Российской Федерации в области ПДн.
6.16. Представители органов государственной власти (в том числе, контролирующих, надзорных, правоохранительных и иных органов) получают доступ к ПДн, обрабатываемым в Банке, в объеме и порядке, установленном законодательством Российской Федерации.
6.17. Условия осуществления трансграничной передачи ПДн описаны в разделе 10 настоящей Политики.

7. Права субъекта ПДн

7.1. Субъект ПДн имеет право на получение от Банка сведений, касающейся обработки его ПДн, в том числе содержащих:
− подтверждение факта обработки ПДн Банком;
− правовые основания и цели обработки ПДн;
− цели и применяемые Банком способы обработки ПДн;
− наименование и место нахождения Банка, сведения о лицах (за исключением сотрудников Банка), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Банком или на основании федерального закона;
− обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
− сроки обработки ПДн, в том числе сроки их хранения;
− порядок осуществления субъектом ПДн прав, предусмотренных настоящим Федеральным законом;
− информацию об осуществленной или о предполагаемой трансграничной передаче данных;
− наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка , если обработка поручена или будет поручена такому лицу;
− иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.
7.2. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Банком (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Банка , подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан квалифицированной электронной подписью в соответствии с законодательством Российской Федерации.
7.3. Субъект ПДн вправе требовать от Банка уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.4. Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если:
− обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
− доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц.
7.5. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случае отзыва субъектом ПДн согласия на обработку ПДн Банк вправе продолжить обработку ПДн без согласия субъекта ПДн при наличии оснований, указанных в Федеральном законе «О персональных данных».
7.6. Банк обязан разъяснить субъекту ПДн порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом ПДн своих прав и законных интересов.

8. Обязанности Банка при обработке ПДн

8.1. При сборе ПДн Банк предоставляет субъекту ПДн по его запросу информацию, предусмотренную пунктом 7.1. настоящей Политики. Если предоставление ПДн Банку является обязательным в соответствии с Федеральным законом «О персональных данных», Банк разъясняет субъекту ПДн юридические последствия отказа предоставить его ПДн.Если ПДн получены не от субъекта ПДн, Банк, за исключением случаев, предусмотренных частью 4 Федерального закона «О персональных данных», до начала обработки таких ПДн Банк предоставляет субъекту ПДн следующую информацию:
− наименование либо фамилия, имя, отчество и адрес Банка или его представителя;
− цель обработки ПДн и ее правовое основание;
− предполагаемые пользователи ПДн;
− установленные Федеральным законом «О персональных данных» права субъекта ПДн;
− источник получения ПДн.
8.2. Банк освобождается от обязанности предоставить субъекту ПДн сведения, предусмотренные пунктом 8.1. настоящей Политики, в случаях, если:
− субъект ПДн уведомлен об осуществлении обработки его ПДн Банком;
− ПДн получены Банком на основании Федерального закона «О персональных данных» или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн;
− ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
− Банк осуществляет обработку ПДн для статистических или иных исследовательских целей, если при этом не нарушаются права и законные интересы субъекта ПДн;
− предоставление субъекту ПДн сведений, предусмотренных пунктом 8.1. настоящей Политике, нарушает права и законные интересы третьих лиц.
8.3. При сборе ПДн, в том числе посредством информационно-телекоммуникационной сети «Интернет», Банк обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение ПДн граждан Российской Федерации с использованием баз данных находящихся на территории Российской Федерации, за исключением случаев предусмотренных законодательством.
8.4. В случае выявления неправомерной обработки ПДн, при обращении субъекта ПДн или его представителя, либо по запросу субъекта ПДн или его представителя, либо уполномоченного органа по защите прав субъектов ПДн Банк осуществляет блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Банк осуществляет блокирование персональных данных, относящихся к этому субъекту ПДн, или обеспечивает их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
8.5. В случае подтверждения факта неточности ПДн Банк на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов уточняет ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Банка) в течение семи рабочих дней со дня представления таких сведений и снимает блокирование ПДн.
8.6. В случае выявления неправомерной обработки ПДн, осуществляемой Банком или лицом, действующим по поручению Банка, Банк в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку ПДн или обеспечивает прекращение неправомерной обработки ПДн лицом, действующим по поручению Банка. В случае, если обеспечить правомерность обработки ПДн невозможно, Банк в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязан уничтожает такие ПДн или обеспечивает их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Банк уведомляет субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
8.7. В случае достижения цели обработки ПДн Банк прекращает обработку ПДн или обеспечивает ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению) и уничтожает ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между кредитной организацией и субъектом ПДн либо если Банк не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.
8.8. В случае отзыва субъектом ПДн согласия на обработку его ПДн Банк обязан прекращает их обработку или обеспечивает прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожает ПДн или обеспечивает их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Банком и субъектом ПДн либо если Банк не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.
8.9. В случае отсутствия возможности уничтожения ПДн в течение установленного срока, Банк осуществляет блокирование таких ПДн или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению) и обеспечивает уничтожение ПДн в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.

9. Меры, направленные на обеспечение защиты ПДн

9.1. Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Федеральным законом «О персональных данных» или другими федеральными законами.
9.2. Банк распорядительным документом назначает лицо, ответственное за организацию обработки ПДн,. Лицо, ответственное за организацию обработки ПДн, получает указания непосредственно от исполнительного органа Банка и подотчетно ему. Лицо, ответственное за организацию обработки ПДн, обязано:
− осуществлять внутренний контроль за соблюдением Банком и его работниками законодательства Российской Федерации о ПДн, в том числе требований к защите ПДн;
− доводить до сведения сотрудников Банка положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
− организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
9.3. Помимо этого, в Банке применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных:
− определены угрозы безопасности ПДн при их обработке в информационных системах персональных данных;
− Применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации;
− Проводится оценка эффективности принимаемых мер до ввода в эксплуатацию информационной системы персональных данных;
− ведётся учёт машинных носителей персональных данных;
− проводятся мероприятия по обнаружению фактов несанкционированного доступа к ПДн и принятию соответствующих мер;
− обеспечивается возможность восстановления ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
− установливаются правила доступа к ПДн, а также обеспечивается регистрация и учёта всех действий, совершаемых с ПДн в информационной системе персональных данных;
− Осуществляется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и поддержанию уровня защищенности информационных систем персональных данных.
− проводится внутренний контроля и (или) аудита соответствия обработки ПДн Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Банка в отношении обработки ПДн, локальным актам Банка;
− выполняется оценка вреда, который может быть причинен субъектам ПДн в случае нарушения настоящей Политики, соотношение указанного вреда и принимаемых Банком мер, направленных на обеспечение выполнения обязанностей, предусмотренных настоящей Политикой;
− реализуется ознакомление сотрудников Банка, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, документами, определяющими политику Банка в отношении обработки ПДн, локальными актами по вопросам обработки ПДн, и (или) обучение указанных сотрудников.
В дополнение к требованиям 152-ФЗ «О персональных данных», в банке осуществляется комплекс мероприятий, направленных на защиту информации о своих клиентах, сотрудниках и контрагентах. Банк руководствуется требованиями и рекомендациями действующего законодательства Российской Федерации, Банка России, других регулирующих организаций, а также лучшими российскими и международными практиками.

10. Трансграничная передача ПДн

10.1. До начала осуществления трансграничной передачи ПДн Банк убеждается в том, что иностранным государством, на территорию которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн.
10.2. Трансграничная передача ПДн на территории иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн, а также иных иностранных государств, обеспечивающих адекватную защиту прав субъектов ПДн, осуществляется в соответствии Законом 152-ФЗ и может быть запрещена или ограничена в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.
10.3. Одним из критериев оценки государства в данном аспекте может выступать факт ратификации им «Конвенции о защите прав физических лиц при автоматизированной обработке персональных данных» от 28 января 1981 г., ETS № 108.
10.4. Перечень иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке ПДн и обеспечивающих адекватную защиту прав субъектов ПДн утвержден Приказом Роскомнадзора № 274 от 15.03.2013 г.
10.5. Трансграничная передача ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов ПДн, может осуществляться в следующих случаях: − наличия согласия в письменной форме субъекта ПДн на трансграничную передачу его ПДн;
− предусмотренных международными договорами Российской Федерации;
− предусмотренных федеральными законами, если это необходимо в целях защиты основ конституционного строя Российской Федерации, обеспечения обороны страны и безопасности государства, а также обеспечения безопасности устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства;
− исполнения договора, стороной которого является субъект персональных данных; защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.

11. Заключительные положения

11.1. Политика АО Банк «ККБ» обработки персональных данных субъектов АО Банк «ККБ» в соответствии с Федеральным законом «О персональных данных» подлежит опубликованию на информационном сайте Банка и размещению в местах обслуживания клиентов Банка, с целью обеспечения неограниченного доступа к документу.
11.2. Сотрудники Банка, обрабатывающие ПДн субъектов Банка, и лица, которым Банк поручает обработку ПДн, несут предусмотренную законодательством Российской Федерации ответственность за нарушение режима защиты, обработки и порядка использования ПДн субъектов Банка.
11.3. Руководитель, предоставляющий доступ сотруднику Банка к обрабатываемым ПДн, несет персональную ответственность. Сотрудники Банка, получающие доступ к обрабатываемым ПДн, несут персональную ответственность за конфиденциальность полученной информации.
11.4. Разглашение ПДн субъекта (передача их посторонним лицам, в том числе, работникам Банка, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъектов Банка, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, иными локальными актами Банка, касающимися обработки ПДн, влечет наложение на виновного сотрудника дисциплинарного взыскания.
11.5. Изменения и дополнения к настоящей Политике утверждаются Советом Директоров и вводятся в действие Приказом Председателя Правления.
11.6. Сотрудники Банка ознакамливаются с настоящей Политикой под роспись в Отделе информационной безопасности, а также дополнительно ознакамливаются на сетевом диске.
11.7. Клиенты ознакамливаются с настоящей Политикой на информационном сайте Банка либо в местах обслуживания клиентов.

Приложение 1

Порядок обработки обращений, запросов субъектов ПДн или их законных представителей

1. Банк отвечает на обращения, запросы субъектов персональных данных или их законных представителей в сроки установленные ФЗ «О персональных данных».
2. При поступлении обращения субъекта или его законного представителя, ответственный за организацию обработки персональных данных регистрирует обращение в Журнале учёта обращений субъектов персональных данных и их законных представителей (Приложение 2), а также обращения, поступившие на бумажных носителях или посредством электронных каналов связи (посредством Web-сайта) регистрируется уполномоченным лицом, назначенным распорядительным документом в соответствующих Журналах регистрации обращений в соответствии с Положением о порядке рассмотрения жалоб, обращений, запросов клиентов и государственных органов в АО Банк «ККБ».
3. Ответ на обращение субъекта ПДн, составляет отдел информационной безопасности совместно с отделом, осуществляющим обработку ПДн данного субъекта и с управлением правового сопровождения в установленные законодательством сроки. Результаты обращения отражаются в Журналах указанных в п. 2 настоящего Приложения.
4. Запрос о способах обработки и заявления на прекращение обработки ПДн поступившие на бумажных носителях, поступившие в Банк посредством почты или нарочно принимаются сотрудником, осуществляющим обслуживание субъекта ПДн и передаются на регистрацию сотруднику общего отдела (секретариата) в соответствии с порядком указанным Положении о порядке рассмотрения жалоб, обращений, запросов клиентов и государственных органов в АО Банк «ККБ».
5. На обращениях, поступивших, на бумажных носителях при необходимости делает отметка о принятии Банком входящей корреспонденции на экземпляре Заявителя с указанием даты принятия, указывает свою должность, ФИО, подпись с расшифровкой, после чего направляет оригинал Руководителю Банка, копию Обращения передает в ЮУ.
6. Ответственный за обработку ПДн в Банке рассматривает возможность предоставления субъекту ПДн информации о наличии ПДн, относящихся к соответствующему субъекту ПДн, возможности ознакомления с ними на основании действующего законодательства, в том числе части 8 статьи 14 Федерального Закона «О персональных данных», либо отказ в предоставлении, в соответствии с законодательством РФ.
7. По результатам анализа, проведенного в соответствии с п. 4 настоящего Порядка Ответственный за обработку ПДн доводит необходимую информацию до сотрудника ВСП, который формирует ответ субъекту ПДн:
− о предоставлении информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставляет возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя:
− либо выносит мотивированный отказ.
8. Возможность ознакомления с ПДн, относящимися к соответствующему субъекту ПДн, предоставляется субъекту ПДН (его представителю) безвозмездно.
9. В случае необходимости Банк вносит в ПДн субъекта необходимые изменения, уничтожает или блокирует соответствующие ПДн по предоставлении субъектом ПДн или его законным представителем сведений, подтверждающих, что ПДн, которые относятся к соответствующему субъекту и обработку которых осуществляет Банк, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
10. О внесенных изменениях и предпринятых мерах Банк письменно уведомляет субъекта ПДн или его законного представителя и третьих лиц, которым передавались ПДн данного субъекта. При поступлении запроса, обращения субъекта или его законного представителя, Банк предоставляет информацию о персональных данных субъекта в течение тридцати дней.
11. В случае отзыва субъектом персональных данных согласия на их обработку, она может быть продолжена при наличии оснований, указанных в п. 2—11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 ФЗ «О персональных данных».
12. В случае отказа в предоставлении информации субъекту персональных данных или его законному представителю, Банк даёт в письменной форме мотивированный ответ в течение тридцати дней со дня обращения либо с даты получения обращения.