Политика обработки персональных данных

ПОЛИТИКА открытого акционерного общества «Российский Банк поддержки малого и среднего предпринимательства» в отношении персональных данных

ОАО «МСП Банк» (далее – Банк) в рамках выполнения своей основной деятельности осуществляет обработку персональных данных различных категорий субъектов персональных данных: работников, кандидатов на работу, пользователей услуг Банка, представителей контрагентов и других субъектов персональных данных, и в соответствии с действующим законодательством Российской Федерации является оператором персональных данных с соответствующими правами и обязанностями.

С целью поддержания деловой репутации и обеспечения выполнения норм федерального законодательства Банк считает важнейшими задачами: обеспечение легитимности обработки персональных данных в бизнес-процессах Банка и обеспечение надлежащего уровня безопасности обрабатываемых в Банке персональных данных.

При организации и осуществлении обработки персональных данных Банк руководствуется требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами (далее – законодательство РФ по вопросам обработки персональных данных).

Обработка персональных данных в Банке осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых в Банке персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых данных не допускается.

При обработке персональных данных в Банке обеспечивается точность персональных данных, их достаточность и в необходимых случаях актуальность по отношению к целям обработки персональных данных. Банк принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных или неточных персональных данных.

Хранение персональных данных в Банке осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законодательством, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.

Цели обработки персональных данных, состав и содержание персональных данных, а также категории субъектов персональных данных, чьи данные обрабатываются в Банке, содержатся в уведомлении Банка об обработке персональных данных, направленном в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор), и подлежат обновлению в случае их изменения. При этом в Банке не обрабатываются специальные категории персональных данных и биометрические персональные данные.

Банк в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством. При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.

Банк не размещает персональные данные субъекта персональных данных в общедоступных источниках без его предварительного согласия.

Банк в ходе своей деятельности может осуществлять трансграничную передачу персональных данных на территорию иностранных государств органам власти иностранного государства, иностранным физическим или юридическим лицам. При этом вопросы обеспечения адекватной защиты прав субъектов персональных данных и обеспечения безопасности их персональных данных при трансграничной передаче являются наивысшим приоритетом для Банка, решение которых реализуется в соответствии с законодательством РФ по вопросам обработки персональных данных.

Трансграничная передача персональных данных на территорию иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, осуществляется только в случаях наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных; исполнения договора, стороной которого является субъект персональных данных; а также иных предусмотренных законодательством случаях.

С целью обеспечения безопасности персональных данных при их обработке Банк принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Банк добивается того, чтобы все реализуемые мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.

В целях обеспечения адекватной защиты персональных данных Банк проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

В соответствии с выявленными актуальными угрозами Банк применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя использование прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учет действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.

Руководство Банка осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Банка.

В Банке назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.

Каждый новый работник Банка, непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами Банка по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.