Содержание

Цель
Ответственность
Область применения
Заменяемые документы
Связанные документы
Термины, сокращения, условные обозначения
Общие положения
Принципы и Цели обработки персональных данных
Правовые основания и условия обработки персональных данных
Основные права и обязанности Оператора
Права субъектов персональных данных
Сведения о реализуемых мерах по защите персональных данных
Роли, функциональные обязанности и ответственность участников процесса по управлению персональными данными.

1. Цель

Целью настоящей Политики обработки персональных данных АО ЮниКредит Банк (далее — Политика) является обеспечение соответствия процесса обработки и защиты персональных данных в АО ЮниКредит Банк законодательству Российской Федерации.

Настоящая Политика определяет основные принципы, цели, правовые основания и условия обработки персональных данных в Банке.

При обработке персональных данных Банк руководствуется Федеральным Законом № 152-ФЗ «О персональных данных».

2. Ответственность

Ответственность за исполнение: Работники Банка

Контроль за исполнением: Группа по организации обработки персональных данных

Владелец документа (Разработчик): Группа по организации обработки персональных данных

3. Область применения

3.1. Действие настоящей Политики распространяется на любые действия Банка в отношении Персональных данных клиентов/контрагентов Банка — физических лиц, а также Персональных данных работников Банка.

3.2. Требования настоящей Политики должны учитываться при разработке и внедрении ИТ-систем / продуктов / всех бизнес-процессов, в рамках которых производится обработка персональных данных.

4. Заменяемые документы

Политика обработки персональных данных АО ЮниКредит Банк, утверждена решением Правления АО ЮниКредит Банк от «19» июня 2018 г. Протокол № 08/2018

5. Связанные документы

Порядок работы с обращениями Клиентов/третьих лиц и официальными запросами государственных органов от 21.11.2022 г. № 237/155.1- ОРД, утвержден Правлением АО ЮниКредит Банк, протокол № 25/2022 от 15.11.2022
Порядок осуществления документооборота с Регулирующими органами и взаимодействия при проведении проверок Банка России в АО ЮниКредит Банк № 2/160-ОРД, утвержден решением Правления АО ЮниКредит Банк от «26» декабря 2019г., Протокол № 36С/2019.
Правила внутреннего контроля АО ЮниКредит Банка, направленные на противодействие легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма № 172/140-ОРД, введены в действие Приказом № 1733-П от 08.09.2022 г.
Положение об обеспечении безопасности персональных данных при их обработке в АО ЮниКредит Банк № 151/130-ОРД, утверждено решением Правления АО ЮниКредит Банка от «31» августа 2016г. Протокол № 17С/2016.
Операционная инструкция «Регистрация и передача сведений об инцидентах защиты информации» № 2/130-И, утверждена распоряжением по подразделению от «21» декабря 2021 г. № 2457/130-РП.
Порядок управления инцидентами защиты информации в АО ЮниКредит Банк, утвержден распоряжением по подразделению от «06» марта 2019 г. № 696/130-РП.
Политика «Управление уязвимостями информационной безопасности» № 28/130-ОРД, утверждена решением Правления АО ЮниКредит Банк от «04» марта 2022 г. Протокол № 08С/2022.
Политика по классификации и защите информации в АО ЮниКредит Банке № 27/130-ОРД, утверждена решением Правления АО ЮниКредит Банк от «04» марта 2022 г. Протокол № 08С/2022.
Положение об обработке персональных данных.
Регламент подбора персонала АО ЮниКредит Банк № 155/174-ОРД, утвержден решением Правления АО ЮниКредит Банка «31» августа 2016 года Протокол № 17С/2016.
Операционная инструкция Оценка Комплаенс-рисков 51/160-И от 28.07.2021

6. Термины, сокращения, условные обозначения

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

Банк — АО ЮниКредит Банк;

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Биометрические персональные данные — сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые могут использоваться оператором для установления личности субъекта персональных данных;

Группа — Группа ЮниКредит, включающая ЮниКредит С. п. А. и Компании Группы;

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Компания Группы — Организация/Компания, которая прямо или косвенно контролируется ЮниКредит С. п. А.;

Материнская Компания — ЮниКредит С. п. А. (здесь и далее также упоминаемая как ЮниКредит);

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Обязательный Срок хранения — конкретный предельный срок обработки данных, предусмотренный применимым законодательством РФ (например, общие и специальные сроки, установленные законодательством РФ; максимальные сроки хранения, установленные регулирующими органами РФ для специальных категорий информации/документов; пределы хранения, требуемые органами РФ по защите данных с учетом определенных целей обработки);

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Персональные данные (ПДн) — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Специальные категории персональных данных — к специальным категориям персональных данных относятся данные, раскрывающие расовую или национальную принадлежность, политические взгляды, религиозные или философские убеждения, данные о состоянии о здоровья, интимной жизни физического лица;

Трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства, органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Утечка персональных данных — нарушение безопасности, которое включает непреднамеренное или незаконное уничтожение, потерю, изменение, несанкционированное раскрытие или доступ к передаваемым данным, хранимыми или иным образом обрабатываемыми;

Федеральный закон «О персональных данных» (152-ФЗ) — Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных».

Ответственный сотрудник — Должностное лицо Группы по организации обработки персональных данных, ответственное за организацию обработки персональных данных;

7. Общие положения

7.1 Банк при обработке персональных данных руководствуется законодательством Российской Федерации, требованиями отраслевых стандартов. Политика разработана в соответствии с требованиями Федерального закона «О персональных данных».

7.2 В Банке действует комплекс правовых, организационных и технических мер, направленных на защиту информации о клиентах, работниках, контрагентах и других субъектах персональных данных.

7.3 Банк в качестве Оператора должен принимать соответствующие технические и организационные меры для обеспечения возможности демонстрации того, что обработка осуществляется в соответствии с 152-ФЗ, а также для защиты данных от несанкционированной или незаконной обработки.

7.4 Настоящая Политика размещается на сайте Банка в информационно-телекоммуникационной сети Интернет (далее — сеть Интернет) и предоставляется Банком любому заинтересованному лицу для ознакомления.

8. Принципы и Цели обработки персональных данных

8.1 Обработка персональных данных в Банке осуществляется на основании следующих принципов:

обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
обработке подлежат только персональные данные, которые отвечают целям их обработки;
недопустимость объединения баз данных созданных для несовместимых между собой целей обработки персональных данных;
содержание и объем обрабатываемых персональных данных должны быть минимально достаточными для достижения заранее определенных целей обработки персональных данных;
процессы обработки персональных данных должны обеспечивать точность, достаточность и актуальность персональных данных по отношению к целям их обработки, а также обеспечивать своевременные удаление или уточнение неполных или неточных данных.

8.2. Обработка Оператором персональных данных работников (текущих и бывших), соискателей, клиентов, потенциальных клиентов и представителей контрагентов осуществляется в следующих целях:

реализации банковских операций и сделок в соответствии с Уставом Банка и выданными Банку лицензиями на совершение банковских и иных операций;
заключения с Субъектом персональных данных любых договоров и их дальнейшего исполнения;
проведения Банком акций, опросов, исследований;
предоставления Субъекту персональных данных информации об оказываемых Банком услугах, о разработке Банком новых продуктов и услуг; информирования Клиента о предложениях по продуктам и услугам Банка;
ведения кадровой работы и организации учета работников Банка, обучения и должностного роста работников;
заключения исполнения договоров добровольного страхования, прохождения практики (стажировки) в Банке учащихся образовательных учреждений;
привлечения и отбора кандидатов на работу в Банке, в том числе содействия в трудоустройстве в Банк;
формирования статистической отчетности, в том числе для предоставления Центральному Банку Российской Федерации;
обеспечения банковской безопасности, связанное с физическим доступом субъектов персональных данных на территорию, в здания и помещения Банка;
для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Банк функций, полномочий и обязанностей.

8.2.1. Перечень целей, указанных в п.8.2 не является исчерпывающим и может быть изменен Банком в соответствии с внутренними нормативными актами и законодательством Российской Федерации.

Цели обработки персональных данных могут происходить в том числе из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности

8.3. Банк может осуществлять обработку персональных данных в рамках, заявленных выше целей следующими способами, совершаемыми как с использованием средств автоматизации, так и без использования таковых, сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

8.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости достижения этих целей, если иное не предусмотрено федеральным законом.

8.5. При обработке персональных данных Банк руководствуется минимально необходимым составом персональных данных для достижения целей получения персональных данных.

8.6. Ответственными подразделениями за организацию процессов и процедур обработки персональных данных в Банке являются Группа по организации обработки персональных данных и Департамент безопасности:

В компетенцию Департамента безопасности Банка входят вопросы защиты Персональных данных;
К компетенции Группы по организации обработки персональных данных относятся вопросы обработки персональных данных (за исключением вопросов защиты Персональных данных). Группа по организации обработки персональных данных определяет обязательные для исполнения рекомендации, разрабатывает внутренние документы по указанным вопросам, осуществляет соответствующие проверки процессов и процедур, а также осуществляет разработку и выполнение последующих контролей.

9. Правовые основания и условия обработки персональных данных

9.1 Правовым основанием обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, в том числе:

Конституция Российской Федерации;
Гражданский кодекс Российской Федерации;
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Федеральный закон «О банках и банковской деятельности» от 02.12.1990 г. N 395-I
Федеральный закон «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» от 07.08.2001 г. N 115-ФЗ;
Федеральный закон от 06.12.2011 N 402-ФЗ «О бухгалтерском учете»;
Федеральный закон от 15.12.2001 N 167-ФЗ «Об обязательном пенсионном страховании в Российской Федерации»;
иные нормативные правовые акты, регулирующие отношения, связанные с деятельностью Оператора.

Правовым основанием обработки персональных данных также являются:

Устав Банка;
договоры, заключаемые между Оператором и субъектами персональных данных;
согласие субъектов персональных данных на обработку их персональных данных.

9.2 Обработка персональных данных осуществляется в установленных законом случаях с письменного согласия субъекта персональных данных или его законного представителя. Равнозначным письменному согласию признается согласие в форме электронного документа, подписанного электронной подписью в соответствии с законодательством Российской Федерации.

9.3 Согласие на обработку персональных данных (далее — Согласие) может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

9.4 Обработка персональных данных может осуществляется без согласия субъекта персональных данных (или при отзыве субъектом персональных данных согласия на обработку персональных данных) при наличии оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных».

9.5 Заключаемый с субъектом ПДн договор не может содержать положения: ограничивающие права и свободы субъекта ПДн, устанавливающие случаи обработки ПДн несовершеннолетних, если иное не предусмотрено законодательством РФ и допускающие в качестве условия заключения договора бездействие субъекта ПДн.

9.6 Обработка специальных категорий персональных данных, касающихся расовой или этнической принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Банком не осуществляется.

9.7 Обработка биометрических персональных данных, производится Банком в рамках требований, установленных Федеральным законом от 31.12.2017 № 482-ФЗ, и в соответствии с законодательством Российской Федерации, в части обязанности банков в Российской Федерации по желанию физического лица — клиента Банка на безвозмездной для клиента основе производить регистрацию в единой биометрической системе (ЕБС) физического лица, со снятием, обработкой и передачей в ЕБС биометрических ПДн клиента.

9.8 Обработка сведений о состоянии здоровья осуществляется в соответствии с Трудовым кодексом, Федеральным законом от 29 ноября 2010 № 326 «Об обязательном медицинском страховании в Российской Федерации», а также подпункте 2.3 части 2 статьи 10 Федерального закона «О персональных данных».

9.9 Банк не осуществляет принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных п. 9.10. настоящей Политики.

9.10. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято Банком на основании исключительно автоматизированной обработки его персональных данных только при наличии письменного согласия субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

9.11. Для обработки Банком персональных данных полученных от лица, не являющегося субъектом персональных данных, необходимы подтверждения возможности их обработки, указанные в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона «О персональных данных» или иных оснований, предусмотренных федеральным законодательством.

9.12. Если персональные данные получены не от субъекта персональных данных, Банк, за исключением случаев, предусмотренных частью 4 статьи 18 Федерального закона «О персональных данных», до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию:

наименование и адрес оператора или его представителя;
цель обработки персональных данных и ее правовое основание;
перечень персональных данных
предполагаемые пользователи персональных данных;
установленные Федеральным законом «О персональных данных» права субъекта персональных данных;
источник получения персональных данных.

9.13. Доступ к персональным данным субъектов персональных данных (вне зависимости от вида носителя) предоставляется работникам Банка в соответствии с их должностными обязанностями.

9.14 Передача персональных данных субъектов персональных данных третьим лицам осуществляется Банком в соответствии с требованиями действующего законодательства Российской Федерации. В ходе своей деятельности Банк может осуществлять трансграничную передачу персональных данных в страны присутствия Группы ЮниКредит и подрядчикам юридических лиц Группы ЮниКредит, в том числе, но не ограничиваясь, Италию, Румынию, Германию, Австрию, Чехию, Венгрию и Словению. Банк должен удостовериться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных. Трансграничная передача персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, может осуществляться в случаях, предусмотренных действующим законодательством Российской Федерации.

В соответствии с законодательством Российской Федерации, возможность осуществления передачи персональных данных за пределы Российской Федерации может быть запрещена или ограничена уполномоченными органами государственной власти в целях защиты основ конституционного строя Российской Федерации, нравственности, здоровья, прав и законных интересов граждан, обеспечения обороны страны и безопасности государства.

9.15. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», Банк обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 Федерального закона «О персональных данных».

9.16. Субъект имеет право на удаление своих персональных данных, опубликованных в сети Интернет.

Если Компания Группы опубликовала персональные данные (например, на веб-сайтах, управляемых ЮниКредит Банком или Компаниями Группы), Оператор обязан:

удовлетворить требование по удалению данных Субъекта, если нет законных оснований для продолжения обработки;
принимать разумные меры (с учетом затрат) для информирования третьих лиц, обрабатывающих такие персональные данные, об удалении любых ссылок, копий или повторений.

10 Основные права и обязанности Оператора

10.1. Оператор имеет право:

самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных 152-ФЗ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено 152-ФЗ или другими федеральными законами;
поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора. Лицо, осуществляющее обработку персональных данных по поручению Оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные 152-ФЗ, в том числе ст. 18, ч.5. ст.18, ст. 18.1, ст.19, ст.21.

При поручении обработки персональных данных иностранному лицу иностранный «обработчик» несет ответственность наряду с оператором.

10.2. В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в 152-ФЗ,

10.3 Оператор обязан:

организовывать обработку персональных данных в соответствии с требованиями 152-ФЗ;
отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями 152-ФЗ;
сообщать в уполномоченный орган по защите прав субъектов персональных данных (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по запросу этого органа необходимую информацию в установленный законом срок.

11. Права субъектов персональных данных

11.1. Субъект персональных данных вправе требовать от Банка уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, вправе отозвать согласие на обработку персональных данных в соответствии с действующим законодательством Российской Федерации, как в целом, так и в части, например, отзыва согласия на использование своих персональных данных, с целью направления Банком маркетинговых рассылок, вправе получить от Банка информацию в понятной форме о передаче Персональных данных, а также принимать предусмотренные законодательством меры по защите своих прав.

11.2 В случаях и порядке, установленных Федеральным законом «О персональных данных», субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

подтверждение факта обработки персональных данных Банком;
правовые основания и цели обработки персональных данных;
цели и применяемые Банком способы обработки персональных данных;
наименование и место нахождения Банка, сведения о лицах (за исключением работников Банка), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Банком или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом «О персональных данных»;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
информацию о ранее осуществленной или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Банка, если обработка поручена или будет поручена такому лицу;
сведениями о способах исполнения оператором обязанностей, установленных в ст. 18.1 ФЗ № 152.
иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

11.3. Подтверждение факта обработки персональных данных Оператором, правовые основания и цели обработки персональных данных, а также иные сведения, указанные в ч. 7 ст. 14 152-ФЗ, предоставляются Оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

В предоставляемые сведения не включаются персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.

Запрос должен содержать:

номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором;
подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Если в обращении (запросе) субъекта персональных данных не отражены в соответствии с требованиями 152-ФЗ все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с ч. 8 ст. 14 152-ФЗ в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

11.4. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных Оператор на основании сведений, представленных субъектом персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

11.5. В случае выявления неправомерной обработки персональных данных при обращении (запросе) субъекта персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения запроса.

11.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных 152-ФЗ или иными федеральными законами;
иное не предусмотрено другим соглашением между Оператором и субъектом персональных данных.

Банк своевременно и в полном соответствии с требованиями 152-ФЗ отвечает на обращения и запросы субъектов персональных данных и их законных представителей.

11.7 Данные о работниках

В дополнение к требованиям, изложенным в предыдущих пунктах, Компания Группы обеспечивает защиту прав и свобод в отношении обработки персональных данных работников в контексте занятости.

В частности, каждая Компания Группы обрабатывает персональные данные своих работников для осуществления трудовой деятельности, и только в конкретных и законных целях в соответствии с соразмерностью и необходимостью.

Группа признает и уважает конфиденциальность данных своих работников, ограничивающую сбор, доступ и использование персональных данных, связанных с трудоустройством.

Сбор, доступ и использование персональных данных, связанных с трудоустройством, ограничено в соответствии с местным законодательством и правилами.

Обязательство Группы уважать права работников на неприкосновенность частной жизни не должно приводить к ненадлежащему исполнению работниками своих должностных обязанностей на работе (например, компьютеры компании предназначены только для использования на работе; поэтому их использование, кроме как в коммерческих целях, должно быть сведено к минимуму и не должно влиять на выполнение трудовой деятельности). Кроме того, Группа имеет право доступа ко всем рабочим местам и рабочим инструментам, а также право просматривать сообщения и информацию, созданные на рабочем месте работника, если это необходимо, или в целях обеспечения безопасности и защиты своих ИТ-систем во всех случаях в той мере, в какой это допускается применимым законодательством.

11.8. Уведомление об Утечке Данных

Утечка персональных данных относится к инцидентам защиты информации, порядок управления которыми определяется внутренним нормативным документом «Управление инцидентами защиты информации в АО ЮниКредит Банк» и в том числе требованиями применимого законодательства в части сообщения об инцидентах безопасности уполномоченному органу федеральной власти.

Банк обязан:

1) В случае инцидента (неправомерной или случайной передачи ПДн, повлекшей нарушение прав и свобод субъекта) в течение 24 часов уведомлять Роскомнадзор:

об инциденте;
о предполагаемых причинах, которые повлекли нарушение прав субъектов;
о предполагаемом вреде;
о принятых мерах по устранению последствий;
о лице, уполномоченном от имени оператора взаимодействовать с Роскомнадзором по вопросам инцидента.

2) В течение 72 часов сообщить Роскомнадзору о результатах внутреннего расследования инцидента и предоставить сведения о лицах, действия которых стали причиной инцидента (при наличии).

12. Сведения о реализуемых мерах по защите персональных данных

12.1. Банк при обработке персональных данных принимает правовые, организационные и технические меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации.

Обработка Персональных данных выполняется в соответствии с законодательством Российской Федерации и иными нормативными правовыми актами, в том числе соответствующих государственных органов, регулирующих обработку персональных данных.

12.2. В соответствии со статьей 18.1 Федерального закона «О персональных данных» Банк самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения требований законодательства. Банк в частности принял следующие меры:

Банк назначает ответственного сотрудника за организацию обработки персональных данных;
Банк разрабатывает и утверждает документы, определяющие политику Банка в отношении обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
Банк разрабатывает и внедряет локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений установленных процедур по обработке персональных данных и устранение последствий таких нарушений;
Банк осуществляет внутренний контроль и аудит соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, политике Банка в отношении обработки персональных данных, иным локальным актам Банка;
Работники Банка, непосредственно осуществляющие обработку персональных данных, должны быть ознакомлены с положениями законодательства Российской Федерации об обработке персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Банка в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных;
В Банке разрабатываются и внедряются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 19 Федерального закона «О персональных данных». Банк использует соответствующие требованиям действующего законодательства Российской Федерации административные, технические, физические меры, а также иные меры безопасности, для охраны Персональных данных от их потери, воровства и несанкционированного доступа, использования или модификации. Банк использует все разумные средства для обеспечения точности, полноты и актуальности Персональных данных.

13. Роли, функциональные обязанности и ответственность участников процесса по управлению персональными данными

13.1. Ответственный сотрудник

Ответственный сотрудник должен участвовать во всех вопросах, касающихся обработки персональных данных, и быть в состоянии выполнять свои задачи автономно в рамках организации.

Ответственный сотрудник периодически (например, ежегодно) информирует Наблюдательный Совет Банка, органы управления и стратегические органы Банка о наиболее актуальных вопросах, связанных с защитой данных на локальном уровне.

Ответственный сотрудник Группы должен периодически (например, ежегодно) информировать Совет директоров, а также органы управления и стратегические органы Группы, предоставляя обзор состояния защиты данных на уровне Группы, в том числе при наличии об инициативах, предпринятых для обработки и защиты персональных данных и управления рисками утечки данных, о выявленных нарушениях в работе, о соответствующих корректирующих действиях, которые должны быть осуществлены, а также об обучении персонала.

13.2. Разделение ответственности между Ответственными сотрудниками Группы и Банка.

Обязанности Ответственного сотрудника Группы.

Ответственный сотрудник Группы выполняет координирующую роль по отношению к Ответственным сотрудникам Компаний Группы (включая Банк) и отвечает за:

издание руководящих принципов, касающихся управления обработкой и защитой персональных данных в Группе;
разработку Групповых правил, устанавливающих минимальные стандарты обработки и защиты персональных данных, а также мониторинг и отслеживание их утверждения, принятия и внедрения;
подготовку заключений, координацию и обзор вопросов, связанных с обработкой и защитой персональных данных, и ответов на основные мероприятия по обработке и защите персональных на уровне Группы;
определение содержания обучения для его реализации среди всех Компаний Группы;
получение информации от Ответственных сотрудников Компаний Группы;
координацию сотрудничества, обмен опытом и передовыми практиками между Ответственными сотрудниками Компаний Группы;
периодическое (например, ежегодное) информирование Совета Директоров, а также руководящих и стратегических органов Группы путем предоставления обзора состояния обработки и защиты персональных данных на уровне Группы.

Обязанности Ответственного сотрудника Банка

Ответственный сотрудник Банка выполняет следующие задачи:

осуществление внутреннего контроля за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных и внутренней политики в отношении обработки персональных данных;
доведение до сведения работников оператора положений законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных;
информирование и консультирование Банка и его сотрудников об их обязанностях в соответствии с 152-ФЗ и иным применимым законодательством в области персональных данных;
организация приема и обработки обращений и запросов субъектов персональных данных или их представителей и (или) осуществление контроля за приемом и обработкой таких обращений и запросов.
внедрение политик и процедур, соответствующих правилам Группы, устанавливающих минимальные стандарты обработки персональных данных;
взаимодействие с Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) и иными надзорными органами при возникновении такой служебной необходимости;
взаимодействие с Ответственным сотрудником Группы;
взаимодействие в качестве контактного лица для Ответственного сотрудника Группы по вопросам, касающимся обработки персональных данных,
взаимодействие в качестве контактного лица в отношении субъектов персональных данных;
осуществление поддержки Ответственного сотрудника Группы в определении потребностей в обучении;
отправка периодических информационных сообщений Ответственному сотруднику Группы по основным темам обработки персональных данных.

Кроме того, Ответственный сотрудник Банка уполномочен осуществлять надзор за соблюдением требований на локальном уровне в отношении контролируемых Банком организаций/иностранных филиалов.

Ответственный сотрудник должен быть вовлечен Банком (инициирующим изменение подразделением) с самого раннего этапа разработки/запуска нового продукта, процесса, ИТ системы, во всех вопросах, связанных с обработкой персональных данных, и должен предоставлять рекомендации ответственному подразделению. Мнению Ответственного сотрудника всегда следует уделять должное внимание, и в случае несогласия рекомендуется, чтобы ответственное подразделение задокументировало причины несоблюдения рекомендаций Ответственного сотрудника.

Все бизнес-подразделения могут обратиться за консультацией к Ответственному сотруднику в случае толкования предписаний применимого законодательства в области персональных данных.

Если заключение предусматривает действия, которые должны быть реализованы (выпуск/обновление нормативных актов; новые средства контроля; ИТ-процедуры), соответствующие компетентные бизнес-функции должны обеспечить их принятие/внедрение.

Ответственный сотрудник осуществляет контроль второго уровня с целью мониторинга соблюдения требований применимого законодательства в области персональных данных.

13.3. Разделение функционала между Группой по организации обработки персональных данных и Департаментом безопасности

В соответствии с Приказом по Банку:

Ответственный сотрудник отвечает за организацию обработки персональных данных в Банке. Департамент безопасности отвечает за организацию защиты персональных данных. Должностные обязанности Группы по организации персональных данных, Департамента безопасности (с учетом указанного выше разделения) включают в себя:

рассмотрение применимости и, при необходимости, внедрение нормативных документов Группы ЮниКредит в области обработки / защиты персональных данных;
осуществление внутреннего контроля за соблюдением Банком и его работниками требований законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, нормативных документов АО ЮниКредит Банка и Группы ЮниКредит в области обработки / защиты персональных данных;
организация обучающих мероприятий по вопросам обработки / защиты персональных данных;
подготовка отчетных материалов руководству Банка;
индивидуальное консультирование работников Банка по вопросам обработки / защиты персональных данных;
обеспечение информационной поддержки работников Банка по вопросам обработки / защиты персональных данных;
организация приема и обработки обращений и запросов субъектов персональных данных

или их представителей по вопросам обработки персональных данных, включая осуществление контроля за приемом и обработкой таких обращений и запросов.

№	Категория субъектов ПДн	Категории ПДн	Цель обработки[2]	ИСПДн / Обработка на бумажных носителях	Источник получения ПДн	Правовое основание	Срок обработки[3]	Срок хранения	Условия уничтожения
1	Клиенты Банка и связанные с ними лица	— ФИО, — Дата рождения, — Место рождения, — Пол, — ИНН, — СНИЛС, — Гражданство, — Данные общегражданского паспорта (серия, номер, дата выдачи, код подразделения, выдавший орган), — Данные заграничного паспорта (серия, номер, дата выдачи, срок действия, выдавший орган), — Фотография, — Адрес места жительства, — Адрес места нахождения, — Контактный номер телефона, — Email, — Сведения о работодателе, — Сведения документа, подтверждающего право на пребывание в РФ (для лиц без гражданства РФ), — Данные миграционной карты (для лиц без гражданства РФ)	-осуществление банковских операций и сделок в соответствии с Уставом Банка и выданными Банку лицензиями на совершение банковских и иных операций; — заключение с Субъектом персональных данных любых договоров и их дальнейшего исполнения; — проведение Банком акций, опросов, исследований; — предоставление Субъекту персональных данных информации об оказываемых Банком услугах, о разработке Банком новых продуктов и услуг; — информирование Клиента о предложениях по продуктам и услугам Банка	CRM, Reporting, Операционные системы — АБС, Documents workflow / Обработка на бумажных носителях	От субъекта ПДн, от Клиента Банка, от уполномоченной передавать идентификационные сведения о клиенте и связанных с ним лицах организации, государственные и коммерческие базы данных	Договор, Федеральный закон 115-ФЗ от 07.08.2001 г. а также согласие	В течение срока предоставления банковских услуг	Не менее 5 лет после прекращения предоставления банковских услуг (в соответствии с пунктом 4 статьи 7 Федерального закона 115-ФЗ от 07.08.2001 г.) и до 10 лет и зависит от типа предоставляемых банковских услуг/продуктов,	Не позднее 30 дней с момента окончания срока хранения досье клиента, либо по получении отзыва согласия субъекта ПДн после окончания срока хранения, определённого законодательством РФ
2	Потенциальные клиенты, включая заёмщиков и поручителей	— ФИО, — Дата рождения, — Место рождения, — ИНН, — СНИЛС, — Гражданство, — Данные общегражданского паспорта (серия, номер, дата выдачи, выдавший орган), — Фотография, — Адрес регистрации, — Адрес проживания, — Контактный номер телефона, — Email, — Семейное положение, — ФИО супруга/супруги, — Контактный номер телефона супруга/супруги, — Сведения о работодателе, — Должность, — Начало общего трудового стажа, — Начало работы на текущем месте, — Среднемесячный доход, — Информация о собственности, — Сведения о полученных ранее кредитах, — Сведения об образовании	— предоставление Субъекту персональных данных информации об оказываемых Банком услугах, о разработке Банком новых продуктов; — заключение с Субъектом персональных данных или со связанными с Субъектом лицами любых договоров и их дальнейшего исполнения;	CRM, Операционные системы — АБС, Documents workflow / Обработка на бумажных носителях	От субъекта ПДн, от уполномоченного передавать идентификационные сведения о клиенте и связанных с ним лицах организации, государственные и коммерческие базы данных	Согласие с сайта Банка или бумажное согласие	В течение срока рассмотрения заявки и проведения идентификации	от 6 месяцев до 3 лет	Не позднее 30 дней с момента окончания срока хранения пакета документов и сведений потенциального клиента/заёмщика/поручителя, либо по полученииотзыва согласия субъекта ПДн после окончания срока хранения, определённого законодательством РФ
3	Представители контрагентов	— ФИО, — Сведения о работодателе, — Должность, — Номер телефона, — Email, — Пол, — Дата рождения без года	— заключение с Субъектом персональных данных или со связанными с Субъектом лицами любых договоров и их дальнейшего исполнения;	Documents workflow / Active Directory Обработка на бумажных носителях	От субъекта ПДн или в рамках соответствующего договора	Соответствующий договор	В течение срока выполнения обязательств по договору	30 лет	По достижению целей обработки ПДн
4	Текущие и бывшие сотрудники Банка	— ФИО, — Дата рождения, — Место рождения, — Пол, — ИНН, — СНИЛС, — Гражданство, — Данные общегражданского паспорта (серия, номер, дата выдачи, код подразделения, выдавший орган), — Данные заграничного паспорта (серия, номер, дата выдачи, срок действия, выдавший орган), — Фотография, — Адрес регистрации, — Адрес проживания, — Контактный номер телефона, — Email, — Сведения о работодателе, — Сведения документа, подтверждающего право на пребывание в РФ (для лиц без гражданства РФ), — Данные миграционной карты (для лиц без гражданства РФ), — Сведения о знании иностранных языков, — Сведения об образовании, — Должность, — Стаж работы, — Семейное положение, — Состав семьи (ФИО, степень родства, год рождения) — Сведения о воинском учете	— ведение кадровой работы и организации учета работников Банка, обучения и должностного роста работников; — заключение и исполнение договоров добровольного страхования, прохождение практики (стажировки) в Банке учащихся образовательных учреждений;	CRM, Reporting, Кадры и бухгалтерия, Операционные системы — АБС, Documents workflow, Active Directory (только ФИО, должность, номер телефона, email, пол, дата рождения без указания года) СКУД (только ФИО и фотография) / Обработка на бумажных носителях	От субъекта ПДн	Трудовой договор, а также согласие	В течение срока трудоустройства	50/75 лет	Не позднее 30 дней с момента окончания срока хранения личного дела работника, либо по получении отзыва согласия субъекта ПДн после окончания срока хранения, определённого законодательством РФ
5	Соискатели	— ФИО, — Дата рождения, — Семейное положение, — Контактный номер телефона, — Email, — Сведения об опыте работы, — Иная информация, сообщаемая соискателем	— привлечение и отбора кандидатов на работу в Банке, в том числе содействие в трудоустройстве в Банк	Кадры и бухгалтерия/ Обработка на бумажных носителях	От субъекта ПДн	Договоры с кадровыми агентствами, Интернет-порталы по поиску работы, Согласие (в случае обработки ПДн, не указанных в резюме (например, паспортные данные))	В течении срока рассмотрения кандидатуры соискателя	10 лет	Отзыв согласия субъекта ПДн или по истечению 10 лет
6	Члены семьи текущих и бывших сотрудников	— ФИО, — Степень родства, — Год рождения	— ведение кадровой работы и организации учета работников Банка; — заключение и исполнение договоров добровольного страхования	Обработка на бумажных носителях (в рамках формы Т-2)	От сотрудников Банка	Предусмотрено унифицированной формой № Т-2 (утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»)	В течение срока трудоустройства соответствующего сотрудника	50/75 лет в части ведения кадровой работы и организации учета работников Банка;	Не позднее 30 дней с момента окончания срока хранения личного дела работника, либо по получении отзыва согласия субъекта ПДн после окончания срока хранения, определённого законодательством РФ